Die meisten traditionellen Sicherheitstools werden beim Schutz von Containerdaten und Images nicht helfen. Diese Optionen wurden speziell für die Containersicherheit entwickelt. [...]
Das Aufkommen von Containern hat nicht nur die Art und Weise verändert, wie Anwendungen bereitgestellt werden, sondern auch die Art und Weise, wie IT-Shops ihr Alltagsgeschäft abwickeln. Container bieten viele gut dokumentierte Vorteile, die die gesamte Bandbreite einer modernen IT-Abteilung und den gesamten Lebenszyklus von Anwendungen abdecken. Die Sicherung von Containern erfordert jedoch eine Mischung aus spezialisierten und traditionellen Sicherheitstools. Nachfolgend möchten wir einige der populärsten Container-Sicherheitstools vorstellen, doch zunächst wollen wir uns mit den Sicherheitsherausforderungen befassen, die Container mit sich bringen.
Herausforderungen bei der Containersicherheit
Die Vorteile von Containern, wie die Verfügbarkeit standardisierter Images, schnelle Iteration und Skalierbarkeit, stellen die für die Unternehmenssicherheit Verantwortlichen vor eigene Herausforderungen. Standardisierte Images (eigenständige ausführbare Softwarepakete) aus öffentlichen Repositories und Images, die von internen Entwicklungsteams erstellt wurden, müssen geprüft und genehmigt werden. Die Skalierbarkeit und die unterschiedliche Infrastruktur, die containerisierte Anwendungen unterstützt, machen es erforderlich, dass jeder Prozess oder jedes Tool, das zur Gewährleistung der Sicherheit Ihrer Anwendungen eingesetzt wird, sowohl dynamisch als auch flexibel ist.
Viele Unternehmen erfahren sekundäre Vorteile von Containern durch DevOps-Prozesse wie kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD). Diese Prozesse erhöhen die Effizienz des Entwicklungs- und Bereitstellungsprozesses dramatisch und setzen die Sicherheit unter Druck, diese Effizienz aufrechtzuerhalten und gleichzeitig kritische Unternehmensanwendungen zu sichern.
Viele Tools für die Informationssicherheit sind nur begrenzt einsetzbar, da Ihre Infrastruktur mit Containern und einer Cloud-first-Architektur reift und innovativ ist. So sind beispielsweise Tools wie Endpunktschutz, richtlinienbasierte Konfiguration und Netzwerküberwachung schlecht gerüstet, um Bilder zu verarbeiten, die automatisch bereitgestellt, schnell iteriert und dynamisch skaliert werden. Diese Tools wirken sich oft negativ auf die Leistung aus und liefern kein großartiges Feedback für Anwendungsentwickler oder Administratoren.
Einige wenige traditionelle Sicherheitskomponenten bleiben jedoch integraler Bestandteil einer Container-basierten Infrastruktur. Tools zur Protokollanalyse und zum Sicherheits-Informations- und Ereignis-Management (SIEM) sind für die Nutzung und Korrelation von Protokolldaten von entscheidender Bedeutung, obwohl Tools zur Rationalisierung des Prozesses der Identifizierung von Protokolldaten, die an Ihr SIEM weitergeleitet werden sollen, für die Aufrechterhaltung der vollen Transparenz entscheidend sind.
Sowohl für herkömmliche Anwendungen als auch für Anwendungen, die in Containern laufen, ist die Verwaltung von Geheiminformationen, wozu Dinge wie Anmeldedaten, API-Schlüssel oder private Zertifikate gehören, ein kritischer Punkt. Anmeldeinformationen oder API-Schlüssel, die in einer Anwendung im Klartext eingebettet sind, sind ein üblicher Angriffsvektor, und die ordnungsgemäße Sicherung dieser Informationen innerhalb einer Anwendung ist nicht trivial. Container erhöhen die Komplexität dieses Problems. Die Einbettung von Berechtigungsnachweisen in vorgefertigte Bilder ist ein großes Sicherheitsproblem. Die Verwaltung dieser Secrets in Ihrer gesamten Infrastruktur ist ebenfalls ein erheblicher Aufwand. Die ideale Lösung wäre die Anwendung dieser Berechtigungsnachweise zur Laufzeit, wodurch die Verwaltung von Geschäftsgeheimnissen zu einem zentralen Erfordernis für jede Container-Sicherheitslösung wird.
Es ist nicht fair, Container als einen Sicherheitsalptraum darzustellen, weil es einfach nicht wahr ist. Wenn sie richtig verwaltet werden, bieten Container einen idealen Rahmen für die optimale Sicherung Ihrer Anwendungen. Dieselbe Flexibilität, die Container-Images bei der Installation bieten, macht sie ideal für die automatisierte Schwachstellenanalyse in mehreren Phasen des Anwendungslebenszyklus. Bilder können auch als schreibgeschützt oder „unveränderlich“ bezeichnet werden, wodurch es für schlechte Akteure viel schwieriger wird, den Container nach seiner Bereitstellung zu kompromittieren.
