Der Spagat zwischen Effizienz, Schnelligkeit und Sicherheit Warum Entwickler an Container-Security denken sollten

Anbieter zum Thema

Veracode Limited

Cohesity GmbH

Pathlock Deutschland GmbH

Arctic Wolf Networks Germany GmbH

Egal ob Unternehmen oder öffentliche Hand – ohne Digitalisierung geht nichts mehr. Und Entwickler sind mehr denn je gefragt, schnell die dafür notwendigen Anwendungen zu coden. Unverzichtbar dafür: Container – sie ermöglichen Entwicklern und Unternehmen zwar schnell zu agieren, dennoch bringen sie auch einige Risiken mit sich.

Softwareentwicklung ist heute ohne Container kaum mehr vorstellbar. Container sind kleine, eigenständige Softwarepakete, die alles Nötige für die Ausführung einer Anwendung beinhalten. Sie kommen insbesondere bei der Entwicklung, Bereitstellung und Wartung von Web-Applikation in der Cloud zum Einsatz und bieten eine schnelle und portable Methode zur Paketierung von Softwarecode. So können Anwendungen unabhängig von der Computerumgebung schnell und zuverlässig ausgeführt werden.

Mit all diesen Vorteilen ermöglichen Container Entwicklern und Unternehmen zwar schnell zu agieren, dennoch bringen sie auch einige Risiken mit sich. Die Sicherheit von Containern ist eine zunehmende Herausforderung. Deshalb steigt auch die Nachfrage, die Sicherheitslücken in Containern zu schließen. So soll der globale Markt für Containersicherheit bis 2027 3,9 Milliarden Dollar erreichen. Doch was macht Container so angreifbar?

Die Gefahr in Containern

Zu den Sicherheitsrisiken der Containern gehören unter anderem Schwachstellen durch zusätzliche Software, schlecht verwaltete Zugangs-Codes (wie Amazon Web Services-Schlüssel und -Anmeldeinformationen in Docker-Dateien) und fehlerhafte Sicherheitskonfigurationen. Auch Malware, die in Container-Images eingebettet ist, stellt eine häufige Bedrohung dar. Docker hat im August 2021 entdeckt, dass fünf bösartige Container-Images mit verstecktem Code die Systeme von mehr als 120.000 Anwendern ausgenutzt haben.

Einige Länder ergreifen bereits proaktive Maßnahmen, um Container-Sicherheitsrisiken vorzubeugen. Beispielsweise hat in den USA das General Services Administration’s Data Center and Cloud Optimization Initiative Program Management Office einen Containerisation Readiness Guide heraus gegeben, um Unternehmen und öffentliche Hand bei der Einführung von Containern zu unterstützen. Und in Großbritannien hat das Ministerium für Arbeit und Renten proaktive Schritte unternommen und den Security Standard - Containerisation veröffentlicht. Auch in Deutschland wurden ähnlich Maßnahmen ergriffen. So hat das Bundesamt für Sicherheit in der Informationstechnik Richtlinien zur sicheren Verwendung von Containern herausgebracht, den SYS.1.6 Containerisierung.

Container absichern: Ein entscheidender Teil der Cybersicherheit

Schwachstellenmanagement-Tools, die in herkömmlichen Modellen verwendet werden, nehmen an, dass dieselben Anwendungen stets auf einem bestimmten Server ausgeführt werden. Das ist bei Containern aber nicht der Fall. Je nach Ressourcenverfügbarkeit können hier unterschiedliche Anwendungen auf verschiedene Server geladen werden. Deshalb sind diese Tools nicht in der Lage, Schwachstellen in containerisierten Architekturen zu erkennen.

Sicherheitsteams haben aufgrund der fehlenden Transparenz der Container Schwierigkeiten damit, Probleme innerhalb des Codes zu erkennen. Außerdem werden Container nur selten auf Schwachstellen getestet, bevor sie zur Verwendung freigegeben werden. Dies kann zu katastrophalen Folgen führen.

