Container absichern

Security für Container

Melanie Feldmann

© Shutterstock / James Kennedy NI

 

Container und ihre Umgebungen abzusichern, kann schnell in Unübersichtlichkeit und Unsicherheit ausarten. Spezialisierte Tools, die sich in die Continuous-Integration-Pipelines einklinken und nativ mit Container-Systemen wie Docker und Kubernetes zusammenarbeiten, wollen hier weiterhelfen. Ein Beispiel dafür ist Twistlock.

Die Twistlock Container Security Suite bietet Schwachstellen-Management für Container und Security Hardening nicht nur der Container selbst, sondern auch der Umgebung, in der die Container laufen. Die Container werden auf Exploits, Anwendungs- und Konfigurationsfehler untersucht. Die Container-Aktivitäten werden überwacht, Verstöße gegen Security Policys erkannt und gemeldet sowie korrigierend eingegriffen. Dabei werden weder der Host, noch der Container Daemon oder die Anwendung selbst angefasst. Twistlock erkennt Schwachstellen auch innerhalb des Linux Distribution Layers (z. B. Debian, Alpine Linux, Fedora), in Blibliotheken, App Frameworks wie Node.js und in selbstgebauten Anwendungspaketen.

Außerdem bringt Twistlock Authentifizierungs- und Autorisierungsmechanismen mit, mit denen Entwickler ihre Umgebung besser kontrollieren können, und die mit Systemen wie Kerberos oder LDAP zusammenarbeiten. Das Security Tool nutzt zusätzlich Machine Learning, das Anwendungen automatisch kategorisiert, um ein Security-Modell zu erstellen, dass auf selbst aufgebauten Whitelists beruht.

Sicherheit an der Pipeline entlang

Die Entwickler von Twistlock legen besonderen Wert darauf, dass ihr Tool nicht am Ende der Entwicklung steht, sondern den kompletten Entwicklungszyklus vom Anfang bis zum Ende der Continuous-Delivery-Pipeline begleitet. So sind Firewalls reine Ops Tools und statische Codescanner nur auf der Entwicklerseite im Einsatz. Mit Twistlock soll beides in einem Tool möglich sein und so einen DevOps-Ansatz fördern. Mit Plug-ins klinkt sich das Tool in Pipeline von Jenkins oder TeamCity ein.

Auf der DockerCon 2017 hat der CTO von Twistlock John Morello einen Vortrag über die Hintergründe des Security Tools gehalten. Er zeigt außerdem an einer Demo wie das Tool funktioniert.

Twistlock ist in einer Developer und einer Enterprise Edition zu haben. Die Developer Edition ist kostenlos für bis zu zehn Repositorys und zwei Hosts. Das Anlegen von Policys kann lediglich manuell erfolgen. In der Enterprise Edition ist die automatische Absicherung mit Machine Learning integriert und es gibt einen 24/7/365 Support. Aktuell ist Twistlock in der Version 2.1. zu haben. Neu hinzugekommen in der aktuellen Version ist eine Cloud Native App Firewall. Diese Firewall muss nicht für jede Anwendung extra manuell konfiguriert werden. Die Absicherung läuft weitgehend automatisch ab.

Verwandte Themen:

Geschrieben von
Melanie Feldmann
Melanie Feldmann
Melanie Feldmann ist seit 2015 Redakteurin beim Java Magazin und JAXenter. Sie hat Technikjournalismus an der Hochschule Bonn-Rhein-Sieg studiert. Ihre Themenschwerpunkte sind IoT und Industrie 4.0.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.