Supply Chain Security
Containerisierte Anwendungen sichern
Die ganzheitliche Betrachtung von IT-Sicherheit ist ein kontinuierlicher Prozess, der sowohl Open-Source-Software im Allgemeinen als auch die Container-Nutzung im Besonderen betrifft. Ein zentraler Aspekt ist dabei die Supply Chain Security und damit die Sicherheit in jeder Phase des Lebenszyklus einer containerisierten Anwendung. Er reicht von „Design“ und „Build“ über „Run“ und „Manage and Automate“ bis hin zu „Adapt“.
Open Source steht hinter nahezu allen heutigen Technologiesprüngen. Quelloffene Software ist das Herzstück der meisten bahnbrechenden Technologien wie künstliche Intelligenz und maschinelles Lernen, Edge Computing, Serverless Computing und nicht zuletzt Containerisierung. Rund um die Open-Source-Nutzung und damit auch um die Containerisierung existieren allerdings immer noch einige Mythen und Missverständnisse. Sie führen vielfach dazu, dass Unternehmen elementare Sicherheitsmaßnahmen nicht oder nur unzureichend ergreifen.
Mythos 1: Um Security muss man sich nicht kümmern, wenn man Open-Source-Techniken verwendet. Dafür sorgt die Community.
Open Source steht zwar prinzipiell für hohe Innovationskraft und Sicherheit, die Communities mit Tausenden von Mitwirkenden und in der Regel eine Vielzahl von Code-Reviewern stützen. Trotzdem sollten einige grundlegende Sicherheitsempfehlungen Berücksichtigung finden. So sollten Unternehmen bei der Container-Nutzung darauf achten, nur Container-Images aus vertrauenswürdigen Quellen einzusetzen. Zur Verfügung stehen dabei bewährte Basis-Images für das Linux-Betriebssystem und eine große Zahl zertifizierter Images für verschiedene Programmiersprachen, Middleware und Datenbanken. Mit einer digitalen Signatur lässt sich das Sicherheitsniveau noch weiter erhöhen, da sie bestätigt, dass ein Dritter einen Applikations-Container nicht verändert hat.
Zudem sollte eine Registry Verwendung finden, die grundlegende Funktionen zur Verwaltung der Container-Images enthält. Dazu gehört etwa ein rollenbasierter Zugriff für die Images, der die Push- und Pull-Berechtigungen regelt. Wichtig ist immer, dass es einen eindeutig festgelegten Workflow für den Zugang zu extern und intern erstellten Container-Images gibt. Idealerweise unterstützt die Registry auch eine Automatisierung der Richtlinien und Workflows zur Verwendung der Images.
Neben der Verifizierung der Herkunft eines Applikations-Containers ist auch die Überprüfung der Inhalte wichtig. Die Analyse des Programmcodes hinsichtlich Sicherheitslücken ist schließlich ein wesentlicher Erfolgsfaktor für die Entwicklung, Implementierung und den Betrieb vertrauenswürdiger Applikationen, die auf der Container-Technik basieren. Für die schnelle Überprüfung von Container-Inhalten empfiehlt sich der Einsatz von Sicherheits-Scannern, die Schwachstellen in den Images erkennen.
Nicht zuletzt ist für die Sicherheit entscheidend, dass ein Unternehmen eine Plattform-Umgebung nutzt, die eine konsistente Entwicklung und Skalierung von containerisierten Anwendungen unterstützt. Wichtige Aspekte sind dabei Lifecycle-Management, Identitäts- und Zugriffs-Management sowie die Sicherung der Plattformdaten.
Mythos 2: Die seit Jahren bewährten Sicherheitskonzepte für die Anwendungsentwicklung reichen aus.
Container-Workloads sind über viele Infrastruktur-Footprints verteilt – vom Rechenzentrum auf dem Campus bis zum Edge. Traditionelle perimeterbasierte Sicherheit lässt sich in diesem Technikumfeld nicht mehr anwenden. Stattdessen muss jede Schicht des Infrastruktur-Stacks und jeder Schritt des Anwendungsentwicklungszyklus gesichert sein. Nur so bleibt eine gesamtheitliche Sicherheit gewährleistet. Zu berücksichtigen ist dabei etwa die große Zahl an Geräten, die im Bereich des Internet of Things (IoT) als Basis für die Container-Workloads dienen. Diese Geräte sind immer auf dem aktuellen Patch-Level zu halten – mit der Möglichkeit eines kontinuierlichen Monitorings.
Im Prinzip kann ein Unternehmen zwar auf bewährte Security-Mechanismen zurückgreifen. Sie müssen jedoch an den neuen Kontext angepasst sein. In einer Zeit des „Software-Defined Everything“, in der eine Entkopplung der Software von der Hardware stattfindet und eine Vielzahl von softwarebasierten Techniken in Benutzung sind, sind auch andere Security-Konzepte erforderlich, etwa für Software-Defined Network oder Software-Defined Storage.
- Containerisierte Anwendungen sichern
- Mythos 3 bis 4
Lesen Sie mehr zum Thema
