Sysdig-Report: Container-Deployments weisen mehrheitlich Schwachstellen auf

Inhaltsverzeichnis

Zum mittlerweile fünften Mal veröffentlicht der auf Secure DevOps fokussierte Plattform-Anbieter Sysdig seinen jährlich erscheinenden "Cloud-Native Security and Usage Report" (vormals "Container Security and Usage Report"). Nachdem das Unternehmen im vergangenen Jahr auf Anwenderseite eine zunehmende Sensibilisierung für die Themen Security und Monitoring – und damit einhergehend einen erkennbaren Shift Left bei Container Security – konstatieren konnte, zeichnet die Ausgabe des Reports für 2022 ein zwiespältiges Bild. Open-Source-Tools wie Prometheus und Falco tragen zu weitgehender Automatisierung beim Überwachen der Produktionsumgebungen und beim Auffinden von Bedrohungen bei, dennoch laufen nach wie vor rund drei Viertel der untersuchten Container-Images mit Schwachstellen oder sogar im Root-Modus.

Umsetzung der Security-Best-Practices stagniert

Immerhin 42 Prozent der untersuchten Container-Images werden im Sinne einer Shift-Security-Left-Strategie in den CI/CD-Pipelines bereits früh im Build-Prozess gescannt, bei über der Hälfte der Images erfolgt die Prüfung allerdings dem Deployment nachgelagert erst zur Laufzeit. Dabei nehmen Unternehmen offenbar bewusst das Risiko in Kauf, etwaige Schwachstellen erst später zu patchen und stattdessen der schnelleren Bereitstellung der Software für Anwenderinnen und Anwender den Vorzug zu geben. Dem Sysdig-Report zufolge weisen aber 85 Prozent der in Produktionsumgebungen genutzten Container-Images mindestens eine Schwachstelle auf. Bei drei Viertel der Images ist der Schweregrad der Schwachstelle sogar als hoch oder kritisch einzustufen.

Verschärft wird die Situation noch durch den Trend, Container-Images vermehrt aus öffentlichen Repositorys einzubinden, die nicht durchgängig validiert oder auf Schwachstellen überprüft werden – ihr Anteil stieg gegenüber dem Vorjahr von 47 auf 61 Prozent. Dabei habe sich Quay mit einem Marktanteil von 26 Prozent erstmals vor Docker Hub platzieren können, und Anbieter wie Red Hat oder AWS konnten ihren Anteil jeweils verdoppeln.

Rechte-Konfiguration häufig unzureichend

Sicherheitsprobleme ergeben sich darüber hinaus auch häufig durch Fehlkonfigurationen der Produktionsumgebungen. Ein wichtiger Faktor sind beispielsweise die Rechte-Einstellungen bei Containern. Die jüngste Untersuchung von Sysdig hat gezeigt, dass 76 Prozent der Images mit Root-Privilegien laufen. Damit ergibt sich ein deutlicher Anstieg gegenüber den 58 Prozent aus dem Report des Vorjahres. In vielen Unternehmen hinkt offenbar die Umsetzung empfehlenswerter DevSecOps-Prozesse den Cloud-nativen Betriebsmodellen hinterher.

Als positives Zeichen deuten es die Sysdig-Verantwortlichen vor diesem Hintergrund, dass der Einsatz von Open-Source-Tools wie Prometheus oder Falco beständig zunimmt. Während sich Prometheus mit einem Anteil von 83 Prozent als das wichtigste Werkzeug für Monitoring, Logging und Tracing etabliert hat, dient Falco als Threat Detection Engine für Kubernetes unter anderem dazu, unerwartetes Verhalten, Eindringlinge und Datendiebstahl zur Laufzeit erkennen zu können. Die Docker-Hub-Pulls des Projekts, das Sysdig in den Inkubator der CNCF übergeben hatte, haben sich innerhalb der vergangenen 12 Monate auf gut 40 Millionen verdoppelt. Durch Alerts informiert Falco Anwenderinnen und Anwender beispielsweise über Container mit Terminal Shells oder Images, die mit Root-Privilegien laufen.

Umfassender Einblick in Cloud-native Container-Umgebungen

Der vollständige Cloud-Native Security and Usage Report 2022 liefert einen detaillierten Einblick in die Sicherheitslage Cloud-nativer Container- und Kubernetes-Umgebungen sowie zu deren Betrieb. Dem Report liegen Analysen aus den Daten von rund drei Millionen Container-Deployments von Sysdig-Kunden zugrunde. Darüber hinaus habe der Anbieter außerdem Daten aus öffentlich zugänglichen Quellen wie GitHub, Docker Hub und der Cloud Native Computing Foundation (CNCF) einbezogen. Der Report steht auf der Unternehmensseite zum kostenfreien Download zur Verfügung.

(map)