Die Nutzung von Containern und Kubernetes steigt - und damit auch die Notwendigkeit, sich mit Container Security zu befassen.
Eine aktuelle Umfrage des Anbieters NeuVector hat den Status der Container- und Kubernetes-Nutzung sowie im Besonderen das Thema Container Security untersucht. Die Umfrage ergab unter anderem, dass sich der Einsatz von Container-Architekturen und Microservices beschleunigt hat. Mehr als 89 Prozent der befragten Unternehmen setzen bereits auf die Nutzung von Containern. Interessant ist auch: 88,53 Prozent planen den Einsatz von Containern in den nächsten sechs bis zwölf Monaten. Das deutet laut NeuVector darauf hin, dass die Verbreitung von containerisierten Anwendungen in Unternehmen zunimmt, die Container bereits aktiv nutzen.
Container-Orchestrierung und Cloud-Plattformen
Der weit verbreitete Einsatz von Containern erfordert auch eine entsprechende Container-Orchestrierung. Hier setzen die meisten Unternehmen nach wie vor auf Kubernetes. Das ist wenig überraschend. Denn Kubernetes gilt als De-facto-Standard für die Container-Orchestrierung. Sehr dicht dahinter folgen OpenShift von Red Hat sowie Rancher.
Nach der genutzten Cloud-Plattform befragt lag für die meisten Unternehmen insgesamt Amazon Web Services (AWS) vorn. In den Unternehmen kommen dabei vor allem AWS EC2, AWS EKS und AWS Fargate zum Einsatz. An zweiter Stelle liegt die Google Cloud mit Google Cloud GKE und Google Anthos.
Container Security: 71 Prozent sind besorgt
Die Nutzung von Container-Architekturen und Kubernetes für die Orchestrierung hat sich inzwischen also in vielen Unternehmen durchgesetzt. Und viele von ihnen setzen Container vollumfänglich in ihren Produktivumgebungen ein. Wie sieht es da mit der Container Security aus?
Hier sind die Unternehmen durchaus sensibilisiert. 71 Prozent der Befragten zeigen sich besorgt über die Sicherheit der Kubernetes-Laufzeit. Diese Sorge umfasst zudem Angriffe auf das Netzwerk, Kryptomining sowie sogenannte Man-in-the-Middle-Angriffe.
Trügerische Sicherheit bezüglich konkretem Einblick in den Datenverkehr
Durch die Nutzung von Kubernetes zur Container-Orchestrierung wird eine zusätzliche Abstraktionsschicht hinzugefügt. Das erleichtert dem Administrator die Verwaltung einer großen Anzahl von Containern. Doch er verliert dadurch auch die Sicht auf einige Informationen. Das ist ein wenig Fluch und Segen zugleich. Denn es vermittelt Unternehmen eine etwas trügerische Sicherheit bezüglich des konkreten Einblicks in den tatsächlichen Datenverkehr.
So geben 64 Prozent der Befragten an, Einblick in die persönlichen und privaten Informationen zu haben, auf die von Kubernetes-Umgebungen zugegriffen wird. Doch so ganz genau wissen sie nicht, ob sie wirklich alles sehen und vor allem was sie NICHT sehen. Denn was sie nicht sehen können, sind beispielsweise Informationen darüber, wer auf die Kubernetes-API-Server zugreift. Oder wie oft Pod-zu-Pod-Kommunikation stattfindet, und ob die Verbindungen verschlüsselt sind.
Die Mehrheit der Befragten verwendet zwar ein Tool zum Scannen von Sicherheitslücken oder glaubt, ein solches zu verwenden. Hier waren die Antworten sehr unterschiedlich. Das kann laut NeuVector ein Hinweis darauf sein, dass viele Unternehmen meinen, dass sie von den Cloud-Anbietern geschützt werden. Jedoch ist das nicht immer zwingend der Fall. Es gilt also, wachsam zu sein und die tatsächliche Container Security zu überprüfen.
Zusätzliche Sicherheitsmaßnahmen integrieren
Die große Mehrheit der Befragten (72 Prozent) verlässt sich derzeit auf die Kubernetes Network Policy oder Pod Security Policy (PSP). Das ist verständlich. Denn diese Richtlinien sind bereits in Kubernetes integriert. Sie gewährleisten somit eine gute Grundlagensicherheit. Wichtig zu beachten ist jedoch, dass PSP seit Juni 2021 veraltet ist. Um ihre genutzten Pods auch weiterhin abzusichern, sollten sich Unternehmen also nach einer Kubernetes-nativen Alternative umsehen. Für eine stärkere, granulare und automatisierte Sicherheit fügen die meisten Unternehmen bereits eine zusätzliche Sicherheitsebene wie beispielsweise NeuVector hinzu.
