Interview mit Markus Winkler

„Container-Sicherheit fängt bereits bei der Planung und Umsetzung der Container Images an“

Katharina Degenmann

Wollen Unternehmen schnell in Cloud wechseln, kommt die Sicherheit oft zu kurz. Dabei lassen sich Geschwindigkeit, Flexibilität und Sicherheit recht gut kombinieren. Im Interview zur DevOpsCon 2019 sprachen wir mit Markus Winkler von Trend Micro über Container-Sicherheit im Allgemeinen – und darüber, welchen Einfluss Container auf den Ressourcenverbrauch der Infrastruktur haben.

JAXenter: Hallo Markus! In Deiner Session geht es um Containertechnologien und Sicherheitsstrategien. Unter anderem ist auch von DevSecOps die Rede. Was ist damit gemeint?

Markus Winkler: DevSecOps meint, dass Security als intrinsischer Bestandteil in allen DevOps-Prozessschritten integriert werden sollte und nicht erst zur Laufzeit der Anwendung. Je früher eine potentielle Sicherheitslücke im Code oder im erstellten Containerimage identifiziert werden kann, desto einfacher, schneller und kostengünstiger kann diese behoben werden. Dies wird auch als „shift left“ bezeichnet.

JAXenter: Was sind für Dich – in Bezug auf Container – die Kernaspekte in Sachen Sicherheit?

Markus Winkler: Letztlich, das uns allen bekannte Zwiebelprinzip – unterschiedliche Maßnahmen zur Steigerung der Sicherheit, unter Verwendung verschiedenster Technologien und Praktiken. Es gibt nicht das eine, immer wirksame Hilfsmittel. Bestmögliche Sicherheit in Bezug auf Container fängt bereits bei der Planung und Umsetzung der Container Images an. Ganz besonders hervorzuheben, ist hierbei, ein fundiertes Skillset auf Seiten des Entwicklers, denn Container bergen das Risiko, den einfachsten und schnellsten Weg zu gehen, ohne zu prüfen, ob die eingesetzten Bibliotheken, Basisimages und Codeabhängigkeiten vertrauenswürdig und sicher sind.

Für jeden Schritt im DevOps-Lifecycle, für jeden Task in der CI/CD-Pipeline gibt es Lösungen, um sie sicher zu gestalten. Nur, wenn diese durchgehend genutzt werden, entstehen sichere Container in der jeweiligen Umgebung.

Container bergen das Risiko, den einfachsten und schnellsten Weg zu gehen

Man sollte sich dabei auch nicht ausschließlich auf die Container konzentrieren. Es geht insbesondere auch um die Absicherung, der darunterliegenden Infrastruktur wie Kubernetes und der Serverbetriebssysteme selbst. Auch Container und Serverless Functions laufen am Ende des Tages auf den uns seit Jahren bekannten IT-Infrastrukturen.

JAXenter: Wie finde ich heraus, ob meine Container sicher sind?

Markus Winkler: Ein einfacher Weg stellt das Image Scanning dar. Dieses kann bereits unmittelbar nach dem Buildprozess des Images in die CI/CD Pipeline integriert werden, noch bevor das Image überhaupt in eine Staging Registry geladen wird. Dieses Scanning sollte sich jedoch nicht nur auf eine einfache Prüfung von Verwundbarkeiten beschränken, welche im Build-Prozess durch die Package Manager hineingekommen sind. Insbesondere die Überprüfung, der in die Image hineinkopierte Dateien, hinsichtlich Verwundbarkeiten, Schadsoftware, Schlüssel und Passwörter etc. ist ein gutes Mittel, um technisch die Sicherheit von Containern bereits vor dem Deployment zu prüfen.

JAXenter: Welche Tools kannst du Entwicklern und Admins empfehlen, die bei der Absicherung von Containern helfen?

