Aqua Security bietet ein Schutzschild für Container-Anwendungen
Das neue Release der Cloud Security Platform umfasst eine neue Technik, mit der sich Schwachstellen in Containern erkennen und blockieren lassen.
- Alexander Neumann
Aqua Security, spezialisiert auf containerbasierte, serverlose und native Cloud-Anwendungen, hat die Version 4.2 seiner Cloud-Sicherheitsplattform Aqua CSP veröffentlicht. Neu ist mit Aqua Vulnerability Shield (Aqua vShield) eine zum Patent angemeldete Technik, die Angriffe auf bekannte Schwachstellen in Containern erkennen und verhindern soll.
Bei Aqua vShield kommt eine automatisierte Schwachstellen- und Komponentenanalyse mit den Erfahrungen des Unternehmens beim Umgang von Runtime-Richtlinien zusammen. Während der Container-Image-Code unverändert bleibt, wirkt diese Art des virtuellen Patchens als Schutz vor der Ausnutzung der Schwachstellen. Aqua vShield lässt sich für Schwachstellen in den Scan-Ergebnissen aktivieren und aktiviert automatisch die entsprechenden Runtime-Kontrollen.
Fokus auf Serverless
Das neue Release bietet außerdem einen wohl erweiterten Runtime-Schutz für Serverless-Funktionen. Durch die neue Aqua-NanoEnforcer-Technik sind diese Laufzeitkontrollen an die "flüchtige" Natur von Funktionen angepasst, mit anscheinend vernachlässigbaren Auswirkungen auf die Aufrufzeit der Funktionen oder den Speicherbedarf. Hiermit lässt sich verhindern, dass bösartiger Code zu einer laufenden Funktion hinzugefügt wird.
Zudem ist ein Blacklistung verbotener ausführbarer Dateien möglich, sodass Sicherheitsteams unterschiedliche ausführbare Dateien kontrollieren können. Schließlich ist von einem Schutz serverloser "/tmp"-Verzeichnisse vor unbefugtem Zugriff und Honeypots die Rede, die böswillige Absichten erkennen, indem sie Angreifer dazu verleiten, ohne Risiko oder Bedrohung für Sachwerte oder Cloud-Zugänge auf Funktionen zuzugreifen.
Weitere Neuerungen beziehungsweise Erweiterungen sind das Scannen von Container-Images nach Schichten, sodass Entwickler den Ursprung von Sicherheitsproblemen und Schwachstellen leichter isolieren können, sowie die native Integration mit dem Monitoring-Tool Prometheus und der Image-Registry Harbor.
Jetzt nur AWS, schon bald auch Azure und Google
Die neuen Features erweitern die bisherigen Scan-Funktionen für Schwachstellen, Berechtigungen und Secrets, Nutzungstrendanalysen und Anomalieerkennung sowie Funktionssicherungsrichtlinien, die die Ausführung nicht genehmigter Funktionen verhindern. Verfügbar ist das Angebot für AWS Lambda, wobei die Unterstützung von Azure Functions und Google Cloud Functions noch in diesem Jahr geplant ist.
Wer tiefer in die Neuerungen einsteigen möchte, der sei auf zwei Blog-Beiträge zum neuen Release verwiesen (Aqua vShield, Serverless). (ane)