EU-DSGVO: Der Countdown der Ahnungslosen
May 17, 2018 9:13:00 AM Jeder redet über die EU-Datenschutzgrundverordnung. Kaum einer scheint ihre Bedeutung verstanden zu haben.
Leichter weiterzuentwickeln und zu warten, performant, skalierbar: Sie hören ständig von den Vorteilen containerbasierter Anwendungen in der Cloud. Diese Vorteile sind echt. Doch als KRITIS-Betreiber steht für Sie eine Frage über allen anderen: Wie sicher sind solche Infrastrukturen?
VM- oder Container-Infrastruktur: Was ist sicherer?
Bevor Sie Ihre Anwendungen in einer Containerplattform in der Cloud migrieren, muss die Sicherheitsfrage geklärt sein. Wie schneidet die neue Technologie im Vergleich zu Ihrer VM-basierten Landschaft ab? Die gute und schlechte Nachricht zugleich: Container sind keine neue Sicherheitstechnologie und sie bieten nicht automatisch mehr Sicherheit – aber auch nicht weniger. Containerisierte Infrastrukturen und Anwendungen können genauso Schwachstellen und Sicherheitslücken haben wie VM-basierte Systeme. Angreifer können potenziell in einzelne Komponenten eindringen und darüber das ganze Netzwerk infiltrieren.
Das passiert auch: In einer Studie von Aqua Security fand man heraus, dass 50 Prozent der falsch konfigurierten Docker-Instanzen innerhalb von 56 Minuten nach dem Setup von Botnets angegriffen wurden; die Mehrheit davon waren „Cryptojacker“. 40 Prozent verschafften sich über Backdoors Zugang zum gesamten Netzwerk. Dazu nutzten die Hacker Malware oder Remote-User mit Root-Privileges und SSH-Keys. GitGuardian untersuchte 2.000 öffentliche Container-Images auf Docker Hub und stellte fest, dass 7 Prozent davon mindestens ein Secret (Anmeldedaten) im Quellcode enthielten.
Wie sicher Containerplattformen in der Cloud sind, ist also abhängig von der darunterliegenden Infrastruktur, der richtigen Konfiguration aller Komponenten, den richtigen Maßnahmen und letztlich der Sorgfältigkeit aller Beteiligten – so wie bisher. Mit der passenden Strategie können Sie Ihre Containerplattform genauso sicher (oder noch sicherer) betreiben wie Ihre aktuellen Systeme – eventuell mit langfristig niedrigerem Aufwand.
Welche Herausforderungen bringen Container für die IT-Sicherheit mit sich?
Trotzdem bringt eine containerisierte Infrastruktur eine Reihe von Herausforderungen mit sich – neue und altbekannte.
Höhere Komplexität
Die Architektur von Cloud-Anwendungen ist viel granularer und komplexer als die von monolithischen Systemen. Die Einzelfunktionen der Systeme werden (wenn möglich) aufgeteilt und separat in Containern betrieben. Zusätzlich bestehen Cloud-Plattformen aus wesentlich mehr Komponenten, die in mehreren Ebenen verschachtelt sind:
-
Server/Hosts, Virtualisierung (Cloud-Infrastruktur)
-
Container-Orchestrierung (Control Plane)
-
Container (Data Plane)
-
Apps und Workloads in den Containern
Dadurch bietet eine Containerplattform viele neue Angriffsvektoren, die aus VM-basierten Systemen nicht bekannt sind.
Fehlendes Know-how
Die Sicherheitstechnologien bleiben prinzipiell die gleichen. Trotzdem fehlt Teams, die bisher in VM-Umgebungen gearbeitet haben, die Erfahrung mit den neuen Bedrohungsszenarien. Sie benötigen neues Know-how und müssen neue Routinen entwickeln.
In einer Studie von The Enterprise Strategy Group gaben 74 Prozent der befragten IT-Experten zu, dass sie das Monitoring in Cloud-native-Umgebungen vor Schwierigkeiten stelle. Wegen der dynamischen Natur von Cloud-Anwendungen, der elastischen Infrastruktur und mangelndem Zugang zum physikalischen Netzwerk hätten sie ‚blinde Flecken’ in Ihren Systemen. 31 Prozent konstatierten sogar, dass ihnen das Verständnis für das Bedrohungsmodell von Cloud-native-Anwendungen und -Infrastruktur fehle.
Menschliche Fehler und Bequemlichkeit
Ob Container oder nicht: Die Menschen sind weiterhin das größte Sicherheitsrisiko in der IT. Viele Schwachstellen resultieren aus mangelnder Sorgfalt und Bequemlichkeit. Häufige Fehler sind:
-
Im Alltag werden privilegierte User mit Root- und Konsolenzugriff genutzt, obwohl diese Rechte nicht benötigt werden.
-
Zugänge von ehemaligen Mitarbeitenden werden nicht gelöscht.
-
Unsichere Standardkonfigurationen von Tools werden einfach übernommen.
-
Datenbanken und Backups werden unverschlüsselt in der Cloud abgelegt.
-
Secrets werden hart in den Quellcode geschrieben.
„Kleine“ Versäumnisse können in Containerumgebungen noch mehr Schaden anrichten, nämlich wegen des hohen Automatisierungsgrads. Schwachstellen in einer Komponente werden zigfach repliziert und verbreiten sich so in der gesamten Plattform.
Knappe Budgets
Nicht zuletzt hapert es teilweise am Risikobewusstsein: das Klischee, dass für IT-Sicherheit am Ende kein Geld mehr übrig ist, erweist sich leider oft als wahr. Aufgrund von Budgetkürzungen werden Kompromisse gemacht: „Es wird schon nichts passieren.“ Die fast wöchentlichen Meldungen über Datenlecks oder Ransomware-Attacken zeigen, wie gefährlich diese Einstellung ist. KRITIS-Betreiber tun gut daran, das Thema Sicherheit von vornherein mit Priorität zu behandeln.
Bieten Container-Infrastrukturen auch Vorteile für die IT-Sicherheit?
IT-Sicherheit wird durch Containerisierung zwar nicht einfacher. Einige Vorteile bringt die Technologie trotzdem mit. Die konsistente Umgebung und die granular Architektur erlauben Ihnen ein besseres Sicherheitsmanagement als ein System aus unterschiedlich konfigurierten VMs:
Sie können etwa einzelne Komponenten besser überwachen und sie bei einem Problem schnell abschalten – das Gesamtsystem läuft unbeeindruckt weiter. Monitoring und Sicherheitschecks können Sie größtenteils automatisieren und damit Ihr DevOps-Team entlasten.
Voraussetzung dafür ist ein durchdachtes und gut umgesetztes Sicherheitskonzept. Wie sieht eine Sicherheitsstrategie für eine Containerplattform aus? Welche Veränderungen sind nötig? Das erfahren Sie in unserem Whitepaper mit Checkliste – unten gelangen Sie zum kostenlosen Download.