Unternehmen müssen angesichts der steigenden Anzahl von Cyberattacken sicherstellen, dass ihre Containersicherheit auf dem neusten Stand ist. Nur so können sie Gefährdungen verhindern. Effektive Sicherheit bedeutet auch, proaktiv auf Schwachstellen zu testen und diese zu analysieren. Daher sollten Unternehmen den Einsatz von SaaS-basierten On-Demand-Testservices in Erwägung ziehen. Sie bieten DevSecOps-Teams eine kontinuierliche Sicherheitsanalyse und sollten von Anfang bis Ende in den Software Development Life Cycle (SDLC) integriert sein.

Außerdem ist es wichtig, die Infrastruktur, auf der die Container laufen, richtig einzurichten. Dank der Technologie IaC (Infrastructure as Code) geschieht dies in modernen Umgebungen meist automatisch. Sicherheitslösungen vom Container werden dabei häufig auch auf die zugrunde liegende Infrastruktur angewendet. An dieser Stelle muss allerdings noch weitergedacht werden. Wenn die Einrichtung der Infrastrukturen auf diese Weise automatisch geschieht, muss sich die Automatisierungslösung bei der Infrastrukturumgebung anmelden. Hierfür werden unter anderem Anmeldedaten und Authentifizierungszertifikate benötigt. Auch der Anbieter der Infrastruktur verlangt alle möglichen Angaben und/oder Anmeldeinformationen, um die erforderliche Infrastruktur einzurichten.

Ein sehr bedeutsamer Teil der Containersicherheit ist das so genannte Secret Scanning. Es ist dabei vom Vorteil, wenn eine Scanning-Lösung alle drei genannten Technologien – Container, IaC und Secrets Management – in einem einzigen CLI (Command Line Interface) kombiniert. Anwendungen lassen sich somit über Container, IaC und Secrets Management in einer Cloud-Umgebung bereitstellen.

Die Absicherung von Containern erfordert einen "Shift Left"-Ansatz, so dass Entwickler schon früh im SDLC Ratschläge zur Behebung von Problemen erhalten. Damit sinkt das Risiko, unsichere Container produktiv werden zu lassen. Denn sobald sie produktiv sind, hosten Container Cloud-native Anwendungen. IT-Administratoren können dabei Konfigurationen anpassen. Dies kann neue Risiken mit sich bringen. Deshalb müssen Unternehmen ihre Container vom ersten Tag an sichern und konsequent überwachen, um sicherstellen zu können, dass potenzielle Bedrohungen erkannt und behoben werden.

SBOM für Container-Images

Softwaresicherheit und Software Supply Chain Risk Management gewinnen immer mehr an Bedeutung. Insbesondere seit dem globalen Cyberangriff auf Solar Winds, einer der größten Sicherheitsverletzungen des 21. Jahrhunderts, ist das Interesse enorm gestiegen. Dies führte zu der Entstehung eines Meilensteins der Softwaresicherheit: dem Software Bill of Materials (SBOM). Das SBOM ist ein Inventar an einzelnen Bausteinen, aus denen ein Software-Artefakt besteht. Einige Container-Plattformentwickler implementieren bereits Befehle zur Erstellung von SBOMs für ihre Container-Images. Veracode verfolgt die Entwicklung von SBOMs und generell von neuen Sicherheitsstandards wie beispielsweise Supply Chain Levels for Software Artifacts (SLSA). Bei SLSAs handelt es sich um Sicherheitsframeworks, die Checklisten für Sicherheitsstandards und -kontrollen beinhalten. So können Manipulationen verhindert, die Integrität verbessert und sowohl Pakete als auch Infrastrukturen in Projekten abgesichert werden.

Mehr denn je sollten Container-Sicherheitsprogramme in DevSecOps-Strategien integriert werden. Laut dem Veracode State of Software Security (SoSS) 2023-Report zeigen 32 Prozent der Apps bei ihrem ersten Scan Schwachstellen. Diese Zahl steigt nach fünf Jahren auf 70 Prozent. Es steht viel auf dem Spiel. Deshalb ist anhaltende Softwaresicherheit oberstes Gebot für Unternehmen. Denn Container sind nicht nur eine Methode zur Effizienzsteigerung und schnelleren Softwareentwicklung – ihre Absicherung ist von entscheidender Bedeutung für Unternehmen und Organisationen, Anwender und die ganze Gesellschaft.

Über den Autor: Julian Totzek-Hallhuber ist Manager Solution Architects bei Veracode.

(ID:49658252)