Container Security Checklist: Bedeutung & Fehler

In einer indirekten Auslegung des Kerckhoff’schen Prinzips in der Kryptographie – ein kryptographisches System sollte auch dann sicher bleiben, wenn dem Angreifer alles über das System bekannt ist, außer dem Schlüssel.

Dieses Prinzip bildet die Grundlage einer wichtigen Wahrheit der modernen Sicherheit, nämlich Verschleierung ist nicht zwangsläufig Schutz. Ähnlich kann Containerisierung, ein leistungsstarkes Werkzeug für moderne Softwarebereitstellung, seitliche Bewegungen im Netzwerk verhindern, wenn sie korrekt implementiert wird, aber sie verhindert nicht, dass eine Anwendung innerhalb des Containers kompromittiert wird.

Container bieten Komfort, aber ohne starke Sicherheitsmaßnahmen bergen sie auch Risiken. Wenig überraschend sind 60 % der Container-Images, die in Produktionsumgebungen laufen, mit bekannten Schwachstellen behaftet und öffnen Cyberbedrohungen Tür und Tor.

Wie schützen Sie also Ihre Container vor potenziellen Angriffen? Die Antwort beginnt mit einer umfassenden Container-Sicherheits-Checkliste, die Schwachstellen auf jeder Ebene adressiert und sicherstellt, dass keine Lücke offen bleibt.

In diesem Beitrag stellen wir Ihnen eine Container-Sicherheits-Checkliste sowie einige Best Practices vor, die Ihnen helfen, eine uneinnehmbare Festung zum Schutz Ihrer Container zu errichten.

Was ist Container-Sicherheit?

Container-Sicherheit ist der Prozess, containerisierte Anwendungen sowie die sie unterstützende Infrastruktur während ihres gesamten Lebenszyklus vor Schwachstellen und Bedrohungen zu schützen.

Dies umfasst die Absicherung des gesamten Stacks – vom Container-Engine, dem Host-Betriebssystem und der Orchestrierungsplattform (wie Kubernetes) bis hin zu den Containern selbst.

Ein zentraler Bestandteil der Container-Sicherheit ist das kontinuierliche Scannen, beginnend bei den Basis-Images bis hin zum Anwendungscode innerhalb der Container.

Sie sollten aktiv zur Laufzeit nach Risiken suchen, die auf einen Angriff hindeuten könnten, und sicherstellen, dass verwendete Container-Images aus vertrauenswürdigen Quellen stammen und frei von bekannten Schwachstellen sind.

Auch die Isolation des Containers muss fehlerfrei umgesetzt werden. Überprüfen Sie doppelt auf Schwachstellen – Rechteausweitung, falsch konfigurierte Netzwerke usw.

Es gibt weitere Maßnahmen, mit denen Sie Ihre Umgebung aktiv von Bedrohungen befreien können. Mit einem starken Set an Container-Sicherheitsprotokollen oder Checklisten, die eine Vielzahl von Praktiken, Tools und Richtlinien umfassen, können Sie den gesamten Container-Lebenszyklus absichern – von Entwicklung und Bereitstellung bis hin zu Laufzeit und Außerbetriebnahme.

Bedeutung einer Container-Sicherheits-Checkliste

Container-Umgebungen sind ein Labyrinth aus beweglichen Teilen. Und wenn Sie deren Sicherheit verwalten wollen, brauchen Sie ein System. Richtlinien oder Checklisten zur Hand zu haben, kann die Zeit bis zur erfolgreichen Bereitstellung eines vollständig abgesicherten Docker- oder Kubernetes-Containers erheblich verkürzen.

