Marktübersicht: Sicherheitsscanner für Container-Images

Container bieten Vorteile bei der Entwicklung und Bereitstellung, aber sie bergen auch Risiken. Eine robuste Containersicherheitsstrategie kann diese mindern.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 33 Min.
Von
  • Christoph Puppe
Inhaltsverzeichnis

Die in diesem Artikel vorgestellten Tools untersuchen Container-Images auf bekannte Schwachstellen, veraltete Software, Fehlkonfigurationen und eingebettete Malware. Ein proaktives Container-Scanning ermöglicht den Entwicklungs- und Sicherheitsteams, Probleme zu erkennen, bevor sie im Produktivbetrieb landen. Dieser vorausschauende Ansatz verringert das Risiko von Sicherheitsverletzungen und Complianceverstößen und stellt die Integrität der containerisierten Anwendungen sicher. Alle Angaben in diesem Artikel stammen aus der Dokumentation der Hersteller und einem Kurztest, an dem 15 Hersteller teilgenommen haben.

Jede Schutzmaßnahme sollte konkret eines oder mehrere Risiken in ihren Auswirkungen oder ihrer Eintrittshäufigkeit reduzieren. Die wichtigsten hier im Überblick. Viele Container-Images werden auf Basis öffentlich verfügbarer Images erstellt. Sie können Malware, bekannte und unbekannte Schwachstellen enthalten. Bleiben diese unentdeckt, werden sie in die eigenen Container eingebettet. Auch selbst geschriebener Code für containerisierte Anwendungen und Bibliotheken von Drittanbietern können Anfälligkeiten für Angriffe wie SQL-Injection oder Remote Code Execution (RCE) mit sich bringen. Viele Risiken gehen auch von fehlerhaften Konfigurationen aus, wie die Ausführung als Root, zu viele Mounts auf dem Node oder nicht eingeschränkte Syscalls.

Mehr zu IT-Security
Christoph Puppe

Christoph Puppe ist Principal Enterprise Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei NTT DATA Deutschland SE, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Auch die CI/CD-Pipeline, das Rückgrat der modernen Entwicklung, birgt einzigartige Sicherheitsrisiken für Container. Angreifer können Build-Systeme kompromittieren oder bösartige Abhängigkeiten einschleusen, um Container-Images mit Malware oder Backdoors zu infizieren. Ein enormes Risiko besteht auch, wenn vertrauliche Daten wie Secrets, private Schlüssel, API-Schlüssel oder Datenbankzugangsdaten versehentlich oder absichtlich in Container-Images gelangen. Wer dann Zugriff auf ein solches Image hat, kann diese Secrets für Angriffe ausnutzen. Diese Risiken sind nicht nur bei Eigenentwicklungen vorhanden, sondern auch bei externer Software, die oft direkt als Container kommt.

Das war die Leseprobe unseres heise-Plus-Artikels "Marktübersicht: Sicherheitsscanner für Container-Images". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.