Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    Wie sicher sind containerbasierte IT-Infrastrukturen?

    Home Blog IT Security

    Leichter weiterzuentwickeln und zu warten, performant, skalierbar: Sie hören ständig von den Vorteilen containerbasierter Anwendungen in der Cloud. Diese Vorteile sind echt. Doch als KRITIS-Betreiber steht für Sie eine Frage über allen anderen: Wie sicher sind solche Infrastrukturen?

    VM- oder Container-Infrastruktur: Was ist sicherer?

    Bevor Sie Ihre Anwendungen in einer Containerplattform in der Cloud migrieren, muss die Sicherheitsfrage geklärt sein. Wie schneidet die neue Technologie im Vergleich zu Ihrer VM-basierten Landschaft ab? Die gute und schlechte Nachricht zugleich: Container sind keine neue Sicherheitstechnologie und sie bieten nicht automatisch mehr Sicherheit – aber auch nicht weniger. Containerisierte Infrastrukturen und Anwendungen können genauso Schwachstellen und Sicherheitslücken haben wie VM-basierte Systeme. Angreifer können potenziell in einzelne Komponenten eindringen und darüber das ganze Netzwerk infiltrieren.

    Das passiert auch: In einer Studie von Aqua Security fand man heraus, dass 50 Prozent der falsch konfigurierten Docker-Instanzen innerhalb von 56 Minuten nach dem Setup von Botnets angegriffen wurden; die Mehrheit davon waren Cryptojacker“. 40 Prozent verschafften sich über Backdoors Zugang zum gesamten Netzwerk. Dazu nutzten die Hacker Malware oder Remote-User mit Root-Privileges und SSH-Keys. GitGuardian untersuchte 2.000 öffentliche Container-Images auf Docker Hub und stellte fest, dass 7 Prozent davon mindestens ein Secret (Anmeldedaten) im Quellcode enthielten.

    Wie sicher Containerplattformen in der Cloud sind, ist also abhängig von der darunterliegenden Infrastruktur, der richtigen Konfiguration aller Komponenten, den richtigen Maßnahmen und letztlich der Sorgfältigkeit aller Beteiligten – so wie bisher. Mit der passenden Strategie können Sie Ihre Containerplattform genauso sicher (oder noch sicherer) betreiben wie Ihre aktuellen Systeme – eventuell mit langfristig niedrigerem Aufwand.

    Welche Herausforderungen bringen Container für die IT-Sicherheit mit sich?

    Trotzdem bringt eine containerisierte Infrastruktur eine Reihe von Herausforderungen mit sich – neue und altbekannte.

    Höhere Komplexität

    Die Architektur von Cloud-Anwendungen ist viel granularer und komplexer als die von monolithischen Systemen. Die Einzelfunktionen der Systeme werden (wenn möglich) aufgeteilt und separat in Containern betrieben. Zusätzlich bestehen Cloud-Plattformen aus wesentlich mehr Komponenten, die in mehreren Ebenen verschachtelt sind:

    • Server/Hosts, Virtualisierung (Cloud-Infrastruktur)

    • Container-Orchestrierung (Control Plane)

    • Container (Data Plane)

    • Apps und Workloads in den Containern

    Dadurch bietet eine Containerplattform viele neue Angriffsvektoren, die aus VM-basierten Systemen nicht bekannt sind.

    Fehlendes Know-how

    Die Sicherheitstechnologien bleiben prinzipiell die gleichen. Trotzdem fehlt Teams, die bisher in VM-Umgebungen gearbeitet haben, die Erfahrung mit den neuen Bedrohungsszenarien. Sie benötigen neues Know-how und müssen neue Routinen entwickeln.

    In einer Studie von The Enterprise Strategy Group gaben 74 Prozent der befragten IT-Experten zu, dass sie das Monitoring in Cloud-native-Umgebungen vor Schwierigkeiten stelle. Wegen der dynamischen Natur von Cloud-Anwendungen, der elastischen Infrastruktur und mangelndem Zugang zum physikalischen Netzwerk hätten sie ‚blinde Flecken’ in Ihren Systemen. 31 Prozent konstatierten sogar, dass ihnen das Verständnis für das Bedrohungsmodell von Cloud-native-Anwendungen und -Infrastruktur fehle.

    Menschliche Fehler und Bequemlichkeit

    Ob Container oder nicht: Die Menschen sind weiterhin das größte Sicherheitsrisiko in der IT. Viele Schwachstellen resultieren aus mangelnder Sorgfalt und Bequemlichkeit. Häufige Fehler sind:

    • Im Alltag werden privilegierte User mit Root- und Konsolenzugriff genutzt, obwohl diese Rechte nicht benötigt werden.

    • Zugänge von ehemaligen Mitarbeitenden werden nicht gelöscht.

    • Unsichere Standardkonfigurationen von Tools werden einfach übernommen.

    • Datenbanken und Backups werden unverschlüsselt in der Cloud abgelegt.

    • Secrets werden hart in den Quellcode geschrieben.

