DevSecOps und die Lücke in der Container-Sicherheit
22. Februar 2019Docker wird dieses Jahr sechs Jahre alt –mit der Open-Source-Software lassen sich Anwendungen in Containern isoliert betreiben, was die Bereitstellung von Anwendungen und den Datentransport erheblich vereinfacht. Nach Meinung von Palo Alto Networks mangelt es jedoch in vielen an einer klaren Strategie speziell für Container-Sicherheit, die in der Regel getrennt von der Cloud behandelt wird. Für Sicherheitsverantwortliche ist es wichtig, die inhärente Verbindung zwischen Public Cloud und Containern zu verstehen.
Das Computing-Umfeld hat in den letzten zwei Jahrzehnten mehrere Entwicklungen durchgemacht. Eines der wesentlichen Ziele der Entwickler war es, sich nicht mehr mit den Abhängigkeiten von Betriebssystem und Anwendung auseinandersetzen zu müssen. Mittels Containern wurde dieses Problem angegangen, aber dadurch ergab sich eine ganze Reihe neuer Herausforderungen bezüglich Sicherheit. Deswegen wurden einige punktuelle Sicherheitsprodukte für Container auf den Markt gebracht – von kommerziellen Angeboten bis hin zu Open-Source-Lösungen.
Diese deckten zwar einige der Sicherheitsherausforderungen von Containern teilweise ab, boten aber keinen ganzheitlichen Ansatz. Die Mehrheit der auf Containern entwickelten Anwendungen nutzt eine Mischung aus PaaS-Diensten wie AWS Redshift, GCP Cloud Datastore und Azure SQL. Die Frage, die Palo Alto Networks stellt, lautet jedoch: Wie können Sicherheitsteams das Gesamtrisiko des Unternehmens genau einschätzen, ohne einen vollständigen Überblick über die API-Schicht der Cloud, und das Wissen, welche cloudbasierten Dienste verwendet werden?
Betrachtet man beispielsweise ein Szenario, in dem eine Flotte von Containern anfällig für eine neue Schwachstelle ist, aber die AWS-Sicherheitsgruppe nicht auf dem für den Angriff erforderlichen Port geöffnet ist. Dieses umfassende Sicherheitswissen ändert die Risikogleichung dramatisch, würde aber ansonsten von punktuellen Container-Sicherheitsprodukten übersehen werden. Warum? Weil sie oft keinen Einblick in die wichtige API-Schicht des Cloud-Anbieters haben.
Dieses vollständige Wissen über den Stack ermöglicht es Sicherheitsfachleuten, diese Schwachstelle zu beheben. Dabei werden sie zunächst andere Schwachstellen beheben, die öffentlich bekannt gegeben wurden. Doch an was mangelt es bei der aktuellen Strategie, die die Containersicherheit isoliert vom Rest der Cloudarchitektur betrachtet?
Ganzheitliche Adressierung von Containern
Als ersten Optimierungsschritt rät Palo Alto Networks zur Festlegung eines klaren Ziels, damit das Sicherheitsteam weiß, was es zu erreichen versucht. Das Ziel wäre in etwa „die sichere Nutzung von Containern durch eine Kombination aus Entwicklertraining, vereinbarten Sicherheitsstandards, automatisierter Durchsetzung von Best Practices und enger Integration mit nativen APIs von Cloud-Anbietern“. Der Schlüssel dazu ist, sich nicht darauf zu beschränken, ein weiteres Sicherheits-Tool zu kaufen, sondern die Beteiligten zu ermutigen, einen ganzheitlichen Ansatz zu verfolgen, der Menschen, Prozesse und Technologien miteinbezieht.
Dies lässt sich am Beispiel des Themas DevOps und Sicherheit verdeutlichen. Solange die Teams nicht sowohl Sicherheitsprozesse als auch Tools in den Entwicklungslebenszyklus integriert haben, ist es nicht möglich DevSecOps, also die Vereinigung von DevOps und Sicherheit, so früh wie möglich im Entwicklungsprozess, umzusetzen. Angesichts der Agilität und Geschwindigkeit, mit der Container und die Cloud arbeiten, gibt es hierzu keine Alternative. Sobald sie sich ein klares Ziel gesetzt haben, werden die Teams ihre Energie auf die drei Schlüsselbereiche innerhalb des Containerlebenszyklus konzentrieren wollen: Build, Deployment und Run. Jeder dieser Bereiche stellt jedoch eine besondere Herausforderung dar und erfordert besondere Aufmerksamkeit.
Teil der Cloud-Sicherheitsstrategie
Angesichts der Prognose, dass noch in diesem Jahr 90 Prozent der Unternehmen Container einsetzen werden, ist es nach Meinung von Palo Alto Networks wichtig, diese als Teil einer ganzheitlichen Cloud-Sicherheitsstrategie zu betrachten. Wenn es niemanden im Team gibt, der sich auf die Entwicklung und Implementierung einer Cloud-Sicherheitsstrategie mit Containern als integralen Bestandteil konzentriert, ergibt sich ein verzerrtes Bild der Risiken, die Container für das Unternehmen darstellen. Während es oft verlockend erscheint, einfach ein weiteres punktuelles Sicherheitsprodukt hinzuzufügen, sehen in diesem Bereich versierte Unternehmen die Cloud und Container als ein und dasselbe. Wer die Sicherheit von Containern und Clouds getrennt betrachtet, wird blind für Risiken, denen eine dahingehend optimal integrierte Strategie begegnen würde. (rhh)
Hier geht es zu Palo Alto Networks