Cloud Security

Container-Risiken mit modernem Image Sandboxing verhindern

, München, Palo Alto Networks | Autor: Herbert Wieler

Container-Risiken mit modernem Image Sandboxing verhindern

Palo Alto Networks erweitert Fähigkeiten von Prisma Cloud

Entwickler und DevOps-Teams können jetzt das fortschrittliche maschinelle Lernen von Prisma Cloud nutzen, um dynamische Bedrohungen zu verhindern, bevor sie in Betriebsumgebungen stattfinden

Die heutigen Hochgeschwindigkeitsbereitstellungen in einer DevOps-Welt beruhen auf der effizienten Wiederverwendung von Bibliotheken und zunehmend auch von Container-Images. Entwickler und DevOps-Teams ziehen regelmäßig Images aus Registrys von Drittanbietern, um sie in ihren Unternehmensumgebungen auszuführen. Gleichzeitig passen sich die Cyberkriminellen von heute weiter an. So verdeutlichen die Security-Experten von Palo Alto Networks im Unit 42 Cloud Threat Report , dass Sicherheitsvorfälle in der Cloud zunehmen. Für jedes Unternehmen bieten Images von Drittanbietern eine Möglichkeit für bösartige Akteure, in Produktionsumgebungen einzudringen.

Prisma Cloud verschiebt weiterhin die Grenzen der Cloud-Sicherheit und zeigt, dass ein besserer Schutz möglich ist. Die Lösung wird von GigaOm als führend im Schwachstellenmanagement anerkannt, während die TEI-Studie von Forrester den beeindruckenden ROI von 276 Prozent hervorhebt.

Die jüngste Ankündigung stellt einen Sprung in den Möglichkeiten der Containersicherheit dar. Prisma Cloud wendet das überaus leistungsfähige maschinelle Lernen auf Images von Drittanbietern oder anderen Anbietern an, unabhängig von deren Herkunft, und ermöglicht Kunden, diese Images in einer Sandbox vor der Bereitstellung auszuführen. Prisma Cloud analysiert automatisch die tatsächliche Laufzeit auf dynamische Bedrohungen und lernt alle Prozesse, die ausgeführt werden, die Netzwerkaktivität für das Image und alle Dateisystemzugriffe, um ein detailliertes Modell dessen zu erstellen, was das Image tun wird. Automatisierung ist unerlässlich, um Schritt zu halten, und diese Version von Cloud Workload Protection in Prisma Cloud ist nicht anders.

Die neueste Version von Cloud Workload Protection umfasst:

  • Container-Sicherheit: Sandbox für die Image-Analyse vor der Bereitstellung.
  • Host-Sicherheit: Automatischer Schutz für virtuelle Maschinen auf Azure und Google Cloud.
  • Webanwendungs- und API-Sicherheit: Windows-Unterstützung, Service-Mesh-Unterstützung und verbesserte API-Telemetrie.
  • Partner-Update: Prisma Cloud ist ein von Red Hat zertifizierter Technology Vulnerability Scanner

Container-Sicherheit: Sandbox zur Image-Analyse vor der Bereitstellung

Unternehmen laden Images aus vielen verschiedenen Quellen herunter und führen sie aus, darunter Container-Registrys, die von verschiedenen Geschäftseinheiten intern verwaltet werden, externe Quellen wie Docker Hub oder andere Registrys von Drittanbietern.

Das Prisma Cloud Command Line Interface (CLI) – twistcli – ermöglicht es Anwendern, Images auf Schwachstellen, Compliance-Probleme, Malware und Geheimnisse zu scannen, und zwar sowohl auf dem Laptop eines Entwicklers als auch mit dem CI/CD-Tooling. Palo Alto Networks ist erfreut, diese lang ersehnte Funktion – Image Analysis Sandboxing – vorstellen zu können.

Mit Image Analysis Sandboxing führt Prisma Cloud das Container-Image eines Drittanbieters in einer vom Kunden gehosteten isolierten Umgebung aus und nutzt maschinelles Lernen, um alle Prozesse, Dateisystem- und Netzwerkaktivitäten vor der Bereitstellung eingehend zu prüfen. Dies bedeutet, dass Kunden vollständige Transparenz und Kontrolle über alle Aspekte jedes Images haben, bevor sie es in eine Live-Umgebung bringen, mit detaillierten Analyseergebnissen sowohl für die CLI als auch für die Konsolen-UI.

Host-Sicherheit: Automatischer Schutz für VMs auf Azure und Google Cloud

Mit der letzten Version von Cloud Workload Protection hat Palo Alto Networks seine Funktionen zur automatischen Erkennung und zum automatischen Schutz für eigenständige VMs (Hosts) in AWS vorgestellt. Jetzt bietet Host Security erweiterte und verbesserte Fähigkeiten, mit automatischen Schutzfunktionen für Hosts in Azure und Google Cloud.