    „Kleine“ Versäumnisse können in Containerumgebungen noch mehr Schaden anrichten, nämlich wegen des hohen Automatisierungsgrads. Schwachstellen in einer Komponente werden zigfach repliziert und verbreiten sich so in der gesamten Plattform.

    Knappe Budgets

    Nicht zuletzt hapert es teilweise am Risikobewusstsein: das Klischee, dass für IT-Sicherheit am Ende kein Geld mehr übrig ist, erweist sich leider oft als wahr. Aufgrund von Budgetkürzungen werden Kompromisse gemacht: „Es wird schon nichts passieren.“ Die fast wöchentlichen Meldungen über Datenlecks oder Ransomware-Attacken zeigen, wie gefährlich diese Einstellung ist. KRITIS-Betreiber tun gut daran, das Thema Sicherheit von vornherein mit Priorität zu behandeln.

    Bieten Container-Infrastrukturen auch Vorteile für die IT-Sicherheit?

    IT-Sicherheit wird durch Containerisierung zwar nicht einfacher. Einige Vorteile bringt die Technologie trotzdem mit. Die konsistente Umgebung und die granular Architektur erlauben Ihnen ein besseres Sicherheitsmanagement als ein System aus unterschiedlich konfigurierten VMs:

    Sie können etwa einzelne Komponenten besser überwachen und sie bei einem Problem schnell abschalten – das Gesamtsystem läuft unbeeindruckt weiter. Monitoring und Sicherheitschecks können Sie größtenteils automatisieren und damit Ihr DevOps-Team entlasten.

    Voraussetzung dafür ist ein durchdachtes und gut umgesetztes Sicherheitskonzept. Wie sieht eine Sicherheitsstrategie für eine Containerplattform aus? Welche Veränderungen sind nötig? Das erfahren Sie in unserem Whitepaper mit Checkliste – unten gelangen Sie zum kostenlosen Download.

     

     

     

    Whitepaper: Sicherheitsstrategie für containerisierte IT-Infrastrukturen

    Erfahren Sie in diesem Whitepaper, mit welchen Strategien und Maßnahmen Sie Ihre geplante Containerplattform sichern. Inklusive Checkliste für ein Defence-in-Depth-Konzept.

    Containerisierung der IT-Infrastruktur: Lohnt sich der Umbau wirklich?

    May 9, 2022 7:30:00 PM Der Umbau der IT-Landschaft zu einer Microservice-basierten, containerisierten Plattform löst viele Probleme einer Legacy-IT. Gleichzeitig erfordert er hohe Investitionen und bringt Risiken mit sich. ...

    Containertechnologie OpenShift im KRITIS-Umfeld: Maßgeschneiderte Sicherheit

    Sep 4, 2020 12:36:00 PM Die IT von Unternehmen der KRITIS-Branchen muss höchsten Sicherheitsstandards genügen. Container-Technologien eignen sich dafür nahezu ideal – allerdings nicht jede. Warum und worauf es ankommt, ...

    Sicherheit ist kein Luxus: Warum IT-Systeme fast immer hochkritisch sind

    May 17, 2017 11:00:00 AM Die Ransomware WannaCry hat uns alle schmerzhaft spüren lassen: Wir sind so sehr von Informationstechnik abhängig, dass fast alle IT-Systeme als kritisch eingestuft werden sollten. Bisher werden zu ...

    IT-Sicherheit für kritische Infrastrukturen: Das müssen KRITIS-Betreiber beachten

    Jan 11, 2022 5:12:52 PM Wer kritische Infrastrukturen betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Aber was genau heißt das?

    Chancen und Fallstricke: Aufbau und Betrieb containerbasierter IT-Infrastrukturen mit Kubernetes

    Dec 30, 2021 3:55:00 PM Docker, Kubernetes & Co sind aktueller denn je. Aber Achtung: Die sogenannte Containerisierung verspricht mehr Schnelligkeit, Flexibilität und Skalierbarkeit, birgt aber auch Fallstricke – vor ...

    EU-DSGVO: Der Countdown der Ahnungslosen

    May 17, 2018 9:13:00 AM Jeder redet über die EU-Datenschutzgrundverordnung. Kaum einer scheint ihre Bedeutung verstanden zu haben.

    Erfolgreiches Projektmanagement komplexer IT-Infrastrukturprojekte

    Mar 22, 2022 9:13:00 AM IT-Infrastrukturprojekte betreffen meist alle IT-Domänen – und haben häufig Rückkopplungseffekte auf Businessziele, die IT-Strategie bis hin zu Anwendungsentwicklung und Betrieb. Sie erfordern ...

    KRITIS: Halbzeit für kritische Infrastruktren

    Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.

    KRITIS 2.0 - die neue Verordnung: was Betreiber kritischer Infrastrukturen jetzt wissen müssen

    Apr 6, 2022 9:30:00 AM Ist das normal oder schon KRITIS!? Das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 hat die KRITIS-Regulierung deutlich verschärft. Mit der neuen KRITIS-Verordnung 2.0 gilt es mit all ...

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des