Anzeige

Cloud-Container-Concept

Docker wird dieses Jahr sechs Jahre alt. Mit der Open-SourceSoftware lassen sich Anwendungen in Containern isoliert betreiben, was die Bereitstellung von Anwendungen und den Datentransport erheblich vereinfacht.

Nach Meinung von Palo Alto Networks mangelt es jedoch in vielen Unternehmen an einer klaren Strategie speziell für Container-Sicherheit, die in der Regel getrennt von der Cloud behandelt wird. Für Sicherheitsverantwortliche ist es wichtig, die inhärente Verbindung zwischen Public Cloud und Containern zu verstehen.

Enge Verzahnung zwischen Container und Cloud

Das Computing-Umfeld hat in den letzten zwei Jahrzehnten mehrere Entwicklungen durchgemacht. Eines der wesentlichen Ziele der Entwickler war es, sich nicht mehr mit den Abhängigkeiten von Betriebssystem und Anwendung auseinandersetzen zu müssen. Mittels Containern wurde dieses Problem angegangen, aber dadurch ergab sich eine ganze Reihe neuer Herausforderungen bezüglich Sicherheit. Die Marktnachfrage für Containerlösungen ist schnell gewachsen und hat nebenbei einige punktuelle Sicherheitsprodukte hervorgebracht – von kommerziellen Angeboten bis hin zu Open-Source-Lösungen.

Diese deckten zwar einige der Sicherheitsherausforderungen von Containern teilweise ab, boten aber keinen ganzheitlichen Ansatz. Die Mehrheit der auf Containern entwickelten Anwendungen nutzt eine Mischung aus PaaS-Diensten wie AWS Redshift, GCP Cloud Datastore und Azure SQL. Die Frage, die Palo Alto Networks stellt, lautet jedoch: Wie können Sicherheitsteams das Gesamtrisiko des Unternehmens genau einschätzen, ohne einen vollständigen Überblick über die API-Schicht der Cloud, und das Wissen, welche cloudbasierten Dienste verwendet werden?

Betrachtet man beispielsweise ein Szenario, in dem eine Flotte von Containern anfällig für eine neue Schwachstelle ist, aber die AWS-Sicherheitsgruppe nicht auf dem für den Angriff erforderlichen Port geöffnet ist. Dieses umfassende Sicherheitswissen ändert die Risikogleichung dramatisch, würde aber ansonsten von punktuellen Container Sicherheitsprodukten übersehen werden. Warum?

Weil sie oft keinen Einblick in die wichtige API-Schicht des Cloud-Anbieters haben. Dieses vollständige Wissen über den Stack ermöglicht es Sicherheitsfachleuten, diese Schwachstelle zu beheben. Dabei werden sie zunächst andere Schwachstellen beheben, die öffentlich bekannt gegeben wurden. Doch an was mangelt es bei der aktuellen Strategie, die die Containersicherheit isoliert vom Rest der Cloudarchitektur betrachtet?

Ganzheitliche Adressierung von Containern

Der erste Optimierungsschritt ist die Festlegung eines klaren Ziels, damit das Sicherheitsteam weiß, was es zu erreichen versucht. Das Ziel wäre in etwa die sichere Nutzung von Containern durch eine Kombination aus Entwicklertraining, vereinbarten Sicherheitsstandards, automatisierter Durchsetzung von Best Practices und enger Integration mit nativen APIs von CloudAnbietern. Der Schlüssel dazu ist, sich nicht darauf zu beschränken, ein weiteres Sicherheitstool zu kaufen, sondern die Beteiligten zu ermutigen, einen ganzheitlichen Ansatz zu verfolgen, der Menschen, Prozesse und Technologien miteinbezieht.

Dies lässt sich am Beispiel des Themas DevOps und Sicherheit verdeutlichen. Solange die Teams nicht sowohl Sicherheitsprozesse als auch Tools in den Entwicklungslebenszyklus integriert haben, ist es nicht möglich DevSecOps, also die Vereinigung von DevOps und Sicherheit, so früh wie möglich im Entwicklungsprozess, umzusetzen. Angesichts der Agilität und Geschwindigkeit, mit der Container und die Cloud arbeiten, gibt es hierzu keine Alternative. Sobald sie sich ein klares Ziel gesetzt haben, werden die Teams ihre Energie auf die drei Schlüsselbereiche innerhalb des Containerlebenszyklus konzentrieren wollen: Build, Deployment und Run. Jeder dieser Bereiche stellt jedoch eine besondere Herausforderung dar und erfordert besondere Aufmerksamkeit.

Teil der Cloud-Sicherheitsstrategie

Angesichts der Prognose, dass noch in diesem Jahr 90 Prozent der Unternehmen Container einsetzen werden, ist es wichtig, diese als Teil einer ganzheitlichen CloudSicherheitsstrategie zu betrachten. Wenn es niemanden im Team gibt, der sich auf die Entwicklung und Implementierung einer Cloud-Sicherheitsstrategie mit Containern als integralen Bestandteil konzentriert, ergibt sich ein verzerrtes Bild der Risiken, die Container für das Unternehmen darstellen.

Während es oft verlockend erscheint, einfach ein weiteres punktuelles Sicherheitsprodukt hinzuzufügen, sehen in diesem Bereich versierte Unternehmen die Cloud und Container als ein und dasselbe. Wer die Sicherheit von Containern und Clouds getrennt betrachtet, wird blind für Risiken, denen eine dahingehend optimal integrierte Strategie begegnen würde.

www.paloaltonetworks.com

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cloud-Security

Konvergente Technologien für Sicherheit in der Cloud

Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die Erweiterung ihrer Netzwerkverbindungsfähigkeiten, um sicherzustellen, dass ihre Daten den richtigen Personen zur richtigen Zeit zur Verfügung stehen. Insbesondere für…
Cloud Gewitter

Versteckt in der Wolke: Cloud-basierte Cyberbedrohungen

Der Cloud-Security-Spezialist Netskope analysiert in seinem neuen Cloud and Threat Report die interessantesten Trends zur Nutzung von Cloud-Diensten und -Apps in Unternehmen, zu Web- und Cloud-basierten Bedrohungen sowie zu Datenmigrationen und -transfers in…
AWS

6 Schritte zur IT-Sicherheit in der AWS Cloud

Die Zahl der Unternehmen, die auf die Vorteile einer Cloud-Infrastruktur von AWS setzen, wächst rasant. Unternehmen aller Größenordnungen sind dabei jedoch im Zuge der Shared Responsibility für einen Teil der IT-Sicherheit ihrer in der Cloud laufenden Systeme…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!