Schwachstellen-Scans für Container

Durchleuchtet

Container sind mittlerweile nicht mehr nur Spielzeug für Geeks, sondern erhalten mehr und mehr Einzug in Business-kritische Umgebungen. Grund genug sich darüber Gedanken zu machen, wie sich die eingesetzten Container-Images auf Schwachstellen hin untersuchen lassen.
Immer mehr Unternehmen wagen den Schritt in die Cloud. Dabei schieben nur die wenigsten gleich ihre gesamte IT in die Wolke, sondern migrieren zunächst ... (mehr)

Container werden immer häufiger dazu eingesetzt, um eine bestimmte Anwendung auf einem System zu installieren. Grundlage eines solchen Containers ist dabei ein Image, das eine entsprechende Laufzeitumgebung für die Anwendung zur Verfügung stellt. In den meisten Fällen basieren die Images auf einer bestimmten Linux-Distribution und enthalten neben der Laufzeitumgebung für die Anwendung selbst auch jede Menge Abhängigkeiten, sodass letztendlich sehr viele Pakete in dem Image enthalten sind. Ist hierunter ein fehlerhaftes Paket, sind alle Container davon betroffen, die auf Basis dieses Images erzeugt wurden. Es daher wichtig, die eingesetzten Images regelmäßig auf Schwachstellen zu überprüfen und wenn nötig zu aktualisieren.

Es existieren eine Reihe von Tools, die sich für diesen Zweck einsetzen lassen, sich jedoch recht stark voneinander unterscheiden. CoreOS beispielsweise stellt einen Scanner mit dem Namen Clair [1] zur Verfügung, der unterschiedliche Datenquellen abfragen kann, um an aktuelle Schwachstellen-Informationen der einzelnen Linux-Distributionen zu gelangen. Das Tool führt dann einen Scan der vorhandenen Container und Images durch, um zu verifizieren, ob lokal vorhandene Daten von den Schwachstellen betroffen sind. Einen etwas anderen Weg geht das Tool Docker Bench for Security [2]. Hierbei handelt es sich eigentlich nur um ein Shell-Skript, das die vorhandenen Container auf Basis der Empfehlungen des Center for Internet Security [3] überprüft, eine Art Best-Practices-Anleitung für den Einsatz von Containern (Bild).

Konfigurationsprüfung mit OpenSCAP

Das folgende Beispiel basiert auf dem Tool OpenSCAP [4], einem allgemeinen Scanner, der Systeme auf Basis des Security Content Automation Protocol (SCAP) des National Institute of Standards and Technology (NIST) überprüft. SCAP umfasst diverse Standards zur Beschreibung von System-Konfigurationen und zum

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Red Hat integriert Security-Scanner in Container

Ein neues Container-Interface erlaubt die Integration von Scannern wie OpenSCAP oder Black Duck.

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite