{"id":12216,"date":"2018-01-23T14:41:56","date_gmt":"2018-01-23T13:41:56","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12216"},"modified":"2018-01-22T09:45:59","modified_gmt":"2018-01-22T08:45:59","slug":"eine-frage-des-vertrauens-wenn-gute-container-schlecht-werden","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12216","title":{"rendered":"Eine Frage des Vertrauens: Wenn gute Container schlecht werden"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Autor\/Redakteur: Tim Mackey, Technologie-Evangelist bei Black Duck Software<\/a>\/gg<\/p>\n

Betreiber von Datacentern stehen vor doppelten Herausforderungen bei der Komplexit\u00e4t der Infrastruktur und der Anwendungsgeschwindigkeit, w\u00e4hrend sie sich gleichzeitig um die Einhaltung globaler Governance-Vorschriften wie der Datenschutzgrundverordnung (DSGVO) k\u00fcmmern m\u00fcssen. Moderne Workloads sind zunehmend containerisiert. Das bedeutet, dass neue Muster der Verwaltung und der \u00dcberwachung zur Einhaltung der Regelungen erforderlich sind. Ein Beispiel ist das Patchen von Anwendungen. Bei Bare-Metal- und virtualisierten Servern wurden Verfahren entwickelt, bei denen das Betriebssystem und die Anwendungskomponenten innerhalb dieser Server kontinuierlich aktualisiert werden, sobald Patches ver\u00f6ffentlicht werden. Die Containerisierung kehrt diese Praxis um. Containerisierte Anwendungen werden gepatcht, in dem das Container-Image aus gepatchten Quellen neu erstellt und anschlie\u00dfend wieder bereitgestellt wird. Diese eine \u00c4nderung im Prozess erfordert eine Neubewertung der Art und Weise, wie Anwendungen erstellt werden \u2013 und ma\u00dfgeblich wo sich vertrauensw\u00fcrdige Quelldateien befinden.<\/p>\n

<\/p>\n

Auch kriminelle Akteure haben die M\u00f6glichkeit, KI und Machine Learning f\u00fcr Angriffe einzusetzen. Machine Learning eignet sich hervorragend dazu, gro\u00dfe Datenansammlungen auszuwerten und Muster zu finden. Open-Source-Projekte sind bestens geeignet, um mit Machine Learning potenzielle Angriffsvektoren zu analysieren und zu bewerten. Da mehr KI im Cybersicherheits- und Datacenter-Betrieb eingesetzt wird, kann man davon ausgehen, dass Hacker diese Technologie ebenso einsetzen werden; sei es, um Phishing-Angriffe zu starten oder Szenarien zu testen, die von Hackern dann bei Malware- oder DDoS-Angriffen umgesetzt werden.<\/p>\n

Was sind die Hauptmethoden, um Container zu kompromittieren?<\/strong><\/p>\n

Grundlegend ist das eine Frage des Vertrauens. Zum Beispiel werden die meisten Container-Images aus einem Quell- oder Basis-Image erzeugt. Dann werden anwendungsspezifische Komponenten hinzugef\u00fcgt, um die containerisierte Anwendung zu bilden. Ohne eine Validierung des Sicherheitsstatus f\u00fcr ein Basis-Image k\u00f6nnen Hacker modifizierte Komponenten in Basis-Images platzieren, die dann weit verbreitet werden, wodurch ein gesamtes Container-\u00d6kosystem gef\u00e4hrdet wird. Die Gr\u00f6\u00dfe der Entwickler-Community, die Container einsetzt, w\u00e4chst weiter und bietet eine zunehmende Zielgruppe f\u00fcr Hacker. Aus einer nicht b\u00f6swilligen Perspektive betrachtet, k\u00f6nnen Basis-Images veraltete und unsichere Komponenten b\u00fcndeln, insbesondere wenn das zugrundeliegende Betriebssystem nicht die aktuellste Version ist.<\/p>\n

Sind andere Container innerhalb des Rechenzentrums gef\u00e4hrdet, wenn ein Container kompromittiert ist?<\/strong><\/p>\n

Wenn wir annehmen, dass ein Angreifer einen Container kompromittieren konnte, befindet er sich auf der anderen Seite der verschiedenen Perimeter des Netzwerks und kann von innen heraus angreifen. Um festzustellen, wie viele andere Container im Rechenzentrum gef\u00e4hrdet sind, muss man genau wissen, wie das Rechenzentrum eingerichtet ist und wie gut man sich auf Angriffe vorbereitet hat. Geringstenfalls, wenn ein Container kompromittiert wird, ist es wahrscheinlich nicht die einzige Kopie des verwendeten Container-Images. Zudem ist es wahrscheinlich, dass der gegebene Angriffsvektor ebenso in anderen Container-Images vorhanden sein kann. Aus Sicht der Abwehr besteht die zentrale Schlussfolgerung darin, dass, wenn Abwehrma\u00dfnahmen am Perimeter heruntergenommen sind, das Potenzial f\u00fcr Querwirkungen innerhalb des Rechenzentrums zunimmt.<\/p>\n