Neben der Zeitersparnis hat eine Sicherheits-Checkliste noch weitere Vorteile:

1. Standardisierung: Die Standardisierung jedes Schrittes im Container-Lebenszyklus ist entscheidend, um Einheitlichkeit zu gewährleisten und kritische Fehler zu vermeiden. Wenn Menschen zusammenarbeiten, besteht immer die Gefahr menschlicher Fehler. Klare Richtlinien für Aufgaben sorgen dafür, dass alle auf dem gleichen Stand sind und die Abläufe reibungslos funktionieren.
2. Umfassende Abdeckung: Containerisierte Umgebungen bestehen aus mehreren Bausteinen wie Images, Registries, Netzwerken und Laufzeit. Eine Überprüfung, bevor diese Elemente ins System eingebracht werden, sollte verpflichtend sein. Dazu gehören etwa Image-Scanning, Zugriffskontrollen, Netzwerksegmentierung und Laufzeitüberwachung.
3. Effizienz und Konsistenz: Eine Checkliste ist ein weiterer Schritt zur Gewährleistung eines abgesicherten Containers und verschafft Ihren Abläufen einen zusätzlichen Vorteil in Bezug auf Effizienz und Konsistenz. Zudem haben Ihre Teams eine Referenz für Sicherheitsbest-Practices, wodurch die Wahrscheinlichkeit sinkt, einen Schritt zu übersehen.
4. Compliance: Angesichts der zunehmenden Zahl von Cyberbedrohungen und Datenschutzverletzungen haben Regierungen und Aufsichtsbehörden strenge regulatorische Anforderungen festgelegt. Eine klar definierte Container-Sicherheits-Checkliste hilft, die Einhaltung sicherzustellen, indem Best Practices wie Role-Based Access Control (RBAC), Image-Scanning und die Einhaltung von CIS-Benchmarks für Docker und Kubernetes durchgesetzt werden. Sie sorgt auch für Protokollierung und Überwachung für Audits und erfüllt die Anforderungen von Frameworks wie DSGVO, HIPAA oder PCI-DSS.
5. Proaktive Bedrohungsminderung: Es ist immer ratsam, den gesamten Container-Lebenszyklus zweimal zu überprüfen, bevor er bereitgestellt wird, und eine Checkliste hilft Ihnen dabei. Der erste Durchgang stellt sicher, dass alle Sicherheitsmaßnahmen implementiert sind, der zweite dient als Validierungsschritt, um übersehene Konfigurationen oder neue Bedrohungen zu erkennen, bevor sie zu kritischen Problemen werden.

Die 10 wichtigsten Container-Sicherheits-Checklisten

Nachdem wir die Bedeutung der Container-Sicherheits-Checkliste geklärt haben, ist es an der Zeit, tiefer einzusteigen und zu verstehen, welche Sicherheitsprüfungen Sie implementieren müssen.

Hier ist eine Docker- und Kubernetes-Sicherheits-Checkliste, die alle Schritte, die Ihr Sicherheitsprotokoll enthalten muss, übersichtlich auflistet:

1. Image-Sicherheit

•  Verwenden Sie vertrauenswürdige und verifizierte Basis-Images aus offiziellen Repositories.
•  Beschränken Sie, wer Images in die Registry hoch- oder daraus herunterladen darf.
•  Scannen Sie Container-Images regelmäßig auf Schwachstellen.
•  Blockieren Sie die Bereitstellung von anfälligen Images oder beschränken Sie deren Netzwerkzugriff.
•  Erkennen Sie sensible Daten wie Schlüssel oder Tokens, bevor Sie Images pushen.
•  Stellen Sie sicher, dass Images minimal gehalten sind und nur notwendige Abhängigkeiten enthalten.
•  Implementieren Sie automatisiertes Patchen und Updates von Images.

2. Zugriff und Berechtigungen

•  Vermeiden Sie es, Container mit Root-Rechten auszuführen.
• Verhindern Sie, dass Container übermäßige Berechtigungen erhalten oder unnötige Systemaufrufe tätigen.
•  Setzen Sie das Prinzip der minimalen Rechtevergabe für Container und Benutzer um.
•  Steuern Sie, welche Container bestimmte Dateien oder Verzeichnisse ändern dürfen.
• Verwenden Sie PodSecurity Admission, um den Zugriff auf sensible Fähigkeiten und Ressourcen einzuschränken.
•  Nutzen Sie Role-Based Access Control (RBAC), um den Zugriff auf kritische API-Endpunkte und Container-Ressourcenaktionen wie `get`, `list`, `watch`, oder `secrets.` zu beschränken.
•  Verwenden Sie Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf Container-Umgebungen.