Container Security bei Multi-Cloud-Nutzung nicht vernachlässigen
Bereits knapp 70 Prozent der befragten Unternehmen planen, ihre Kubernetes-Workloads über mehrere Clouds hinweg zu skalieren. Dieser Multi-Cloud-Ansatz wird neue Herausforderungen beim Thema Container Security mit sich bringen. Dazu zählen beispielsweise erhöhte Komplexität der Sicherheitsverwaltung über verschiedene Plattformen hinweg sowie die Verwaltung von Sicherheitsrichtlinien über verschiedene Cluster hinweg. Auch die Bereitstellung von mehr Automatisierung für die Unterstützung verschiedener Clouds und Plattformen gilt es mit einzubeziehen. Um diese Herausforderungen zu adressieren, bietet es sich ebenfalls an, eine Kubernetes-native Sicherheitslösung einzusetzen.
Container Security: Wohin geht die Reise?
Auch dieser Frage ging NeuVector in seiner Umfrage nach. Zu den Technologien und Maßnahmen, die ganz klar im Kommen sind, zählen Service Mesh, Automatisierungslösungen für Container Security sowie Compliance. Weniger relevant scheint derzeit Serverless zu sein.
Laut Umfrage setzen knapp 40 Prozent der Unternehmen Service Mesh bereits in der Produktion ein. Zu den beliebtesten Produkten gehören dabei Istio, Hashi Corp Consul Connect, Apache ServiceComb-Mesher, Traefik Labs Maesh und LinkerD.
Automatisierung ist der Schlüssel für erfolgreiche Container Security
34 Prozent der Befragten nutzen bereits eine Automatisierungslösung für Container Security oder planen, dies zu tun. Hier könnte und sollte sich in Zukunft noch mehr tun. Denn Automatisierung ist der Schlüssel für erfolgreiche DevOps-Prozesse und für die Einhaltung von Container-Sicherheitsrichtlinien. Schließlich sorgt eine nahtlose Automatisierung dafür, dass Unternehmen keine sicherheitsbedingten Verlangsamungen in ihrer Pipeline erleben.
In puncto Compliance gaben lediglich 20 Prozent der Befragten an, ein Compliance Assessment Tool in ihren Container-Umgebungen einzusetzen. In diesem Bereich gibt es folglich noch einiges nachzuholen. Denn Compliance-Standards wie PCI DSS, SOC-2, DSGVO und andere können eine Netzwerksegmentierung für containerisierte Anwendungen erfordern, die personenbezogene Daten speichert. Deshalb empfiehlt NeuVector, automatisierte Compliance-Scans und -Berichte in Produktionsumgebungen einzubeziehen und zu integrieren.
Fazit: Luft nach oben bei Skalierbarkeit, Automatisierung und Compliance
Während eine grundlegende Container-Sicherheit bereits existiert, gilt es in den Bereichen Skalierbarkeit, Automatisierung und Compliance noch aufzuholen. Wenn Unternehmen mehrere Hunderttausend oder sogar Millionen von Containern einsetzen, muss die Skalierbarkeit der Sicherheitslösung ebenfalls berücksichtigt werden. Diese Skalierbarkeit sollte dabei von der Schwachstellenprüfung in der Pipeline bis zum Schutz des Netzwerks in der Laufzeitumgebung reichen.
Automatisierung ist besonders bei den DevOps-Prozessen der Schlüssel zum Erfolg. Sicherheitsrichtlinien müssen automatisiert über mehrere Clouds hinweg implementiert werden, ohne die Pipeline zu verlangsamen. Und automatisierte Schwachstellen-Scans sollten bekannte Probleme bereits vor der Produktion abfangen. So kann die Integration von Container Security in bestehende Prozesse das Risiko auf breiter Front reduzieren.
Außerdem dürfen Unternehmen nicht vergessen, dass Container-Infrastrukturen die Komplexität des Konformitäts- und Prüfungsprozesses zusätzlich erhöhen. Dabei sind bestehende Sicherheitsmaßnahmen in Container-Umgebungen unter Umständen nicht wirksam. Deshalb sollten Unternehmen neue Wege zur Implementierung der Netzwerksegmentierung in Betracht ziehen, um unter anderem PCI- und SOC2-Compliance zu gewährleisten.
.png)