Markus Winkler: Wissen und Erfahrung bei der Entwicklung von Images und das Prüfen mit den Image Scannern stellt die Basis dar. Zur Laufzeit sollten nicht nur die Container selbst betrachtet werden, sondern der gesamte Technologiestack wie beispielsweise der Container Orchestrator (Kubernetes), die Container Runtime (Docker), das darunterliegende Serverbetriebssystem und die Infrastruktur. Natürlich muss auch sichergestellt werden, dass nur auf Sicherheit geprüfte Container genutzt werden können -also ein Deployment an der CI/CD-Pipeline vorbei, unterbunden ist (Admission Control).

DevOpsCon Istio Cheat Sheet

Free: BRAND NEW DevOps Istio Cheat Sheet

Ever felt like service mesh chaos is taking over? Then our brand new Istio cheat sheet is the right one for you! DevOpsCon speaker Michael Hofmann has summarized Istio’s most important commands and functions. Download FOR FREE now & sort out your microservices architecture!

Es gibt also nicht das eine Tool. Vielmehr sollten unterschiedliche, zueinanderpassende Technologien eingesetzt werden, die mit der gewählten Variante zur Umsetzung der CI/CD-Pipeline zusammenspielen. Beispiele hierzu könnten Trend Micro Deep Security Smart Check (Image Scanning) und Deep Security (Admission Control, Runtime Security) sein. Beide Lösungen können vollständig automatisiert in die Pipeline integriert werden – unabhängig davon, ob diese durch Jenkins, GitLab oder andere Release Management Tools gesteuert wird.

JAXenter: Welchen Einfluss haben Container auf den Ressourcenverbrauch in der Infrastruktur?

Markus Winkler: Qualitativ betrachtet, senken Container im Allgemeinen den Ressourcenverbrauch. Dies lässt sich aus meiner Sicht vor allem dadurch begründen, dass Container im Vergleich zur klassischen Virtualisierung einen wesentlich geringeren Overhead verursachen, und sich andererseits, die Größe der Infrastruktur über Autosscaling Mechanismen immer optimal an den aktuellen Bedarf ausrichten kann.

Qualitativ betrachtet, senken Container im Allgemeinen den Ressourcen- verbrauch.

JAXenter: Welche Anwender sollten sich mit Container-Sicherheit auseinandersetzen?

Markus Winkler: Letztlich sollten sich alle Beteiligten mit Container-Sicherheit auseinandersetzen. Das fängt beim Entwickler an, der nicht einfach nur ein vorgefertigtes Image eines möglicherweise nicht vertrauenswürdigen Entwicklers vom Docker Hub nutzen sollte.

Der Betrieb der Anwendung darf nicht nur den alleinigen Fokus auf Stabilität und Agilität haben, er muss auch den sicheren Betrieb sicherstellen, wofür es die oben angesprochenen Hilfsmittel gibt. Diese sind daraufausgerichtet, die Agilität nicht zu hemmen. Selbstverständlich müssen sich aber auch die Security-Verantwortlichen in den Unternehmen um Container kümmern, denn die herkömmlichen Tools und Verfahren zur Absicherung von IT-Netzwerken und Services lassen sich meist nicht in die Containerwelt übertragen.

JAXenter: Vielen Dank für das Interview!

Nearly 20 years information security experience working as PreSales, Lead Consultant, Solution Manager and Architect, Markus is working currently as the Cloud & DevOps Architect within Europe for Trend Micro.
Based on his broad knowledge about technologies like big data analytics, cloud security, anomaly detection, critical data security and others, he is involved in the cloud transitions of big enterprises introducing container technologies, automation and orchestration.
He is regularly in contact with all the major roles within the DevOps, Container, Cloud and Security area.
Geschrieben von
Katharina Degenmann
Katharina Degenmann
Katharina Degenmann hat Politikwissenschaft und Philosophie studiert. Seit Februar 2018 arbeitet sie in der Redaktion der Software & Support Media GmbH und ist nebenbei als freie Journalistin tätig.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: