Der Betrieb von cloudnativen Anwendungen in Containern oder mit Serverless-Technologien bringt spezielle und neue Anforderungen in Sachen Sicherheit mit sich. Zwar integrieren die großen Wolkenbereitsteller wie AWS oder Azure viel Security in ihre Plattformen, doch meist nur mit internen Diensten. Wie sich der Schutz von Workloads in Containern mit Aqua Security realisieren lässt, zeigt dieser Workshop.
Für viele Firmen ist das Betreiben von cloudnativen Applikationen mittlerweile Standard. Dabei beschreibt „cloudnative“ einen Ansatz der Softwareentwicklung, bei dem Applikationen von Anfang an für den Einsatz in der Cloud konzipiert werden. Derartige Anwendungen bestehen oft aus Microservices, die wiederum auf Basis von Containern oder Serverless-Technologien bereitgestellt sind. Neben der Eigenentwicklung von Applikationen kommt mittlerweile vermehrt auch Standardsoftware auf Basis solcher Technologien zur Auslieferung.
Neue Anforderungen an die Sicherheit
Solche Anwendungen benötigen einen neuen Ansatz in Sachen Security. Zwar bringen die großen Hyperscaler mittlerweile eine Reihe von Sicherheitsfunktionen mit, jedoch unterscheiden sich diese je nach Anbieter und sind zudem auf die eigene Plattform beschränkt. IT-Verantwortliche, die sich einen starken Rundumschutz wünschen, der sich zugleich über mehrere Cloudanbieter sowie lokale Systeme erstreckt, sind somit auf Drittanbietersoftware angewiesen.
Gesamten Artikel im IT-Administrator-Heftarchiv lesen
Das Arbeiten mit Containern gehört mittlerweile zu den Standardaufgaben von Administratoren. Neben dem reinen Betrieb der Container gilt es jedoch auch, sich um deren Sicherheit zu kümmern – eine Disziplin, die bei der relativ neuen Container-Technologie bisweilen vernachlässigt wird. Das Open-Source-Tool Trivy stellt Informationen zur Container- und Softwaresicherheit bereit.
Trivy [1] wird von der israelischen Firma Aqua Security als Open-Source-Tool bereitgestellt und scannt neben der Sicherheit von Container-Images auch Dateisysteme, Git Repositories und Kubernetes-Cluster und -Ressourcen. Zudem kann die Software OS-Packages und Software Dependencies (auch Software Bill of Material genannt), bekannte Sicherheitslücken (CVEs), Infrastructure-as-Code-Falschkonfigurationen sowie sensitive Information und Passwörter finden.
Installation
Die Installation von Trivy unterstützt alle gängigen Linux-Distributionen sowie macOS. Alternativ lässt sich Trivy als Container betreiben. Eine ausführliche Installationsanleitung finden Sie ebenfalls unter [1]. Bei der Installation unter Debian/ Ubuntu klappt das Aufsetzen des Scanners wie folgt:
sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO -https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add –
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy
Einführung in Securityscans
Sobald die Installation abgeschlossen ist, können Sie mit dem Scannen beginnen. Wir zeigen dies am Beispiel des bekannten nginx-Images. Zuerst laden wir dabei das Image herunter…
Gesamten Artikel im IT-Administrator-Heftarchiv lesen