<\/p>\n

Wie ist \u201eVertrauen in Container\u201c zu definieren?<\/strong><\/p>\n

Man muss Container-Images sowohl \u201evertrauen\u201c als auch \u201everifizieren\u201c. Es ist von grundlegender Bedeutung, die Vertrauensw\u00fcrdigkeit des Herausgebers des zu verwendenden Container-Images zu bestimmen und zu pr\u00fcfen, dass die Inhalte dieses Images keine ernsthaften und ausnutzbaren Sicherheitsschwachstellen in die eigene Umgebung einbringen. Im Idealfall vertraut man den laufenden Containern in seinem Cluster. Sie f\u00fchren die Aufgaben aus, die von ihnen erwartet werden, und setzen das Unternehmen keinem Risiko aus. Dieser Vorgang beginnt mit der Einrichtung von vertrauensw\u00fcrdigen Verfahren f\u00fcr alle Images, die in das Unternehmen gelangen. Dieser Mix aus Sicherheitsarchitektur und vertrauensw\u00fcrdigem Code-Management sollte Erkenntnisse zur Image-Zusammensetzung, dem Sicherheitskontext, der zur Ausf\u00fchrung des Images erforderlich ist, und aller Dienste, die dem Image ausgesetzt sind oder von ihm genutzt werden, umfassen.<\/p>\n

Was kann proaktiv getan werden, um Risiken zu minimieren?<\/strong><\/p>\n

Zuerst muss sichergestellt werden, dass alle containerisierten Anwendungen einer statischen Codeanalyse und einem Penetrationstest unterzogen wurden. So ist man in der Lage, die Herkunft des Container-Images durch Signaturen und aus vertrauensw\u00fcrdigen Repositories zu bestimmen. Dann ist Sorge zu tragen, dass an den Perimetern geeignete Abwehrma\u00dfnahmen vorhanden sind und die Autorisierungskontrolle die Deployment-\u00c4nderungen ansteuert.<\/p>\n

Es ist auch wichtig, den Angreifern das Leben schwer zu machen, indem man die SELinux- oder AppArmor-Sicherheitsmodule f\u00fcr die verwendete Distribution aktiviert und entsprechende Seccomp-Profile einrichtet. Schlie\u00dflich sollte man aus Sicherheitsgr\u00fcnden die Angriffsfl\u00e4che des Containerhosts minimieren. Dies kann leicht mit einem der verf\u00fcgbaren minimierten Linux-Host-Systemen wie Red Hat Enterprise Linux Atomic Host, CoreOS Container Linux oder RancherOS durchgef\u00fchrt werden.<\/p>\n

Gibt es dar\u00fcber hinaus noch etwas?<\/strong><\/p>\n

Container-Technologien werden zur Norm f\u00fcr die Bereitstellung von Anwendungen in modernen Datacentern. Wie bei jeder Technologie wird es Paradigmenwechsel in der Administration geben, die Nutzer sich zu eigen machen sollten. Container haben Eigenschaften wie unver\u00e4nderliche Images, die einige Sicherheitsaufgaben wie Patching und kontinuierliches Monitoring erleichtern. Echte containerisierte Anwendungen sind so ausgelegt, dass sie tolerant gegen\u00fcber Fehlern und zustandslos sind. Wenn eine Anwendung dazu konzipiert wurde, zustandslos zu sein, kann ihre Lebensdauer verk\u00fcrzt werden, was wiederum das Angriffsfenster f\u00fcr einen bestimmten Container verkleinert. Container unterst\u00fctzen auch eingeschr\u00e4nkte Ressourcenverwaltung, die kombiniert mit einer verk\u00fcrzten Lebensdauer helfen kann, das Potential f\u00fcr die Ausnutzung von Sicherheitsl\u00fccken zu reduzieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Tim Mackey, Technologie-Evangelist bei Black Duck Software\/gg Betreiber von Datacentern stehen vor doppelten Herausforderungen bei der Komplexit\u00e4t der Infrastruktur<\/p>\n","protected":false},"author":3,"featured_media":12214,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,18],"tags":[10860,10029,10858,2540,10859,3137,10862,2654,2616,9408,949,3388,8220,8767,1458,1027,1862,10863,655,10861,1045,3766],"class_list":["post-12216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-virtualisierung","tag-apparmor","tag-atomic-host","tag-black-durck","tag-cluster","tag-code-management","tag-container","tag-coreos-container-linux","tag-datacenter","tag-ddos","tag-dsgvo","tag-enterprise-linux","tag-hacker","tag-ki","tag-machine-learning","tag-malware","tag-open-source","tag-patch","tag-rancheros","tag-redhat","tag-seccomp-profil","tag-selinux","tag-workload"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12216"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12216\/revisions"}],"predecessor-version":[{"id":12217,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12216\/revisions\/12217"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12214"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}