Marktübersicht: Sicherheitsscanner für Container-Images
Container bieten viele Vorteile bei der Entwicklung und Bereitstellung, aber ihre inhärenten Eigenschaften – gemeinsamer Kernel, geschichtetes Dateisystem – bergen auch einzigartige Risiken. Eine robuste Containersicherheitsstrategie kann diese mindern.
Die in diesem Artikel vorgestellten Tools untersuchen Container-Images auf bekannte Schwachstellen, veraltete Software, Fehlkonfigurationen und eingebettete Malware. Ein proaktives Containerscanning ermöglicht den Entwicklungs- und Sicherheitsteams, Probleme zu erkennen, bevor sie im Produktivbetrieb landen. Dieser vorausschauende Ansatz verringert das Risiko von Sicherheitsverletzungen und Complianceverstößen und stellt die Integrität der containerisierten Anwendungen sicher. Alle Angaben in diesem Artikel stammen aus der Dokumentation der Hersteller und einem Kurztest, an dem 15 Hersteller teilgenommen haben.
Risiken beim Einsatz von Containern und einer CI/CD-Pipeline
Jede Schutzmaßnahme sollte konkret eines oder mehrere Risiken in ihren Auswirkungen oder ihrer Eintrittshäufigkeit reduzieren. Die wichtigsten hier im Überblick. Viele Container-Images werden auf Basis öffentlich verfügbarer Images erstellt. Sie können Malware, bekannte und unbekannte Schwachstellen enthalten. Bleiben diese unentdeckt, werden sie in die eigenen Container eingebettet. Auch selbst geschriebener Code für containerisierte Anwendungen und Bibliotheken von Drittanbietern können Anfälligkeiten für Angriffe wie SQL-Injection oder Remote Code Execution (RCE) mit sich bringen. Viele Risiken gehen auch von fehlerhaften Konfigurationen aus, wie die Ausführung als Root, zu viele Mounts auf dem Node oder nicht eingeschränkte Syscalls.