In ähnlicher Weise kann Ihre Infrastruktur so ausgelegt werden, dass Container nicht über den vorgesehenen Run Space hinausreichen – eine Technik, die als „Container Escape“ bekannt ist und potenziell zum Angriff auf die Host-Plattform oder andere Container genutzt werden kann. Viele der hier aufgeführten Tools beinhalten Container-Sicherheitsmaßnahmen in einer einzigen Glasscheibe, was die Verwaltung und Automatisierung erheblich erleichtert.
Das Sichern von Containern und ihren Plattformen mit Hilfe traditioneller Tools ist keine Selbstverständlichkeit. Container-Sicherheitstools sollten die gleichen Stärken und Standards nutzen, die Container mit sich bringen, um sich enger in die DevOps-Prozesse zu integrieren. Warum sollte man Entwicklern nicht schon während der Entwicklung einer Anwendung Einblick in Compliance- und Policy-Regeln geben, damit sie Sicherheitsbedenken sofort angehen können? Anstatt Richtlinien, Firewall-Regeln und sogar Korrekturprozesse manuell zu erstellen, warum nicht Code, Automatisierung und Tools verwenden, die beim Entwurf, der Durchsetzung und der Berichterstattung über Sicherheitsstandards helfen?
Sicherheitstools für eine Container-first-Infrastruktur
Tools zur Sicherung von Containern und ihren Plattformen ermöglichen Ihnen nicht nur, die Sicherheit Ihrer Container zu verbessern, sondern integrieren die Sicherheit stärker in den gesamten Container-Lebenszyklus, von der Entwicklung bis zur Laufzeit.
Alert Logic Managed Detection and Response (MDR)
Dieses Tool konzentriert sich auf die Erkennung von Eindringlingen durch Echtzeitanalyse von Netzwerkpaketen und Anwendungsprotokollen. MDR ist nicht nur ein Tool, sondern auch ein Verwaltungsdienst, der Sicherheitsexperten (entweder als Team auf professioneller Ebene oder als dedizierter Analyst auf Unternehmensebene, Preis $2.400 bzw. $4.500 pro Monat mit einem Dreijahresvertrag) bei der Überwachung und Sicherung Ihrer Containeranwendungen unterstützt.
Anchore Enterprise
Anchore Enterprise ist mehr auf den Entwicklungsprozess als auf die Laufzeit ausgerichtet und bietet grafische Tools (sowie API-basierte Verwaltung) zur Inspektion von Images, die aus öffentlichen oder privaten Repositories stammen, eine durchsuchbare Liste von Packages sowie Funktionen wie Whitelists und Blacklists. Anchore Enterprise lässt sich eng in Ihre CI/CD-Prozesse integrieren und erleichtert die Überprüfung der Einhaltung von Richtlinien und Best-Practice-Regeln während des gesamten Entwicklungsprozesses. Anchore Enterprise bietet gestaffelte Preise auf der Grundlage von Funktionen und Durchsatzkapazität.
Aqua Security
Aqua Security beabsichtigt, mit seiner Cloud-nativen Sicherheitsplattform den gesamten Lebenszyklus von Containern zu sichern. Aqua integriert sich in die CI/CD-Plattform Ihrer Wahl sowie in gängige Bildregister, um potenzielle Schwachstellen so früh wie möglich im Prozess zu identifizieren. Die Sichtbarkeit der verschiedenen Komponenten Ihrer Containerarchitektur ist ein weiteres Schlüsselelement, das Aqua bietet, einschließlich Cloud-Hosting, Orchestrierungssuites und die Netzwerke, die die verschiedenen Teile miteinander verbinden. Aqua spricht auch mit den geheimen Tresoren von Drittanbietern, SIEM- und Alarm-Tools und Kollaborationstools wie Slack und Jira.
Aqua bietet eine Vielzahl von Open-Source-Tools sowie eine kostenlose (nicht produktive) Entwicklerlizenz für seine Aqua Wave-Lösung an. Die Preise für Aqua Wave und Aqua Enterprise richten sich nach den aktivierten Optionen und der Größenordnung, wobei die Produktionslizenzen für Aqua Wave in der Größenordnung von 10.000 US-Dollar pro Jahr beginnen.
