Unternehmen setzen auf Container, um in der Cloud ein neues Maß an Effizienz und Skalierbarkeit zu erzielen. Dies erhöht jedoch die Komplexität der zu schützenden Angriffsfläche und rückt die Container ins Visier der Angreifer.
Die Container-Sicherheit beginnt mit dem Container-Image. Entwickler erstellen ihre Images manchmal anhand der Basis-Images aus einer externen Registrierung. Diese Bilder können leider Malware oder anfällige Bibliotheken enthalten. Entsprechend ist es für Unternehmen von entscheidender Bedeutung, die Bewertung von Images in ihrer Cloud-Sicherheitsstrategie zu priorisieren.
Typische Konfigurationsfehler bei Container-Images
Im Folgenden finden Sie einige typische Sicherheitsprobleme, die bei Container-Images auftreten:
Nutzung eines Benutzerkontos mit Stammberechtigungen in Containern
Das Ausführen von Containern mit Stammberechtigungen erhöht die Gefahr, dass Angreifer das Host-Gerät kompromittieren.
Nutzung veralteter und anfälliger Images mit Backdoors
Da Angreifer anfällige oder kompromittierte Images ausnutzen, ist das Image-Scanning eine wichtige Schutzmaßnahme.
Unerwünschte Benutzer in einer Docker-Gruppe
Ist ein Benutzer Mitglied einer Docker-Gruppe, können seine Zugriffsrechte auf Root-Zugriff ausgeweitet werden. Für einen Bedrohungsakteur ist dies eine optimale Position.
Nutzung eines Privileged-Flags
Durch das Ausführen eines Containers mit einem Privileged-Flag erhalten Benutzer Zugriff auf die Ressourcen des Hosts. Wird der Container kompromittiert, kann ein Angreifer diesen Zugriff missbrauchen.
Mounten vertraulicher Host-Dateien oder -Verzeichnisse auf dem Container
Mit Docker können Benutzer die Dateien und Verzeichnisse eines Host-Geräts auf Containern mounten, was die Angriffsfläche vergrößern kann, wenn es sich um vertrauliche Dateien handelt.
Diese und andere Konfigurationsfehler bei Docker oder Kubernetes stellen für Unternehmen eine enormes Risiko dar und ihre Erkennung ist ein wichtiger Aspekt der Cloud-Sicherheitsstrategie.
WEITERE INFORMATIONEN
Eine umfassende Cloud-Sicherheitsstrategie muss in Ihrem Unternehmen Risiken minimieren, vor Bedrohungen schützen und Herausforderungen bewältigen, sodass Sie die Cloud für sicheres Wachstum nutzen können. 9 Herausforderungen, Risiken und Bedrohungen rund um die Cloud-Sicherheit
So greifen Bedrohungsakteure Container an
Wenn Sie das Risiko reduzieren möchten, müssen Sie wissen, welchen Bedrohungen Ihr Unternehmen ausgesetzt ist. Auf Cloud-Umgebungen bezogen bedeutet dies, dass Sie verstehen müssen, wie Container angegriffen werden.
Kriminelle Akteure nutzen immer wieder falsch konfigurierte Docker-Container aus. Docker-Images sind Vorlagen zur Erstellung von Containern. Sie werden entweder eigenständig genutzt, damit Benutzer direkt mit einem Tool oder Service interagieren können, oder als übergeordnetes Element einer anderen Anwendung verwendet. Diese Hierarchie hat zur Folge, dass bei einem Image mit einem schädlichen Tool auch alle davon abgeleiteten Container infiziert sind.
Im Jahr 2021 berichtete das CrowdStrike Intelligence-Team über die Malware-Familie Doki, die Container als Erstinfektionsvektor sowie als Methode zur parallelen Aufgabenverarbeitung nutzt. Sobald die Angreifer Zugriff erlangt haben, können sie sich mithilfe dieser erweiterten Berechtigungen lateral bewegen und im Netzwerk ausbreiten. Das CrowdStrike Intelligence-Team beobachtet auch weiterhin Aktivitäten von Bedrohungsakteuren, dies auf Elemente von Kubernetes-Clustern zugreifen und diese verändern.
Bei Kubernetes handelt es sich um ein Open-Source-System zur Container-Orchestrierung, das die Bereitstellung, Skalierung und Verwaltung von Anwendungen und ihren gemeinsam genutzten Ressourcen automatisiert. Das CrowdStrike Falcon OverWatch™-Team für die Bedrohungssuche hat ein zunehmendes Interesse von Bedrohungsakteuren an Kubernetes-Clustern in Unternehmensumgebungen festgestellt. Das Kubernetes-Framework ist ein komplexes und mehrteiliges System, das leicht fehlkonfiguriert werden kann. Dies könnte einem Bedrohungsakteur den Erstzugang zu einer Komponente und anschließende laterale Ausbreitungsmöglichkeiten eröffnen, um so an die gewünschten Ressourcen zu gelangen.
Wie können Sie Ihre Container schützen?
Reduzieren Sie die Angriffsflächen in Container-Images (z. B. Entfernen von Debugging-Tools)
Um die Angriffsfläche zu reduzieren, müssen sich Unternehmen vom Build bis zur Laufzeit auf die Erkennung von Schwachstellen, Malware, Compliance-Verstößen und mehr konzentrieren.
Führen Sie beim Erstellen von Containern und beim Bereitstellen von Prozessen in der Container-Registrierung Schwachstellen-Scans durch
Dank der Schwachstellen-Scans können Unternehmen Sicherheitsprobleme erkennen, bevor diese von Angreifern ausgenutzt werden.
Vermeiden Sie die Nutzung öffentlich verfügbarer Container-Images
Diese Images können veraltet oder anfällig sein und potenziell zusätzliche Risiken in Ihre Cloud-Umgebung einschleusen.
Schränken Sie Container-Berechtigungen ein
Stellen Sie mithilfe des Least-Privilege-Prinzips sicher, dass Container nicht über übermäßige Berechtigungen verfügen.
Für eine sichere Cloud-Infrastruktur muss die Sicherheit der gesamten CI/CD-Pipeline abgedeckt sein. Durch den Shift-Left-Ansatz und die proaktive Bewertung der Container kann CrowdStrike Cloud Security Ihrem Unternehmen helfen, das Risiko zu reduzieren, indem alle Schwachstellen, eingebettete Malware, gespeicherte Secrets oder andere Sicherheitsprobleme schon vor der Bereitstellung erkannt werden.
Cloud Risk Report 2023
Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.
Jetzt herunterladen
