DevOps
Palo Alto Networks beleuchtet die Sicherheitsaspekte der Containertechnologie
Fakten und Mythen
In der Entwickler-Community ist viel Enthusiasmus für die Einführung von Containern zu spüren, weil sie dazu beitragen, die Entwicklung und Bereitstellung von Cloud-nativen Anwendungen zu beschleunigen und zu vereinfachen, wie Palo Alto Networks beobachtet. Container sind in sich geschlossene Anwendungen und Dienste, die sich leicht bereitstellen und aktualisieren lassen. Man denke hier an schlanke virtuelle Maschinen. Code, der als Container entwickelt wurde, ist hochgradig portabel und kann überall auf virtuellen Maschinen, Hardwareservern in Rechenzentren und in privaten oder öffentlichen Clouds ausgeführt werden. Genauso wichtig ist, dass Container den Prozess, Anwendungscode vom Testen zur Produktion zu bringen, erheblich vereinfachen, indem sie einen Großteil der Reibungsverluste reduzieren.
In einer kürzlich durchgeführten Studie von 451 Research Voice of the Enterprise (VotE) über DevOps-Praktiken hatte mehr als die Hälfte der Befragten Container auf irgendeiner Ebene in ihren Unternehmen im Einsatz. Mehr als ein Drittel nutzte den Kubernetes Orchestration Framework als Teil ihres Management-Toolkits.
Palo Alto Networks fragt: Wie sicher ist sicher?
Container werden auch oft als sicher angesehen, aber in Wirklichkeit sind sie weit davon entfernt, undurchdringlich zu sein, wie Palo Alto Networks erläutert. Dass Container keine Sicherheit bieten, stimmt jedoch auch nicht. Sie haben tatsächlich einzigartige Eigenschaften, die unschätzbare Vorteile für die Cybersicherheit bieten. Container isolieren Anwendungen, haben integrierte Sicherheitsfunktionen, und durch das häufige Rip-and-Replace bieten sie einen schnellen Mechanismus zur Behebung von Softwareschwachstellen. Durch den Einsatz von CI/CD-Plattformen (Continuous Integration/Continuous Deployment) wie Jenkins kann der Rip-and-Replace-Prozess in Form von Microservices in Minuten erfolgen. Im Gegensatz gilt es mit herkömmlichen Methoden wochen- oder monatelang auf die Anwendung von Software-Patches und Updates zu warten.
Trotz dieser Sicherheitsvorteile sind Container ein primäres Ziel für Cybersicherheitsangriffe und zählen zu den zehn wichtigsten Angriffsvektoren für Unternehmen im Jahr 2019. Sie haben einzigartige Eigenschaften, die sie anfällig für Bedrohungen machen, zu denen auch Container-Images gehören. Ein Image ist der Baustein für Container. Es ist eine eigenständige statische Datei, die ausführbaren Code enthält, der als isolierter Prozess betrieben werden kann. Images müssen aus einer vertrauenswürdigen Registry stammen. Sie müssen überprüft und der Code validiert werden, um sicherzustellen, dass sie sicher sind. Andernfalls neigen sie dazu, sehr anfällig für Cyberattacken zu sein.
Eine weitere potenzielle Quelle für Schwachstellen bei Containern ist nach Meinung von Palo Alto Networks beispielsweise die Benutzerzugriffskontrolle. Entwickler müssen Zugriff auf das haben, was sie zur Erledigung ihrer Arbeit benötigen, aber ein Root-Zugriff ohne zentral verwaltete Einschränkungen kann negative Auswirkungen auf die Sicherheit haben.
Um die Sicherheit nativer Cloud-Werkzeuge zu testen, haben IT-Sicherheitsanalytiker von Palo Alto Networks eine Anwendung entwickelt, die auf dem sofort einsatzbereiten Content-Management-System Drupal 8 basiert. Sie verwendeten ein vollständiges Cloud-natives Sicherheits-Buildout. Die CI/CD-Pipeline nutzte Git für die Verwaltung der Quellenkontrolle, Docker für die Bereitstellung von Containern und Jenkins für den Aufbau, die Tests und die Bereitstellung für AWS. Der Container wurde innerhalb von 45 Minuten kompromittiert. Mehr über diesen speziellen Angriff ist im aktuellen Whitepaper Five Major Security Threats and How to Stop Them zu lesen.
Das größere Bild
Am wichtigsten ist nach Meinung von Palo Alto Networks, dass Unternehmen nach der Erstellung einer containerisierten Anwendung sicher sein können, dass sie sich auf jeder Plattform und Infrastruktur manifestiert, auf die die Entwickler Zugriff haben. Das bedeutet, dass Anwendungen, die vor Ort ausgeführt werden, ob auf Hardwareservern oder in einer virtualisierten Umgebung, zusätzlich zu mehreren Public Clouds, geschützt werden müssen. Hierbei gilt es sowohl Sicherheitsrichtlinien durchzusetzen als auch alle Probleme zu beheben, die auf diesen Plattformen auftreten können. Dies ist eine große Aufgabe, insbesondere angesichts des chronischen Mangels an Sicherheitsexperten mit Fachkenntnissen in diesen neuen Umgebungen, wie z.B. Container und Cloud.
Unternehmen aller Größenordnungen werden bis zum Ende des nächsten Jahrzehnts eine Mischung aus alten und neuen Cloud-basierten Anwendungen einsetzen. Die Auswirkungen der Sicherung dieser Umgebungen wollen sie jedoch auf ein Minimum reduzieren. Daher müssen sie nach Meinung von Palo Alto Networks einen Ansatz verwenden, der die Erstellung und Pflege von Sicherheitsrichtlinien in großem Maßstab vereinfacht. Dieser Ansatz muss und ein einheitliches Management-Framework für die Verwaltung von Richtlinien in mehreren Umgebungen bieten.