Sysdig beobachtet einen Shift Left bei Container Security
Während Docker als Container Runtime an Bedeutung verliert, scannen immer mehr Anwender ihre Images schon früh im Build-Prozess ihrer CI/CD-Pipelines.
(Bild: Travel mania/Shutterstock.com)
- Matthias Parbel
Der auf Secure DevOps fokussierte Plattform-Anbieter Sysdig hat zum vierten Mal seinen jährlich erscheinenden "Container Security and Usage Report" vorgelegt. In der Ausgabe für 2021 kommt Sysdig zu der Einschätzung, dass immer mehr Anwender den Themen Security und Monitoring größere Bedeutung zumessen. Fast Dreiviertel (74 Prozent) der befragten DevOps-Teams scannen ihre Container Images bereits früh im Build-Prozess ihrer CI/CD-Pipelines, also noch vor dem Deployment. Container Security vollziehe demnach einen eindeutigen Shift Left, konstatiert Sysdig.
Einblicke in produktive Container-Deployments
Die im Report wiedergegebenen Erkenntnisse gehen auf die Analyse der Daten von rund 2 Millionen Container-Deployments von Sysdig-Kunden zurück. Dabei handele es sich lediglich um eine Teilmenge der täglich in Sysdig-Accounts laufenden Container. Darüber hinaus habe der Anbieter aber auch noch öffentlich zugängliche Daten von Container-Deployments bei GitHub, Docker Hub und der Cloud Native Computing Foundation (CNCF) einbezogen. Neben dem begrüßenswerten Trend zu einem Shift Left offenbaren die Daten aber auch anhaltende Sicherheitsprobleme – insbesondere im Hinblick auf die Rechte-Einstellungen bei Containern: In 58 Prozent der untersuchten Fälle laufen die Images mit Root-Privilegien.
Somit sind annähernd Zweidrittel der untersuchten Container zur Laufzeit anfällig kompromittiert zu werden. Dass DevOps-Teams dieses Risiko offenbar dennoch nicht scheuen, habe Sysdig zufolge damit zu tun, dass vielen ein rasches Deployment wichtiger sei. Die damit verbundenen Gefahren relativieren sich zudem bei einem Blick auf die durchschnittliche Lebensdauer von Container Images. Knapp die Hälfte aller untersuchten Images kommt auf Laufzeiten von weniger als fünf Minuten, nicht einmal 20 Prozent laufen einen Tag oder länger. Die sehr kurzen Lifespan-Zyklen halten zwar einerseits das Angriffsrisiko gering, erschweren allerdings auch ein umfassendes Monitoring der Container Images zur Laufzeit.
Docker Runtime verliert an Bedeutung
Einen weiteren wichtigen Trend hat Sysdig beim Einsatz von Container Runtimes und Registrys ausgemacht. Nicht erst seit Kubernetes die Unterstützung für Docker als Laufzeitumgebung einstellen möchte, hat dessen Popularität gelitten. Auch Sysdig-Anwender greifen immer häufiger zu den Alternativen Containerd sowie cri-o. Die Docker Runtime nutzen laut Report nur noch 50 Prozent, die Anteile von Containerd und cri-o haben sich gegenüber dem Vorjahr jeweils verdoppelt auf 33 beziehungsweise 17 Prozent. Dabei gilt es allerdings zu berücksichtigen, dass Docker intern ebenfalls auf Containerd aufsetzt und Plattformen wie beispielsweise Red Hat OpenShift cri-o zumindest bevorzugen.
(Bild: Sysdig)
Bei den Container Registrys für das Hosten und Managen von Images nimmt Docker nach wie vor ebenfalls die Spitzenposition ein (36 Prozent), konkurrierende Angebote wie Google Cloud Registry (GCP) und Quay finden Sysdig zufolge aber zunehmend häufiger Anwendung. GCP mit einem Anteil von 26 Prozent ist das wichtigste Public Cloud Repository. Quay verzeichnet mit einem Anstieg von 14 auf 24 Prozent das größte Wachstum.
Der Container Security and Usage Report 2021 liefert darüber hinaus weitere interessante Einblicke in die operativen Container-Umgebungen von Sysdig-Anwendern, beispielsweise zum Einsatz von Monitoring- und Security-Tools wie Prometheus oder dem von Sysdig an die CNCF übergebenen Falco. Der vollständige Report steht auf der Unternehmensseite zum kostenfreien Download zur Verfügung.
(map)