Deepfence
Deepfence ist eine Container-Überwachungslösung, die dynamische Richtlinienerstellung und -härtung, Systemprüfung sowie Echtzeitüberwachung, Alarmierung und Abhilfe bietet. Sie verfügt über reichhaltige Analysefunktionen, mit denen die Nutzung und Leistung von Anwendungen über einen längeren Zeitraum verfolgt, die Systemarchitektur visualisiert und anomales Verhalten untersucht werden kann. Deepfence gestattet Lizenzen pro Knoten (mit Deepfence-Agent) und bietet sowohl eine kostenlose Community-Edition als auch ihre Enterprise-Edition, deren Preis bei 1.800 US-Dollar pro Knoten jährlich liegt.
NeuVector
NeuVector ist eine weitere Option, die sich tief in jeden Aspekt des Container-Lebenszyklus von der Entwicklung bis zur Laufzeit einfügt. Maschinelles Lernen wird mit der Integration in bestehende Tools während des gesamten Entwicklungs- und Bereitstellungsprozesses kombiniert, um anomales Verhalten von Anwendungen und Diensten zu identifizieren. NeuVector bietet sogar eine Inspektion des Netzwerkverkehrs auf der Anwendungsebene, um DDoS- und DNS-Angriffe zu verhindern. NeuVector-Lizenzen sind als Jahresabonnement ab $1.200 pro Knoten/Host erhältlich.
Palo Alto Networks Prisma Cloud
Prisma Cloud stammt aus einer der etablierteren Einheiten im Bereich der Netzwerksicherheit und bietet einen Funktionsumfang, der im Vergleich zu den anderen hier behandelten Tools günstig ist. Während Palo Alto allgemein für seine Netzwerksicherheitslösungen bekannt ist, deckt Prisma Cloud den gesamten Container-Lebenszyklus ab und integriert sich vollständig in die von den Entwicklern bereits verwendeten Tools wie integrierte Entwicklungsumgebungen (IDEs) und Software Configuration Management (SCM)-Tools. Dieser Vorstoß, die Sicherheit so früh wie möglich in den Prozess zu integrieren, ermöglicht eine schnellere Iteration und einen effizienteren Entwicklungs-Workflow. Prisma Cloud wird über die Arbeitslast lizenziert, die im Allgemeinen als Ressource in einem Cloud-Konto definiert ist.
Qualys Container Security
Qualys Container Security ist eine weitere Plattform, die den gesamten Lebenszyklus abdeckt, sich in die DevOps-Pipeline integriert, Images auf Schwachstellen scannt und Container zur Laufzeit überwacht. Qualys geht noch einen Schritt weiter und spricht mit gängigen Anwendungen, die in Ihren Containern laufen, um deren Zustand zu überwachen und potenzielle Schwachstellen zu identifizieren. Qualys bietet die Lizenzierung sowohl für Container-Sicherheitsbewertungen als auch für den Laufzeitschutz auf Basis von Host und Knoten oder pro laufendem Container an.
StackRox Kubernetes Security Plattform
Die StackRox Kubernetes Security Platform bringt die gleiche Absicht zur Ausreifung Ihres Container-Entwicklungszyklus in einen integrierten DevSecOps-Prozess und fügt die Möglichkeit hinzu, sich direkt in Kubernetes einzubinden und so die nativen Sicherheitskontrollen von Kubernetes zu nutzen und zu verbessern. StackRox unterstützt Compliance-Bewertungen, die Abweichungen von CIS-, PCI-, HIPAA- und NIST-Standards und Best Practices aufzeigen, und Sie können sogar Änderungen an Netzwerkrichtlinien simulieren, um deren Auswirkungen vorherzusagen. StackRox lizenziert seine Sicherheitsplattform auf der Grundlage der Anzahl der verwendeten Mitarbeiterknoten von Kubernetes.
Sysdig Secure
Sysdig Secure kümmert sich bereits während des CI/CD-Prozesses oder durch die Integration in eine beliebige Docker v2-kompatible Image-Registry um die Sicherheit Ihrer Container. Das Schwachstellenmanagement wird über einen Workflow-basierten Prozess abgewickelt, der je nach Schwere der Schwachstelle Karenzzeiten unterstützt. Sysdig gibt Ihnen auch Tools an die Hand, mit denen Sie Konfigurationsschwächen, geheime Nutzung und Verstöße gegen bewährte Verfahren erkennen können. Sysdig bietet drei Lösungen (Sysdig Monitor, Sysdig Secure und die Sysdig Secure DevOps Plattform) zu zwei Preisstufen (Enterprise und Essentials) an. Essentials kostet $20 monatlich für Monitor, $40 für Secure oder $50 monatlich für die vollständige DevOps Plattform. Die Preisgestaltung für Enterprise hängt von Ihren Anforderungen ab und erfordert einen Anruf beim Sysdig-Vertriebsteam.
*Tim Ferrill ist IT-Fachmann und Autor mit Schwerpunkt auf Windows, Windows Phone und Windows Server. Er lebt in Südkalifornien.
Be the first to comment