Die Nutzung von Containern nimmt immer mehr zu. Wir sehen dies in der Forschung in allen betroffenen IT-Bereichen, also in so ziemlich allen. Dass containerisierte Workloads auch weiterhin die Workloads von Unternehmen sowohl vor Ort als auch in der Cloud beanspruchen werden, ist unbestritten.
Fast alle (94 %) Organisationen mit Containern in der Produktion sind etwas oder sehr besorgt über die Containersicherheit. Laut Tripwires „State of Container Security 2019“ waren mehr als die Hälfte (60 %) in den letzten 12 Monaten von einem Container-Sicherheitsvorfall betroffen. Über die Hälfte (54 %) der Befragten gaben „unzureichendes Wissen der Teams über Container-Sicherheit“ als ihr größtes Sicherheitsproblem an.
Dies kann durchaus daran liegen, dass es sich bei der Containerisierung nicht nur um ein Verpackungsformat handelt. Container allein bieten Organisationen nur einen sehr geringen Nutzen. Die Stärke von Containern liegt in der Möglichkeit, sie mithilfe von Orchestrierungssystemen bereitzustellen und zu verwalten. Aus diesem Grund gibt es sie schon seit mehreren Jahrzehnten, sie wurden jedoch nie wirklich angenommen, bis Orchestrierungsangebote auf der Bildfläche erschienen.
Die Einführung beschleunigte sich, als deutlich wurde, dass Container und Orchestrierung gut zu Ansätzen wie Agile und DevOps passen, die durch die Verwendung automatisierter Bereitstellungs- und Implementierungspipelines die Geschwindigkeit fördern.
Daher kann man davon ausgehen, dass beim Bereitstellen von Workloads in Containern auch ein Orchestrierungssystem bereitgestellt wird, das Teil einer Bereitstellungspipeline (CI/CD) ist.
Es gibt also drei einzelne Systeme, die berücksichtigt werden müssen, wenn wir über Containersicherheit sprechen: Pipeline, Orchestrierung und Arbeitslast.
Ihre Sicherheitsstrategie für Container sollte auch alle drei umfassen. Wenn Sie auch nur einen dieser Punkte unbewertet lassen, setzen Sie sich einer Reihe von Risiken aus. Die meisten davon können dazu führen, dass Sie auf einer Liste landen, die Sie nicht haben möchten, oder schlimmer noch, in einer Überschrift, die Sie nicht lesen möchten. Dies erschwert es Unternehmen sicherlich, sicherzustellen, dass ihre Teams über die erforderlichen Sicherheitskenntnisse verfügen.
Aus diesem Grund habe ich mich mit Sr. zusammengetan. Jordan Zebor, Testingenieur für Plattformsicherheit, bietet Ihnen eine Reihe von Blogs, die Ihnen dabei helfen sollen, sich mit den Grundlagen vertraut zu machen, damit Sie eine erfolgreiche Container-Sicherheitsstrategie formulieren können. Zu diesem Zweck werden wir uns die drei Komponenten der Containersicherheit genauer ansehen:
Lesen Sie den nächsten Blog der Reihe:
Grundlagen der Containersicherheit: Pipeline