Schwachstellensuche mit Clair
Überwachte Kisten
In der Betriebssystemwelt hat sich das Fahnden nach Verwundbarkeiten als praktikable Sicherheitsmethode etabliert. Die allgegenwärtigen Linux-Container haben diesbezüglich noch einigen Nachholbedarf. Zwei Projekte aus dem Container-Universum versprechen Besserung.
Linux-Container und Sicherheit sind derzeit omnipräsent. Betriebssystemseitig hat sich im Lauf der Jahre das aktive Suchen nach Verwundbarkeiten durchaus als wirkungsvolle Methode zum Verbessern der Systemsicherheit erwiesen. Aber auch das Sicherheitsbewusstsein in der Container-Szene wächst. Einen ersten Schritt in diese Richtung hat aus der CoreOS-Ecke das Projekt Clair mit seinem gleichnamigen Schwachstellenscanner getan; kurze Zeit später präsentierte die Firma Docker Informationen zu einem alternativen Ansatz namens Nautilus (siehe Kasten). iX hat nachgeschaut, was dahintersteckt.
Linux-Container und insbesondere ihre leichte Benutzung à la Docker haben die IT in vielen Bereichen verändert. Zuerst sind natürlich die Entwickler und die Systemverwalter zu nennen. Inzwischen haben auch die Sicherheitsexperten einen Blick auf die Container-Technik geworfen. Aus deren Sicht besteht sie am Ende aus einer Mischung ausführbarer Dateien sowie Bibliotheken und unterscheidet sich nur unwesentlich von einem traditionellen Betriebssystem. Fans von Docker und Co. mögen dies nicht gerne hören, aber die IT-Sicherheits-Gurus haben gar nicht so unrecht.