Diese Funktionen sind von entscheidender Bedeutung, da bestimmte Sicherheitsanforderungen für Hosts, wie z. B. kontinuierliche Überwachung und aktive Prävention, nur mit einem Agenten erreicht werden können, der den Workload schützt. Mit dem automatischen Schutz reduziert Prisma Cloud den Aufwand für DevOps- und Sicherheitsteams, die Host-Sicherheitsagenten manuell konfigurieren, bereitstellen und aktualisieren müssen, erheblich.

Jetzt können Unternehmen sicher sein, dass für ihre Workloads, die über diese Cloud-Serviceprovider laufen, automatisch erweiterte Schutzfunktionen bereitgestellt werden.

Sicherheit für Webanwendungen und APIs: Erweiterte Unterstützung für Windows, Service Mesh und mehr

Web Application and API Security (WAAS) bietet unübertroffenen Schutz für Cloud-native Anwendungen und erweitert die Funktionen von Web Application Firewalls (WAFs), um die OWASP Top 10, API-Sicherheitsfunktionen, erweiterten DoS-Schutz und Bot-Risikomanagement abzudecken. Diese Funktionen wurden weiter ausgebaut, um Windows-Hosts zu schützen, einschließlich Windows Server 2019 LTSC. Darüber hinaus unterstützt WAAS jetzt automatisch die Installation auf Service-Meshes wie Istio oder Linkerd. Diese Verbesserungen tragen der schnellen Kundenakzeptanz der integrierten WAAS-Funktionen im vergangenen Jahr Rechnung und bieten mehr Technologien, die Prisma Cloud unterstützen kann.

WAAS bietet jetzt auch detaillierte Informationen über den Zustand und den Durchsatz von APIs, einschließlich Anwendungsantwortcodes, Details zu Traffic und Performance, TLS-Zertifikatsstatus und anpassbare Log Sanitization (Löschen von Daten auf temporär belegten Speichermedien).

Partnerschaft: Red Hat Container Security-Zertifizierung

Prisma Cloud verbessert sein Produkt weiterhin durch seine Partnerschaftsprogramme. Red Hat erweitert seine Containerpräsenz durch seine OpenShift-Umgebung und seine Red Hat Container Images, die Prisma Cloud als Basis-Image verwendet. Palo Alto Networks ist stolz darauf, ein Red Hat Advanced Partner zu sein. Der Red Hat-zertifizierte Schwachstellen-Scanner von Palo Alto Networks ist jetzt im Red Hat Ecosystem Catalog verfügbar.

„Wir bei Red Hat glauben, dass Containersicherheit Linux-Sicherheit ist, und wir entwickeln uns ständig weiter, um neue Sicherheitsstandards zu setzen und unsere Partner und Kunden besser zu unterstützen“, erklärt Lars Herrmann, Vice President of Partner Ecosystems, Product & Technologies bei Red Hat. „Mit der Red Hat Vulnerability Scanner-Zertifizierung helfen wir Partnern wie Palo Alto Networks, sicherheitsrelevante Daten von Red Hat zu nutzen, um ihren Kunden zuverlässigere und konsistentere Berichte über Container-Schwachstellen zu liefern.“

Zusätzliche Funktionen

Zusätzlich zu den oben genannten leistungsstarken Funktionen bietet Prisma Cloud auch:

  • App-Embedded Defender Forensics: Wenn Unternehmen neue Workload-Typen wie AWS Fargate, Azure Container Instances, Google Cloud Run und Google Kubernetes Engine Auto-Pilot nutzen, erweitert Prisma Cloud auch den Schutz. Mit dieser Funktion werden Kunden-Laufzeitregeln und die umfangreiche forensische Datensammlung auf alle diese Compute-Stacks übertragen.
  • Verbesserungen beim Scannen von Amazon Machine Images (AMI) : Jetzt werden die Host-Security-Funktionen erweitert, um benutzerdefinierte VPCs und sogar verschlüsselte AMIs abzudecken.
  • Serverless-Sicherheit: Die neueste Version enthält Serverless Auto-Protect v2 und Unterstützung für Ruby 2.5 und 2.7 im Serverless Defender.
  • N-2-Rückwärtskompatibilität: Die Prisma Cloud-Konsole ist abwärtskompatibel bis zu zwei Hauptversionen zurück, so dass Teams, die mit der Operationalisierung befasst sind, fast ein Jahr Support-Zeitraum zwischen Defender- und Twistcli-/Jenkins-Plugin-Upgrades haben.
  • Erweiterung der SaaS-Plattform: Unsere tiefgreifende Produktintegration glänzt weiterhin mit der Einrichtung eines einheitlichen Benachrichtigungsanbieters zwischen CSPM und CWP, so dass Teams Warnungen zum Cloud Service Posture Management über dieselben Kanäle wie arbeitslastbezogene Warnungen leiten können. Darüber hinaus wurde mit dieser Version die Geschwindigkeit der Erkennung unverteidigter Workloads (über Cloud Discovery für SaaS-Konten) durch Änderungen am Scan-Mechanismus verbessert.