BANYAN untersucht Docker-Repositorien

BANYAN-Studie: Sicherheitslücken bei Docker

Moritz Hoffmann

Erst Ende letzten Jahres hat Docker einen umfassenden Sicherheitsbericht vorgelegt, um immer wieder geäußerte Bedenken zum Thema Sicherheit in der Containertechnologie zu begegnen. Nun hat die Firma BANYAN eine Studie vorgelegt, deren Ergebnisse die Sorge um die Sicherheit in Docker nähren wird. Eine beträchtliche Anzahl an Images und Paketen im zentralen Repository Docker Hub scheint für Shellshock, Heartbleed, Poodle und andere Sicherheitsrisiken anfällig zu sein.

Im Repository können Docker-Images von Firmen und Privatpersonen eingestellt werden. Mittlerweile steht dort auch ein Anteil von sogenannten offiziellen Repositories zur Verfügung. Zu diesen schreibt Docker in der Kurzversion des Sicherheitsberichts:

Official repositories are certified repositories from Independent Software Vendors (ISV) and Docker contributors like Canonical, Oracle, RedHat and many more. These images are maintained and supported by these upstream partners to ensure up-to-date images.

Wie die Ergebnisse der BANYAN-Studie zeigen, scheint in puncto Sicherheit aber weniger das Label „official“ von Bedeutung zu sein, als vielmehr die regelmäßige Pflege und Instandhaltung der Images. Von 962 Images der offiziellen Repositories waren 36 % stark gefährdet und 64 % durchschnittlich verwundbar. Aus der Studie geht zudem hervor, dass die Angreifbarkeit deutlich abnimmt, je später die Images angelegt wurden.

Für die Studie wurden Images aus dem Docker Hub gezogen und die darin enthaltenen Pakete und deren Versionen untersucht. Anhand von Informationen von MitreNVD (National Vulnerability Database) und von distributionsspezifischen Linux-Datenbanken wurden diese dann auf Anfälligkeiten geprüft. Insgesamt sollen bis zu 40 % aller im Docker-Hub eingestellten Images eine hohe Anfälligkeit aufweisen. Betrachtet man die mittlere Anfälligkeit, sind gar 75 % der Images betroffen.

Die Zahlen im Überblick:
Hohe und mittlere Anfälligkeit von Official Repositories

(Quelle: http://www.banyanops.com/blog/analyzing-docker-hub/)

(Quelle: http://www.banyanops.com/blog/analyzing-docker-hub/)

Hohe und mittlere Anfälligkeit aller Repositories:

dockerhub-general-image001

Quelle: http://www.banyanops.com/blog/analyzing-docker-hub/

 

Die Verfasser der Studie machen vor allem die unzureichende Kontrolle der Containertechnologie für die Sicherheitslücken verantwortlich. Im Gegensatz zum Paketmanagement mit einer Virtual Machine, das qua Maschinen-zentrierter Abstraktion Pakete für verschiedene Anwendungstypen schnürt und diese mit regelmäßigem Patching sicher halten kann, sind die Updates bei Containern nicht schubweise umzusetzen. Container sehen eine eher Prozess-zentrierte Abstraktion von kurzlebigen, portierbaren und unveränderbaren Einheiten vor, in denen nur Pakete in den Container Eingang finden, die für den Betrieb einer einzigen Anwendung gebraucht werden. Jedes Update würde so einen Re-Build der Container-Images erfordern, um die Unveränderbarkeit zu gewährleisten.

DevOpsCon Istio Cheat Sheet

Free: BRAND NEW DevOps Istio Cheat Sheet

Ever felt like service mesh chaos is taking over? Then our brand new Istio cheat sheet is the right one for you! DevOpsCon speaker Michael Hofmann has summarized Istio’s most important commands and functions. Download FOR FREE now & sort out your microservices architecture!

Laut BANYAN müssten solche Re-Builds teils mehrfach am Tag stattfinden, um effektiv vor Verwundbarkeiten zu schützen was natürlich nicht praktikabel ist. Stattdessen wird empfohlen, einen strengen Managementprozess im Operations-Bereich zu etablieren. Dort müssten die Images in Echtzeit analysiert werden, um ständig vollen Einblick in ihren Inhalt zu garantieren. Zur wirklich sicheren Verwendung von Containern empfiehlt BANYAN also eine konsequente DevOps-Kultur.

Aufmacherbild: cargo containers on top of each other von shutterstock.com; Urheberrecht: sergspb

Verwandte Themen:

Geschrieben von
Moritz Hoffmann
Moritz Hoffmann
Moritz Hoffmann hat an der Goethe Universität Soziologie sowie Buch- und Medienpraxis studiert. Er lebt seit acht Jahren in Frankfurt am Main und arbeitet in der Redaktion von Software und Support Media.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: