„Nur mit einer modernen Container-Sicherheit können Firmen ihre Container-Umgebung vor bekannten, aber auch unbekannten Bedrohungen schützen“

CANCOM.info: Die Nutzung der Container-Technologie ist gerade in der Software-Entwicklung nicht mehr wegzudenken. Laut dem Forschungsbericht „The Impact of Machine Identities on the State of Cloud Native Security in 2023” kann die Container-Technologie aber auch zum Sicherheitsrisiko werden. Demnach haben 77 Prozent der Unternehmen weltweit bereits Sicherheitsvorfälle in Container-Umgebungen erlebt. Woran liegt das?

Wolfgang Hofbauer: Dies liegt häufig im Bereich der Container-Images begründet. Container-Images sind die Grundlage für die Ausführung von containerbasierten Applikationen, weil sie alle dafür nötigen Pakete, Abhängigkeiten und Daten enthalten. Oft begehen Unternehmen aber den Fehler, dass sie Container-Images von Drittanbietern ohne ausreichende Auditierung und Validierung in den Betrieb überführen. Dies kann schwerwiegende Sicherheitsvorfälle verursachen.

CANCOM.info: Inwiefern?

Wolfgang Hofbauer: Wenn Container-Images nicht ausreichend geprüft werden, besteht zum Beispiel die Gefahr, dass Unternehmen veraltete Anwendungspakete innerhalb von Container-Images übersehen. Solche veralteten Pakete bergen nicht selten Sicherheitslücken, die Cyberkriminelle für ihre Zwecke ausnutzen können.

CANCOM.info: Sie haben von Sicherheitsvorfällen gesprochen. Welche konkreten Vorfälle können in der Praxis auftreten?

Wolfgang Hofbauer: Denkbar sind vielfältige Szenarien – vom Abfluss schützenswerter Informationen bis hin zur Manipulation und Störung der Container-Umgebung. All diese Sicherheitsvorfälle können weitreichende technische und wirtschaftlich existenzielle Folgen haben. Ganz zu schweigen vom Reputationsverlust, den Unternehmen dadurch erleiden. Genau deshalb ist es wichtig, dem Thema Container-Sicherheit einen hohen Stellenwert einzuräumen.

CANCOM.info: Was zeichnet eine moderne Container-Sicherheit aus?

Wolfgang Hofbauer: Moderne Container-Sicherheit befasst sich insbesondere mit der fortlaufenden Auditierung, Überwachung und Erzwingung von Einschränkungen, wenn es um Container-Images und die Ausführung containerbasierter Anwendungen geht. Damit eben beispielsweise veraltete Anwendungspakete als solche erkannt und nicht ausgeführt werden können. Ziel ist es, die gesamte Container-Umgebung jederzeit vollumfänglich abzusichern – um so die Vertraulichkeit, Integrität und Verfügbarkeit von Containern sicherzustellen. Damit dieses Ziel erreicht wird, benötigen Unternehmen eine Containersicherheitsplattform, die den gesamten Lifecycle von Containern überwacht und, falls nötig, Einschränkungen vornimmt. Darüber hinaus muss die Plattform in der Lage sein, den Zugriff auf Dateien und Anwendungen nach dem Zero Trust-Prinzip zu regulieren. Nicht zuletzt sollte sie zu 100 Prozent auf Open Source-Technologie basieren.

CANCOM.info: Wie können Firmen eine moderne Container-Sicherheit im Betrieb etablieren?

Wolfgang Hofbauer: Neben der Einführung der gerade erwähnten Containersicherheitsplattform müssen Unternehmen genau analysieren, welche konkreten Anforderungen die Container-Umgebung an die IT-Sicherheit stellt. Häufig ergibt sich aus dieser Analyse, dass neue IT-Prozesse geschaffen und die verantwortlichen Mitarbeiter fachmännisch geschult werden müssen.

CANCOM.info: Mit NeuVector hat der Hersteller SUSE eine der führenden Containersicherheitsplattformen im Portfolio. Wie können Unternehmen von dieser Plattform profitieren?

Wolfgang Hofbauer: NeuVector sichert den kompletten Container-Lifecyle in Kubernetes-basierten Distributionen ab. Um welche Distribution es sich dabei handelt – ob auszugsweise K3s, RKE2, OpenShift oder eine Kubernetes as a Service-Lösung – spielt keine Rolle. Tatsächlich unterstützt NeuVector jegliche Kubernetes-Distribution, die von der Cloud Native Computing Foundation zertifiziert wurde. Der Funktionsumfang ist groß und beinhaltet vor allem die Absicherung sämtlicher Bereiche rund um die Runtime Security (Schutz während der Laufzeit der Container, Anm. d. Red.) und Supply Chain Security (Absicherung der Software-Lieferkette, Anm. d. Red.). Damit lassen sich die Sicherheitsrichtlinien von containerbasierten Anwendungen und Ressourcen in Kubernetes GitOps-gestützt definieren. Dieser Vorgang wird als Policy as Code bezeichnet. 

CANCOM.info: Welche Elemente dieses großen Funktionsumfangs schätzen Kunden in der Praxis am meisten?

Wolfgang Hofbauer: Kunden schätzen insbesondere die tiefe Einsicht und die kontrollierten Eingriffsmöglichkeiten in die Container-Umgebung – egal, ob es um Dateizugriffe, Prozesse oder den Netzwerkverkehr geht. Auch die Integration der Lösung in den gesamten Container-Lifecycle sowie die Funktionalitäten rund um die Themen Data Loss Prevention und Zero Trust werden positiv hervorgehoben und auch von unseren zertifizierten Partnern sehr geschätzt.  

CANCOM.info: Nehmen wir an, ein Unternehmen wendet sich an CANCOM, um NeuVector im Betrieb einzuführen. Wie gehen Sie als CANCOM vor, damit die Einführung gelingt?

Wolfgang Hofbauer: Zunächst analysieren wir sorgfältig die bestehende Container-Umgebung und welche Anforderungen an die Sicherheit bestehen. Unter anderem prüfen wir, welche Container samt deren Prozesse aktuell im Unternehmen im Betrieb sind, wie sich die Dateizugriffe und der Netzwerkverkehr gestalten – und welche Schwachstellen existieren. Auf Basis dieser Analyse erfolgt im gemeinsamen Austausch die Ausarbeitung eines Konzeptes. Nach der finalen Abnahme übernehmen wir die Implementierung sowie die Schulung rund um NeuVector.

CANCOM.info: Wenn Sie ein Fazit ziehen müssten: Wieso ist das Thema Container-Sicherheit heute für Unternehmen unverzichtbar? Und weshalb sollten sich Firmen bei der Umsetzung an CANCOM wenden?

Wolfgang Hofbauer: Nur mit einer modernen Container-Sicherheit können Firmen ihre Container-Umgebung vor bekannten, aber auch unbekannten Bedrohungen schützen – und die Vertraulichkeit, Integrität und Verfügbarkeit der Container gewährleisten. Für die Umsetzung ist es unerlässlich, eine Containersicherheitsplattform wie NeuVector von SUSE einzuführen. Damit können Unternehmen den kompletten Container-Lifecycle in Kubernetes absichern. Bei der Einführung von NeuVector können sich Unternehmen an CANCOM wenden: Wir als CANCOM verfügen über geschulte und von SUSE zertifizierte Consultants, die Firmen während des gesamten Prozesses umfassend unterstützen – von der Analyse der bestehenden Container-Umgebung bis hin zur praktischen Implementierung und Schulung.

Sie möchten sich weiter zur Lösung NeuVector informieren? Dann besuchen Sie gerne die exklusive Themenseite. Dort haben Sie auch die Möglichkeit, mit den Experten von CANCOM in Kontakt zu treten.