3. Netzwerksicherheit

•  Isolieren Sie Container durch Netzwerksegmentierung (z. B. Docker-Netzwerkrichtlinien).
•  Schützen Sie öffentlich zugängliche Dienste, indem Sie den Datenverkehr an verschiedenen Ports und Protokollen filtern.
•  Verwenden Sie verschlüsselte Kommunikation (z. B. TLS) für Datenübertragungen.
•  Nutzen Sie Layer-7-Kontrollen mit einem Service Mesh und Deep Packet Inspection, um HTTP/HTTPS-Richtlinien durchzusetzen.
• Beschränken Sie Layer-3- und Layer-4-Verkehr, indem Sie IP- und portbasierte Zugriffe steuern.
• Stellen Sie sicher, dass das gewählte Container Network Interface (CNI)-Plugin Kubernetes-Netzwerkrichtlinien unterstützt.
• Wenden Sie Ingress- und Egress-Netzwerkrichtlinien auf alle Workloads an, mit Standardrichtlinien, die jeglichen Verkehr verweigern.
• Stellen Sie sicher, dass kritische Komponenten (Kubernetes API, Kubelet API usw.) nicht öffentlich zugänglich sind.
• Verschlüsseln Sie den Datenverkehr und verwenden Sie Mutual TLS (mTLS), um die Kommunikation zwischen Workloads innerhalb von Clustern zu authentifizieren.

4. Laufzeitsicherheit

•  Überwachen Sie das Laufzeitverhalten von Containern auf verdächtige Aktivitäten.
•  Beschränken Sie den Zugriff von Containern auf Host-Ressourcen durch den Einsatz von Linux-Sicherheitsmodulen.
•  Setzen Sie Ressourcenlimits (CPU, Speicher), um Denial-of-Service-Angriffe zu verhindern.
• Beschränken Sie den Zugriff auf Laufzeit-API und Daemon, um Manipulationen an laufenden Containern zu verhindern.
•  Protokollieren und auditieren Sie alle Container-Aktivitäten in Echtzeit.

5. Schwachstellen- und Patch-Management

• Scannen Sie Container und Host-Systeme regelmäßig auf Schwachstellen.
• Scannen Sie Konfigurationsdateien auf Compliance in Ihrer Continuous-Integration-Pipeline und integrieren Sie automatisierte Prüfungen auf Fehlkonfigurationen.
• Verwenden Sie Image-Signierung (Docker Content Trust), um die Integrität der Container-Images zu überprüfen.
• Führen Sie statische Code-Analysen durch, um Schwachstellen im Anwendungscode und dessen Abhängigkeiten zu identifizieren.

6. Secrets Management

•  Speichern Sie sensible Daten (API-Schlüssel, Passwörter) in Secret-Management-Tools.
•  Vermeiden Sie das Hardcodieren von Secrets in Container-Images oder Umgebungsvariablen.
• Führen Sie regelmäßige Audits durch und überprüfen Sie, wer Zugriff auf die Secrets-API hat, und rotieren Sie Verschlüsselungsschlüssel.
• Verschlüsseln Sie Daten im Ruhezustand, indem Sie den Kubernetes API-Server so konfigurieren, dass geheime Daten in etcd verschlüsselt werden, für eine zusätzliche Schutzschicht.
• Konfigurieren Sie Tokens mit kürzeren Ablaufzeiten, um das Risiko bei Kompromittierung zu minimieren.

7. Orchestrierungs-Sicherheit

•  Sichern Sie Container-Orchestratoren (z. B. Docker) mit starken Zugriffskontrollen.
•  Aktivieren Sie Role-Based Access Control (RBAC) und stellen Sie das Prinzip der minimalen Rechtevergabe für Benutzer und Servicekonten sicher.
• Implementieren Sie Versionskontrolle (wie Git) für Orchestrator-Service-Definitionen und Konfigurationen.
•  Aktivieren Sie die Protokollierung aller API-Anfragen an die Orchestrator-Control-Plane (z. B. Audit-Logs in Kubernetes).

