Schwachstellen-Scans für Container

Container werden immer häufiger dazu eingesetzt, um eine bestimmte Anwendung auf einem System zu installieren. Grundlage eines solchen Containers ist dabei ein Image, das eine entsprechende Laufzeitumgebung für die Anwendung zur Verfügung stellt. In den meisten Fällen basieren die Images auf einer bestimmten Linux-Distribution und enthalten neben der Laufzeitumgebung für die Anwendung selbst auch jede Menge Abhängigkeiten, sodass letztendlich sehr viele Pakete in dem Image enthalten sind. Ist hierunter ein fehlerhaftes Paket, sind alle Container davon betroffen, die auf Basis dieses Images erzeugt wurden. Es daher wichtig, die eingesetzten Images regelmäßig auf Schwachstellen zu überprüfen und wenn nötig zu aktualisieren.

Es existieren eine Reihe von Tools, die sich für diesen Zweck einsetzen lassen, sich jedoch recht stark voneinander unterscheiden. CoreOS beispielsweise stellt einen Scanner mit dem Namen Clair [1] zur Verfügung, der unterschiedliche Datenquellen abfragen kann, um an aktuelle Schwachstellen-Informationen der einzelnen Linux-Distributionen zu gelangen. Das Tool führt dann einen Scan der vorhandenen Container und Images durch, um zu verifizieren, ob lokal vorhandene Daten von den Schwachstellen betroffen sind. Einen etwas anderen Weg geht das Tool Docker Bench for Security [2]. Hierbei handelt es sich eigentlich nur um ein Shell-Skript, das die vorhandenen Container auf Basis der Empfehlungen des Center for Internet Security [3] überprüft, eine Art Best-Practices-Anleitung für den Einsatz von Containern (Bild).

Konfigurationsprüfung mit OpenSCAP

Das folgende Beispiel basiert auf dem Tool OpenSCAP [4], einem allgemeinen Scanner, der Systeme auf Basis des Security Content Automation Protocol (SCAP) des National Institute of Standards and Technology (NIST) überprüft. SCAP umfasst diverse Standards zur Beschreibung von System-Konfigurationen und zum

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.