{"id":20726,"date":"2022-03-12T11:54:00","date_gmt":"2022-03-12T10:54:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=20726"},"modified":"2022-03-08T09:58:34","modified_gmt":"2022-03-08T08:58:34","slug":"compliance-fuer-container-images-in-amazon-eks-sichern","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=20726","title":{"rendered":"Compliance f\u00fcr Container-Images in Amazon EKS sichern"},"content":{"rendered":"\n

Mit Amazon EKS (Elastic Kubernetes Service) lassen sich Container-basierte Anwendungen bereitstellen, skalieren und betreiben. Dabei werden die Abh\u00e4ngigkeiten, Codes und Konfigurationen der Container in einem Docker-Image verpackt. F\u00fcr eine sichere Entwicklungsumgebung lassen sich die Images automatisch auf Schwachstellen scannen.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: AWS<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Mit der zunehmenden Container-Nutzung in Cloud-nativen Umgebungen werden L\u00f6sungen f\u00fcr die automatisierte Echtzeiteinsicht immer beliebter. Denn damit lassen sich alle Aktivit\u00e4ten schnell \u00fcberpr\u00fcfen.<\/p>\n\n\n\n

Die Umsetzung erfolgt durch Aktivieren des AWS Security Hubs in der gew\u00fcnschten AWS-Region. Mit einer AWS Solution k\u00f6nnen Sie Ihre Container-Images im Amazon ECR-Image-Repository (Elastic Container Registry) automatisiert \u00fcberpr\u00fcfen lassen. Wird ein Image mit kritischen oder hohen CVEs (Common Vulnerabilities and Exposures) von Ihnen im ECR hochgeladen und ver\u00f6ffentlicht, wird automatisch ein Befund f\u00fcr den AWS Security Hub generiert, um Probleme beheben und Images blockieren zu k\u00f6nnen.<\/p>\n\n\n\n

AWS Solution f\u00fcr den automatischen Befundbericht von Containern<\/strong><\/p>\n\n\n\n

\u00d6ffnen Sie AWS CloudFormation in der AWS Management-Konsole, und starten Sie die Vorlage aws-ecr-continuouscompliance-v1.yml<\/a>. Die weiteren Schritte erfolgen automatisch:<\/p>\n\n\n\n

1. Die Regel f\u00fcr Amazon CloudWatch Events (EventBridge) wird basierend auf einem ECR-Ereignis f\u00fcr einen abgeschlossenen Image-Scan ausgel\u00f6st.<\/p>\n\n\n\n

2. AWS Lambda bezieht Details aus dem ECR-Event \u201eCompleted Image Scan\u201c und sendet den Befund \u00fcber das ASFF (AWS Security Finding Format) an den Security Hub.<\/p>\n\n\n\n

3. Der AWS Security Hub erstellt eine Regel, die durch eine benutzerdefinierte Aktion ausgel\u00f6st wird. Als Ziel f\u00fcr diese Aktion dient AWS Lambda. Weist das Event eine Schwachstelle auf (kritisch oder hoch), verweigert AWS Lambda den Zugriff durch eine ECR-Repository-Richtlinie.<\/p>\n\n\n\n

Weitere Informationen: https:\/\/aws.amazon.com\/de\/blogs\/containers\/automating-image-compliance-for-amazon-eks-using-amazon-elastic-container-registry-and-aws-security-hub<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Mit Amazon EKS (Elastic Kubernetes Service) lassen sich Container-basierte Anwendungen bereitstellen, skalieren und betreiben. Dabei werden die Abh\u00e4ngigkeiten, Codes und Konfigurationen der Container in einem Docker-Image verpackt. F\u00fcr eine sichere Entwicklungsumgebung lassen sich die Images automatisch auf Schwachstellen scannen.<\/p>\n","protected":false},"author":1,"featured_media":20728,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[22,6],"tags":[4135,1016,3137,5081,12295],"class_list":["post-20726","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-tipps","tag-aws","tag-compliance","tag-container","tag-docker","tag-eks"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=20726"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20726\/revisions"}],"predecessor-version":[{"id":20729,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20726\/revisions\/20729"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/20728"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=20726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=20726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=20726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}