Container

7 Security-Tools für Docker und Kubernetes

26.04.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Diese Tools bieten Monitoring, Auditierung, Laufzeit-Schutz und Richtlinien-basierte Kontrollen für die Entwicklung und den Betrieb von Containern.

Docker-Container helfen Softwareentwicklern, Applikationen schneller zu programmieren und flexibler bereitzustellen. Sie können auch die Sicherheit des gesamten Applikations-Lebenszyklus verbessern, indem sie unter anderem:

  • Software-Komponenten automatisch analysieren, die in Containern verwendet werden;

  • verhaltensbasierte Richtlinien durchsetzen, die ganze Container-Cluster und mehrere Anwendungsversionen umspannen;

  • neue Möglichkeiten bieten, Schwachstellen-Daten zu verfolgen und zu verwalten.

Die grundlegenden Container-Security-Funktionen von Kubernetes und Co. gilt es, durch zusätzliche Tools zu verbessern.
Die grundlegenden Container-Security-Funktionen von Kubernetes und Co. gilt es, durch zusätzliche Tools zu verbessern.
Foto: cwales - shutterstock.com

Allerdings bieten Container-Management-Systeme wie Kubernetes meist nur grundlegende Schutzfunktionen. Für fortschrittliche Security-Funktionen gilt es, auf Tools von Drittanbietern zurückzugreifen.

Die folgenden sieben Produkte und Services bieten Container-Sicherheit sowohl in der Cloud als auch im eigenen Rechenzentrum. Zu den Features zählen Schwachstellenerkennung, Compliance-Prüfung, Whitelisting, Firewall-Funktionen und Laufzeit-Schutz.

Aporeto

Aporeto
Aporeto

Aporeto konzentriert sich auf Laufzeit-Schutz, ähnlich wie NeuVector (siehe weiter unten). Das Unternehmen bietet zum einen ein Security-Produkt für Microservice-Plattformen, um Kubernetes-Workloads abzusichern. Zum anderen offeriert es ein Firewall-System für Cloud-Netzwerke, um Anwendungen zu schützen, die in verteilten Umgebungen ausgeführt werden.

Bei Kubernetes-Workloads schützt Aporeto sowohl On-premise- als auch gemanagte Umgebungen (zum Beispiel Google Kubernetes Engine). Jede erstellte Ressource wird einer Service-Identität zugewiesen, die sicherstellt, dass die Vertrauenskette um die Anwendung nicht unterbrochen wird. Die Service-Identität wird unter anderem dazu verwendet, vorher festgelegtes Anwendungsverhalten durchzusetzen, egal wo die Pods der Anwendung tatsächlich laufen.

Die Kosten für die Lösung müssen bei Aporeto angefragt werden. Ein kostenloser 30-tägiger Testlauf ist kostenlos verfügbar.

Aqua-Container-Security-Plattform

Aqua
Aqua

Die Aqua-Container-Security-Plattform soll Compliance und Laufzeit-Security für Linux und Windows Container bieten.

Der Container-Security-Manager verspricht End-to-End-Schutz. Mit ihm können Administratoren Sicherheitsrichtlinien und Risikoprofile für Anwendungen festlegen. Diese Profile lassen sich verschiedenen Programmier-Pipelines von Applikationen zuordnen. Zudem kann in Programmier- und CI/CD-Tools Image-Scanning integriert werden.

Die Plattform lässt Administratoren Anwendungskontexte nutzen, um Netzwerke für Applikationen während des Betriebs zu segmentieren. Sie arbeitet mit Tools für Secret-Verwaltung wie Hashicorp Vault zusammen und unterstützt die Grafeas-API, um auf Metadaten von Softwarekomponenten zuzugreifen. Die Aqua-Lösung kann jede Schwachstelle, die sie findet, im Grafeas-Speicher einer Anwendung aufzeichnen. Zudem sind die Aqua-Richtlinien in der Lage, Definitionsdaten für Sicherheits-Zwischenfälle und Softwareprobleme von Grafeas zu nutzen.

Die Aqua-Container-Security-Plattform ist on-Premise und als Cloud Deployment erhältlich. Kostenlose oder Open-Source-Testversionen gibt es nicht, aber Aqua veröffentlichte einige von der Plattform abgeleitete Open-Source-Tools.

Atomic Secured Docker

Atomicorp
Atomicorp

Atomic Secured Docker ist ein alternativer Linux-Kernel für Ubuntu, CentOS und Red Hat Enterprise Linux, der Härtungsmechnismen verwendet, um mögliche Attacken abzuwehren. Viele der Schutzmaßnahmen, wie gehärtete Berechtigungen für nutzerseitigen Speicher, stammen aus dem allgemeinen Produktportfolio von Atomicorp für Kernel-Schutz. Einige wurden aber auch speziell für Docker entwickelt, darunter fällt etwa der Schutz gegen Container-Breakout.

Atomic Secured Docker ist direkt bei Atomicorp erhältlich. Versionen für auf AWS oder Azure gehostetes CentOS sowie Ubuntu finden sich in den Appstores von AWS und Azure.

NeuVector

NeuVector
NeuVector

NeuVector wurde entwickelt, um komplette Kubernetes-Cluster zu schützen. Es arbeitet mit bestehenden Kubernetes-Management-Lösungen wie Red Hat OpenShift und Docker Enterprise Edition zusammen. Es soll Anwendungen in allen Phasen der Bereitstellung absichern, von der Programmierung (über ein Plug-in mit dem Entwickler-Tool Jenkins) bis zum produktiven Betrieb.

Wie viele andere Lösungen wird NeuVector als ein Container in einem bestehenden Kubernetes-Cluster bereitgestellt. Wird NeuVector zu einem Cluster hinzugefügt, erfasst die Lösung alle dort gehosteten Container und erstellt Karten, die Verbindungen und Verhaltensweisen genau beschreiben. Die Lösung erkennt und berücksichtigt alle Veränderungen, die durch hoch- oder herunterfahrende Anwendungen entstehen. Damit sind Echtzeit--Scans nach Container-Breakouts oder neuen Schwachstellen möglich.

Die Kosten für NeuVector orientieren sich an der Anzahl laufender Docker-Hosts und beginnen bei 9.950 Dollar pro Jahr. Eine kostenlose Testversion ist hier erhältlich.

Sysdig Secure

Sysdig
Sysdig

Sysdig Secure bietet eine Reihe an Tools, um Container-Laufzeitumgebungen zu überwachen und forensische Daten aus ihnen zu sammeln. Die Lösung soll im Verbund mit den anderen Instrumentierungs-Tools von Sysdig wie etwa Sysdig Monitor eingesetzt werden.

Für die Umgebung lassen sich Richtlinien festlegen und pro Anwendung, Container, Host oder Netzwerk-Aktivität durchsetzen. Jedes von Sysdig Secure erfasste Event kann auf Ebene des Hosts, des Containers oder des Orchestrators (typischerweise Kubernetes) betrachtet werden. Es ist möglich, die Command History jedes Containers zu loggen und zu untersuchen. Allgemeine Forensik-Informationen können über den Cluster hinweg aufgenommen und im Play-Back analysiert werden, ähnlich dem "Incident Explorer"-Feature von Twistlock (siehe weiter unten).

Sysdig Secure ist nur als bezahltes Cloud- oder On-premise-Angebot von Sysdig erhältlich.

Tenable.io Container Security

Tenable
Tenable

Tenable.io Container Security konzentriert sich darauf, Security byDesign im Container-Umfeld zu ermöglichen. Mit dem Tool können DevOps-Teams bereits während der Aufbauphase die Container-Sicherheit prüfen, anstatt erst zur Bereitstellung oder im laufenden Betrieb.

Container-Images werden während der Entwicklung nach Malware, Schwachstellen und hinsichtlich ihrer Richtlinien-Compliance abgesucht. Löst ein Image als Ganzes oder irgendeines seiner Elemente einen Alarm aus, wird der Entwickler über die Art des Problems informiert. Zudem gibt das Tool an, wo der Fehler genau auftritt, um ihn schnell beheben zu können. Beispielsweise nennt es den exakten Layer in einem Multi-Layer-Image.

Tenable.io Container Security funktioniert mit den gängigen CI/CD-Entwicklungssystemen und Container-Image-Registries. Es bietet ein Dashboard, das den aktuellen Status aller laufenden Container-Images, die Einhaltung von Richtlinien und das Repository-Verhalten darstellt.

Der Preis für Tenable.io Container Security muss beim Hersteller erfragt werden. Für 60 Tage ist eine kostenlose Testversion verfügbar.

Twistlock

Twistlock
Twistlock

Twistlock offeriert Sicherheitskontrollen, die die grundlegenden Container-Produkte wie Docker Enterprise nicht abdecken. Darunter fallen unter anderem:

  • Compliance-Funktionen um HIPAA- oder PCI-Vorgaben in Containern durchzusetzen;

  • Compliance-Warnungen für Entwicklungs-Tools wie Jenkins;

  • Firewall-Features für Cloud-native Anwendungen,

  • Schutz vor Laufzeitattacken für Container basierend auf Analysen von korrektem und unzulässigem Container-Verhalten;

  • Unterstützung für den CIS-Benchmarks für Kubernetes, so dass eine über Kubernetes verwaltete Umgebung im Hinblick auf eine Reihe allgemeiner Sicherheitskriterien für die Orchestrierungs-Plattform geprüft werden kann.

Version 2.5 fügte Twistlock neue forensische Analysetechniken hinzu, um den Overhead während des Betriebs zu reduzieren. Dazu zählt beispielsweise, Statusinformationen von Containern vor und nach einem Zwischenfall außerhalb des Containers zu speichern. Außerdem wurden die Tools zur Live-Visualisierung für das Mapping von Namespaces, Kubernetes-Pods und Containern verbessert. Das Update beinhaltete auch neue Schutzmechanismen für serverlose Systeme.

Twistlock ist nur als kommerzielle Enterprise-Edition erhältlich. Eine 30-Tage-Testversion wurde bis vor Kurzem angeboten, jedoch mittlerweile eingestellt.

Mehr zum Thema:

Diese Open-Source-Tools machen Docker besser