8. Sichere Konfiguration

•  Deaktivieren Sie unnötige Dienste oder Ports in Containern.
•  Verwenden Sie schreibgeschützte Dateisysteme für Container, die keinen Schreibzugriff benötigen.
•  Stellen Sie sicher, dass Container nach Möglichkeit zustandslos und unveränderlich sind.

9. Backup und Notfallwiederherstellung

•  Sichern Sie Container-Konfigurationen und Anwendungsdaten regelmäßig.
• Stellen Sie die Konsistenz der Backups sicher, indem Sie etcd-Snapshot-Befehle verwenden, um eine zeitpunktgenaue Sicherung zu erstellen.
• Führen Sie Notfallsimulationen durch, bei denen Sie absichtlich eine Cluster-Komponente ausfallen lassen und überprüfen, ob der Wiederherstellungsprozess wie erwartet funktioniert.

10. Compliance und Auditing

•  Stellen Sie die Einhaltung von branchenspezifischen Sicherheitsstandards sicher (z. B. DSGVO, PCI-DSS).
•  Auditieren Sie regelmäßig Container-Sicherheitsrichtlinien, Protokolle und Zugriffskonfigurationen.
•  Führen Sie regelmäßige Penetrationstests der Container-Umgebungen durch.

Best Practices für Container-Sicherheit

Obwohl wir Ihnen eine Container-Sicherheits-Checkliste an die Hand gegeben haben, finden Sie hier einige Best Practices, die Ihre containerisierten Umgebungen zusätzlich absichern:

