Containersicherheit mit Entitlements

Hinter Gittern

Container laufen den aus Security-Sicht unkritischen virtuellen Maschinen den Rang ab. Zur Abwehr der mit Container einhergehenden Sicherheitsprobleme gibt es verschiedene Berechtigungssysteme, die dienstalte Entwickler stellenweise stark an Handcomputerbetriebssysteme erinnern.
In der November-Ausgabe beleuchtet IT-Administrator wesentliche Aspekte des Infrastrukturmanagements. Dazu gehört die Frage, wie Sie Rechenzentren erfolgreich ... (mehr)

Container beziehen ihre Leistungsfähigkeit daraus, dass sie Ressourcen sparen, weil sie ohne Hypervisor und ohne Gastbetriebssystem auskommen (Bild 1). Eine sauber eingerichtete Docker-Runtime ist oft in wenigen hundert Millisekunden einsatzbereit. Der Nachteil dieser Vorgehensweise ist, dass eine fehlgeleitete Applikation das "geteilte" Betriebssystem und so auch andere Applikationen in Mitleidenschaft zieht.

Da sich die Geschichte wiederholt, bietet sich zur Lösung eine als Entitlements bezeichnete Verfahrensweise an. Wer in früheren Zeiten für Symbian und Co. programmiert hat, kennt es mit Sicherheit. Dieser Artikel versucht, den aktuellen Stand der Technik zu beleuchten und Informationen über die geplante Weiterentwicklung zu geben.

Quellen der Angriffe

Neben dem bei VMs bekannten kompletten Ausbrechen gibt es bei der Arbeit mit Containern zusätzliche Angriffsvektoren. Erstens durch ein nicht unerhebliches Risiko von Exploits gegen den Kernel – während ein Angreifer in einer VM dann noch aus dem Supervisor ausbrechen muss, hat er in einem Container sofort die Kontrolle über das System.

Zweitens ist ein Docker-spezifisches Problem, dass man nicht weiß, ob die Images sauber sind. In der Vergangenheit hielten sich mit Backdoors oder Sicherheitslücken ausgestattete Images überraschend lange im Hub. Analog dazu gibt es das Problem mit veralteter Software. Eine "Schwachstelle" in einem Container-Webserver ist wegen des Fehlens des Hypervisors kritischer als eine in einer VM.

Zu guter Letzt bleiben Container für DoS-Angriffe (Denial of Service) verwundbar. Dahinter steckt der Gedanke, dass alle auf einem Host laufenden Container und native Userspace- beziehungsweise Daemon-Programme die Ressourcen des Hosts teilen. Gehen Arbeitsspeicher, Prozessor oder exotischere Ressourcen wie beispielsweise die User-IDs aus, steht die ganze Maschine

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018