Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Container mir Security

Red Hat hat in den letzten Jahren zahlreiche Unternehmen bei der Entwicklung und dem Betrieb von Container-basierten Applikationen in einer Vielzahl von Branchen unterstützt.

Aus all diesen unterschiedlichen Anwendungsszenarien sind verschiedene Best Practices entstanden, die auch anderen Unternehmen helfen, eine hohe Sicherheit in Container-Umgebungen zu erzielen und dauerhaft aufrechtzuerhalten.

Lars Herrmann, General Manager, Workload Strategy for Cloud Platforms bei Red Hat, hat diese in einem Leitfaden zusammengefasst:

1. Container-Images nur aus vertrauenswürdigen Quellen einsetzen.

Um eine hohe Sicherheit sicherzustellen, sollten Unternehmen ausschließlich Container-Images aus einer vertrauenswürdigen Quelle einsetzen. Bei selbst entwickelten Container-Images ist diese Anforderung einfach zu erfüllen. Anders sieht es aus, wenn Container-Images von externen Quellen zum Einsatz kommen sollen. Wichtig ist dabei, die Herkunft aller darin verwendeten Bausteine und Libraries zu überprüfen. Red Hat bietet dazu beispielsweise einen Container Health Index, der die Angebote von Softwareherstellern bewertet. Er basiert unter anderem auf dem Alter und den Auswirkungen der in einem Container umgesetzten Sicherheits-Patches. Ältere Images erweisen sich häufig als weniger sicher, da nicht immer in regelmäßigen Abständen Sicherheits-Patches eingespielt wurden; neuere Images dagegen sind vergleichsweise sicher.

2. Container nach dem Multi-Tenant-Modell voneinander isolieren.

Eine wichtige Rolle im Rahmen eines umfassenden Container-Sicherheitskonzepts spielt die Multi-Tenant-Isolierung auf den Container-Hosts. Die klare Trennung bewirkt erstens, dass Container keinen Zugriff auf die Ressourcen anderer Container erhalten und zweitens, dass auch die Ressourcen des zugrundeliegenden Hosts nicht zugänglich sind. Zur Umsetzung der Multi-Tenant-Isolierung können Unternehmen grundlegende Linux-Sicherheitstechnologien einsetzen wie sie verschiedene Container-Runtime-Technologien, einschließlich Seccomp, Namespaces und SELinux bieten.

3. Eine Rollen- und Rechteverwaltung auf Ebene der Container-Plattform einrichten.

Von Anfang an empfiehlt es sich, eine Rollen- und Rechteverwaltung einzurichten, die in eine Container-Management-Lösung eingebettet ist. Hier definiert ein Administrator zum einen, welche Benutzer – abhängig von ihrer Rolle – welche Aktivitäten mit einem Container durchführen dürfen und zum anderen legt er fest, welche Aktionen ein Container ausführen darf. In Container-Umgebungen ist es üblich, Zugriffsberechtigungen selektiv an Entwickler, Architekten oder Applikationsverantwortliche zu vergeben. Dazu stehen zusätzlich zur rollenbasierten Autorisierung auch Verfahren wie die Authentifizierung unter Nutzung einer im Unternehmen bereits vorhandenen LDAP-Lösung, die Isolierung von Entwicklungs-, Test- und Produktivumgebungen und die Netzwerksegmentierung zur Verfügung.

Container-Technologien setzen sich in Unternehmen immer stärker durch. Die Gründe dafür sind eine umfangreiche Agilität und Portabilität, der geringe Platzbedarf und ein effizientes Management. Allerdings müssen auch bei Applikations-Containern die potenziellen Risiken und spezifischen Sicherheitsanforderungen berücksichtigt werden. Erstellen Entwickler Container-Applikationen, müssen sie von Anfang an nach dem Security-by Design-Prinzip vorgehen, das heißt eine Applikation erstellen, die mit einer hohen Wahrscheinlichkeit keine Sicherheitsschwachstellen aufweist.

Durch den Einsatz Container-spezifischer Verfahren, die um vorhandene Security-Tools ergänzt werden, können Unternehmen eine hohe Container-Sicherheit erreichen. Eine zentrale Rolle spielt dabei die Umsetzung einer durchgängigen Ende-zu-Ende-Sicherheit mit einer Überwachung des Informationsflusses auf allen drei Ebenen einer Container-Umgebung: Container-Images, Container-Hosts und einer Container-Plattform wie beispielsweise Red Hat OpenShift Container Platform.  

www.redhat.com/de
 

GRID LIST
Strategie

10 Punkte für die richtige API-Strategie

APIs sind ein unglaublich wertvolles Werkzeug für die IT-Modernisierung – sie schalten…
Tb W190 H80 Crop Int C7ec4121533b0efd43b60d6b621b8f97

IFS baut Field Service Management 6 aus

IFS bringt IFS Field Service Management 6 (FSM 6) auf den Markt. Das Lösungsangebot für…
Tb W190 H80 Crop Int 4f1e98f2cec01cd556c839932fdd627d

Topaz mit neuen Funktionalitäten für Entwickler

Die Mainframe-DevOps-Lösung Topaz von Compuware, ermöglicht Entwicklern der nächsten…
Smarte News aus der IT-Welt