Grundlagen der Containersicherheit: Einführung

Was bedeutet Containersicherheit wirklich?

Die Nutzung von Containern nimmt immer mehr zu. Wir sehen dies in der Forschung in allen betroffenen IT-Bereichen, also in so ziemlich allen. Dass containerisierte Workloads auch weiterhin die Workloads von Unternehmen sowohl vor Ort als auch in der Cloud beanspruchen werden, ist unbestritten.

Fast alle (94 %) Organisationen mit Containern in der Produktion sind etwas oder sehr besorgt über die Containersicherheit. Laut Tripwires „State of Container Security 2019“ waren mehr als die Hälfte (60 %) in den letzten 12 Monaten von einem Container-Sicherheitsvorfall betroffen. Über die Hälfte (54 %) der Befragten gaben „unzureichendes Wissen der Teams über Container-Sicherheit“ als ihr größtes Sicherheitsproblem an.

Dies kann durchaus daran liegen, dass es sich bei der Containerisierung nicht nur um ein Verpackungsformat handelt. Container allein bieten Organisationen nur einen sehr geringen Nutzen. Die Stärke von Containern liegt in der Möglichkeit, sie mithilfe von Orchestrierungssystemen bereitzustellen und zu verwalten. Aus diesem Grund gibt es sie schon seit mehreren Jahrzehnten, sie wurden jedoch nie wirklich angenommen, bis Orchestrierungsangebote auf der Bildfläche erschienen.

Die Einführung beschleunigte sich, als deutlich wurde, dass Container und Orchestrierung gut zu Ansätzen wie Agile und DevOps passen, die durch die Verwendung automatisierter Bereitstellungs- und Implementierungspipelines die Geschwindigkeit fördern.

Daher kann man davon ausgehen, dass beim Bereitstellen von Workloads in Containern auch ein Orchestrierungssystem bereitgestellt wird, das Teil einer Bereitstellungspipeline (CI/CD) ist.

Es gibt also drei einzelne Systeme, die berücksichtigt werden müssen, wenn wir über Containersicherheit sprechen: Pipeline, Orchestrierung und Arbeitslast. 

Ihre Sicherheitsstrategie für Container sollte auch alle drei umfassen. Wenn Sie auch nur einen dieser Punkte unbewertet lassen, setzen Sie sich einer Reihe von Risiken aus. Die meisten davon können dazu führen, dass Sie auf einer Liste landen, die Sie nicht haben möchten, oder schlimmer noch, in einer Überschrift, die Sie nicht lesen möchten. Dies erschwert es Unternehmen sicherlich, sicherzustellen, dass ihre Teams über die erforderlichen Sicherheitskenntnisse verfügen.

Aus diesem Grund habe ich mich mit Sr. zusammengetan. Jordan Zebor, Testingenieur für Plattformsicherheit, bietet Ihnen eine Reihe von Blogs, die Ihnen dabei helfen sollen, sich mit den Grundlagen vertraut zu machen, damit Sie eine erfolgreiche Container-Sicherheitsstrategie formulieren können. Zu diesem Zweck werden wir uns die drei Komponenten der Containersicherheit genauer ansehen:

1. Pipeline-Sicherheit
   Ihre Pipeline ist der Satz von Tools, der zur automatischen Bereitstellung von Container-Workloads an das Orchestrierungssystem verwendet wird. Es kann benutzerdefinierte Python-Skripte, Jenkins, GitHub, GitLab und mehr enthalten.
   
   
2. Orchestrierungssicherheit
   Das Orchestrierungssystem wird zum Verwalten und Skalieren von Arbeitslasten verwendet. Meistens Kubernetes, es kann aber auch ein Kubernetes-basiertes System wie RedHat OpenShift, AWS, Azure, Google, Mesos oder in einigen wenigen Fällen ein benutzerdefiniertes System sein. In dieser Reihe konzentrieren wir uns auf Kubernetes, da es heute die am häufigsten verwendete Orchestrierungsoption ist.
   
   
3. Workload-Sicherheit
   Die Sicherheit der bereitgestellten Arbeitslast. Jede Workload ist Software, kommuniziert mit anderen Workloads und ist möglicherweise öffentlich zugänglich. Dies umfasst zunehmend auch Infrastruktur und Middleware. 

Lesen Sie den nächsten Blog der Reihe: 
Grundlagen der Containersicherheit: Pipeline