1. Verwenden Sie vertrauenswürdige Basis-Images: Das Fundament Ihres Containers basiert auf den Images. Stellen Sie daher sicher, dass Sie diese aus einer seriösen Quelle beziehen. Setzen Sie zudem auf automatisiertes Image-Scanning und regelmäßige Patch-Tools. Verwenden Sie Tools, die sich direkt in Ihre CI/CD-Pipeline integrieren, um Basis-Images in jeder Phase zu überprüfen.
2. Implementieren Sie das Prinzip der minimalen Rechtevergabe: Halten Sie Container-Berechtigungen streng. Vermeiden Sie es, Container als Root auszuführen, und beschränken Sie den Zugriff auf Systemressourcen, um potenziellen Bedrohungsvektoren zuvorzukommen. Verwenden Sie CIS-Benchmarks, um das Host-Betriebssystem zu härten, indem Sie sicherstellen, dass nur minimale Dienste laufen, und ziehen Sie Tools wie SentinelOne in Betracht, um die Angriffsfläche auf Systemaufrufebene zu reduzieren. Dies ist wichtig, da Container den Host-Kernel gemeinsam nutzen.
3. Absicherung von Infrastructure as Code (IaC): Um riskante Konfigurationen in der Produktion zu verhindern, können Sie IaC-Vorlagen wie Kubernetes-Manifeste verwenden, die auf Richtlinienverstöße und Fehlkonfigurationen (wie zu weitreichende IAM-Rollen oder offene Ports) vor der Bereitstellung prüfen.
4. Cloud-Konfiguration härten: Sorgen Sie für die Isolierung von Cloud-Ressourcen durch VPCs und private Netzwerke und härten Sie Cloud-Dienste durch Zugriffskontrolle nach dem Prinzip der minimalen Rechtevergabe. Implementieren Sie kontinuierliches Monitoring auf Cloud-Fehlkonfigurationen (wie offene S3-Buckets oder exponierte Management-Interfaces).
5. Externe Schwachstellen reduzieren: Schwachstellen in Drittanbieter-Abhängigkeiten (meist während des Builds entdeckt) können Schwächen in Ihre Anwendungen einbringen. Sie können das Scannen von Abhängigkeiten auf bekannte CVEs in Betriebssystem- und Anwendungsabhängigkeiten automatisieren. Aktualisieren Sie regelmäßig Bibliotheken und Pakete.
6. Orchestrator- und Laufzeit-Benchmark-Kontrollen: Nutzen Sie Sicherheitskontrollen des Orchestrators wie Kubernetes Admission Controller, um Sicherheitsrichtlinien vor der Bereitstellung durchzusetzen. Implementieren Sie Laufzeit-Benchmark-Prüfungen (z. B. Kubernetes CIS-Benchmarks), um sowohl Orchestratoren als auch laufende Container regelmäßig zu auditieren.
7. Netzwerksegmentierung: Erstellen und wenden Sie Richtlinien an, um den Container-Verkehr zu steuern und die Angriffsfläche zu verkleinern. Die Mikrosegmentierung containerisierter Workloads begrenzt die Auswirkungen eines Angriffs und verbessert die Netzwerksicherheit.
8. Ressourcenbegrenzung: Durch das Setzen von Ressourcenlimits für CPU, Speicher und Speicherplatz jedes Containers verhindern Sie, dass ein Container die Systemressourcen erschöpft. Wenn Systemressourcen aufgebraucht sind, können Betriebsprobleme und Serviceausfälle auftreten.
9. Überwachen und protokollieren Sie Aktivitäten: Sie müssen in Echtzeit auf Sicherheitsbedrohungen reagieren. Nutzen Sie Tools, die Einblick in das Container-Verhalten geben, sodass Sie Bedrohungen schnell erkennen und abwehren können.
10. Sichern Sie die CI/CD-Pipeline: Stellen Sie sicher, dass Ihre CI/CD-Pipeline durch Sicherheitsprüfungen in jeder Phase des Container-Lebenszyklus – vom Code-Commit bis zur Bereitstellung – abgesichert ist. So verhindern Sie, dass Schwachstellen bereits im Entwicklungsprozess eingebracht werden.
11. Automatisieren Sie Sicherheitsupdates: Verwenden Sie Automatisierungstools, um Sicherheitspatches und Updates für Container und Orchestratoren ohne Ausfallzeiten einzuspielen.
12. Compliance und Richtliniendurchsetzung: Auditieren Sie Container regelmäßig, um die Einhaltung von Unternehmens- und regulatorischen Richtlinien sicherzustellen. Nutzen Sie Tools zur Richtliniendurchsetzung, um Sicherheitsrichtlinien in allen Umgebungen anzuwenden und konsistente Sicherheitsstandards und Compliance zu gewährleisten.

Häufige Fehler bei der Container-Sicherheit, die Sie vermeiden sollten

Im Februar 2019 gab das Docker-Team öffentlich die CVE-2019-5736-Schwachstelle bekannt. Aufgrund dieser Schwachstelle konnten Angreifer die Binärdatei des Hosts überschreiben, Zugriff auf das Host-System erlangen und Befehle als Root innerhalb eines Containers ausführen.

Mehrere Organisationen, darunter AWS, RedHat und Microsoft Azure, entdeckten diese Schwachstelle ebenfalls und spielten Patches für ihre Produkte ein.

Im Jahr 2021 nutzte die CVE-2021-3490 -Schwachstelle einen Fehler im Linux-Kernel im Zusammenhang mit dem Extended Berkeley Packet Filter (eBPF) aus.

Diese Schwachstelle ermöglichte es Angreifern, beliebigen Code auf dem Host auszuführen, wenn kompromittierte Container über Kubernetes’ Standard-seccomp-Profile Zugriff auf eBPF hatten. Diese Profile beschränkten die erforderlichen Systemaufrufe nicht und ließen bestimmte Setups ungeschützt.

Diese Vorfälle zeigen, dass schon eine kleine Nachlässigkeit bei der Container-Sicherheit die Integrität Ihrer Anwendungen gefährden und Ihre Umgebung Risiken aussetzen kann.

