Container schützen - Sicherheit für Containerlösungen schaffen

Verfasst von Sebastian Dudda am 22.01.2019 10:14:09
Sebastian Dudda

Docker ist eine Open-Source-Software und dient der Isolierung von Anwendungen mittels Containervirtualisierung. Die Container sind Anwendungen, die mitsamt aller Voraussetzungen erstellt werden und die zur Nutzung notwendigen Ressourcen mitbringen (wie zum Beispiel Datenbanken etc.).

Als Beispiel lässt sich ein Wordpress Container bereitstellen, der seine eigene MySQL-Instanz gleich mitbringt, um direkt nach dem Deployment lauffähig und einsatzbereit zu sein.

Da Anwendungen vollständig voneinander isoliert sind, lassen sich mit einem Dockerhost mehrere Container bereitstellen, ohne Kompatibilitätsprobleme zu riskieren.

Zum Vergleich

Virtualisierung:
Pro virtuelle Maschine sollte immer nur eine Anwendung / Dienst bereitgestellt werden.

Container:
In einer (Docker-)Containerumgebung können mehrere Container das Betriebssystem gemeinsam mit dem Host nutzen und trotzdem ist eine Isolierung der Anwendungen untereinander gegeben.

Da der Docker-Container mittlerweile immer häufiger im Einsatz ist, und Schadcode auch hier Verbreitung findet, ist es wichtig, Sicherheitsmaßnahmen für Container umzusetzen. Zur Demonstration der Funktion von Containern in Verbindung mit Deep Security wird eine Testumgebung bereitgestellt.

Testbedingungen

Folgende Rahmenparameter gelten für die Testumgebung:

  • Virtueller Ubuntu 18.04 Server in 64bit mit 4 CPU’s, 4GB RAM und 120GB HDD erstellt
  • Docker in Version 18.09.0 implementiert
  • API zur webbasierten Verwaltung aktiviert
  • Portainer als Weboberfläche deployed (erster Container)
  • Diverse Datenbanken (MySQL, MSSQL und PostgreSQL) als Container deployed
  • Trend Micro Deep Security Agent auf dem Server installiert und aktiviert
  • docker-eicar Container deployed

Testauswertung

Der Deep Security Agent von Trend Micro ist in der Lage, sowohl den Host als auch die Container zu erkennen und beides mit Schutz zu versorgen. Da Deep Security auch in der Lage ist, das System auf Schwachstellen zu überprüfen und IPS Regeln automatisch zuzuweisen, ein Recommendation-Scan (Suche nach Schwachstellen) durchgeführt. Das Ergebnis stellt sich wie folgt dar. Es werden 48 Regeln angewendet und die Applikationen werden durch die Regeln gehärtet:

testauswertung

Hier lässt sich sehr gut erkennen, dass diverse IPS-Regeln angewendet werden, welche die SQL-Container vor Angriffen schützen.

 Docker2

Ein Test mittels EICAR Testvirus liefert folgendes Ergebnis:

 Docker3 (002)

Da das Dateisystem auf dem Host liegt, kann auch der AV-Schutz direkt hier angegangen werden und auch die Container werden mit dem Schutz versorgt.

Eine weitere Bedrohungssituation ist der Missbrauch von Containern Kryptowährungen zu schürfen. Dadurch werden hohe CPU-Lasten erzeugt, welche höheren Stromverbrauch verursachen. Somit entstehen höhere Kosten für den RZ-Betreiber und auch die Umwelt wird belastet.

Auch hier kann Deep Security auf supporteten Containerlösungen einen adäquaten Schutzumfang liefern.

Weiterführende Informationen erhalten Sie im nachfolgenden Link:

https://blog.trendmicro.com/trendlabs-security-intelligence/misconfigured-container-abused-to-deliver-cryptocurrency-mining-malware/

 

Fazit

Da das Anwendungsgebiet von Containerlösungen immer weiter wächst und auch der Schadcode hier nicht haltmacht, ist es sehr wichtig, auch hier eine Sicherheitslösung einzusetzen. Ein reiner AV-Schutz kann zwar das Dateisystem größtmöglich absichern, jedoch finden in den Containerlösungen meist netzwerkseitige Angriffe statt, welche das Dateisystem unangerührt lassen und, wenn überhaupt, nur innerhalb der Datenbanken ihr volles Potenzial ausschöpfen. Daher reicht hier ein reiner AV Schutz nicht mehr aus und nur die Investition in ein IPS System kann die Umgebung vor Angriffen weiter schützen.

Des Weiteren kommen auch immer mehr Hersteller hinzu die auf eine Containerlösung setzen, jedoch zum Teil nicht von Security Lösungen (Agentenbasierende Lösungen) supported werden. Hier bleibt nur die Möglichkeit, die Container und den Host von außen zu schützen, wie zum Beispiel mit einem IPS System zwischen den Netzwerksegmenten.

Themen: Trend Micro, Bedrohungsschutz, Intrusion Prevention System, IPS, netzwerksicherheit, IT-Security