Weitere häufige Fehler bei der Container-Sicherheit, auf die Sie achten sollten, sind:

• Die Annahme, dass öffentliche Images sicher sind, kann zu kompromittierten Deployments führen. Vertrauen Sie niemals externen Images ohne gründliche Überprüfung durch erfahrene Entwickler.
• Das Offenlegen von Containern über zu viele offene Kanäle vergrößert die Angriffsfläche. Vermeiden Sie es, Container mit Root-Rechten offen zu lassen, und überprüfen Sie Netzwerkinteraktionen auf potenzielle Schwachstellen.
• Das Versäumnis, Code-Bibliotheken vor der Integration in Container auf Schwachstellen zu prüfen und zu scannen
• Unvollständige oder fehlende Protokollierung erschwert das schnelle Erkennen von Sicherheitsproblemen.
• Das Ignorieren der Sicherheit der CI/CD-Pipeline, etwa durch das Überspringen von Sicherheitsprüfungen während Build und Deployment, kann Schwachstellen bereits früh im Entwicklungsprozess einbringen.

SentinelOne Cloud Workload Security für Container

Sie benötigen eine einheitliche Strategie über alle Nodes hinweg, um alle Ihre containerisierten Umgebungen effektiv abzusichern. Q2 ist ein führender Finanzdienstleister für über 1200 Banken, Genossenschaften und Finanzinstitute. Mit über 22 Millionen Endanwendern und 65.000 Containern in der Public Cloud hat Q2 SentinelOne’s Cloud Workload Security für Container in allen Umgebungen implementiert. Und wie Q2 können auch Sie von zahlreichen Funktionen und Vorteilen dieser Lösung profitieren, Anomalien frühzeitig erkennen und eine starke Sicherheitslage aufrechterhalten.

Wichtige Funktionen und Vorteile

• Umfassender Schutz von Hybrid-Cloud-Workloads in Multi-Cloud-Umgebungen, einschließlich AWS, Azure, GCP und lokalen Rechenzentren
• Blockiert Ransomware, Zero-Day-Exploits, Krypto-Miner und dateilose Angriffe
• eBPF-basierte Agentenarchitektur bietet Echtzeit-Transparenz auf Prozessebene des Betriebssystems und liefert tiefe Telemetrie ohne Kernel-Module
• Statische KI-Engine analysiert Dateistrukturen mithilfe eines Datensatzes von über 500 Millionen Malware-Signaturen
• Verhaltensbasierte KI-Engine nutzt zeitliche Analysen, um Muster im Zeitverlauf zu bewerten und bösartiges Verhalten zu erkennen, das statischer Erkennung entgehen könnte
• Echtzeit-Erkennung von maschinenschnellen Angriffen auf Server, VMs, Container und Kubernetes
• Automatisierte Wiederherstellung für maximale Workload-Verfügbarkeit
• Beschleunigte Untersuchungen und Incident Response, unterstützt Threat Hunting
• Workload Flight Data RecorderTM.
• Beschleunigen Sie Innovationen mit Laufzeitsicherheit, die nicht im Weg steht.
• Keine Kernel-Abhängigkeiten. Geringe CPU- und Speicherbelastung.

• eBPF-Architektur für Stabilität und Performance
• Unterstützt Docker, Container und cri-o-Runtimes
• Automatisch skalierbarer Schutz
• Echtzeit-CWPP
• Unterstützt selbstverwaltete und gemanagte K8s-Services
• Unterstützt 14 führende Linux-Distributionen, einschließlich Amazon Linux 2023
• Integration mit Snyk (separat erhältlich)

Darüber hinaus unterstützt SentinelOne’s Cloud-Native Application Protection Platform (CNAPP) Sie bei der Verbesserung der Container-Sicherheit mit Funktionen wie Kubernetes Security Posture Management (KSPM) und Cloud Security Posture Management (CSPM), sodass Ihre Cloud-nativen Anwendungen konform und sicher bleiben.

Tour starten

KI-gestützter Cloud Workload-Schutz (CWPP) für Server, VMs und Container, der Laufzeitbedrohungen in Echtzeit erkennt und stoppt.