Schwachstellen-Scans für Container

Durchleuchtet

Container sind mittlerweile nicht mehr nur Spielzeug für Geeks, sondern erhalten mehr und mehr Einzug in Business-kritische Umgebungen. Grund genug sich darüber Gedanken zu machen, wie sich die eingesetzten Container-Images auf Schwachstellen hin untersuchen lassen.
Immer mehr Unternehmen wagen den Schritt in die Cloud. Dabei schieben nur die wenigsten gleich ihre gesamte IT in die Wolke, sondern migrieren zunächst ... (mehr)

Container werden immer häufiger dazu eingesetzt, um eine bestimmte Anwendung auf einem System zu installieren. Grundlage eines solchen Containers ist dabei ein Image, das eine entsprechende Laufzeitumgebung für die Anwendung zur Verfügung stellt. In den meisten Fällen basieren die Images auf einer bestimmten Linux-Distribution und enthalten neben der Laufzeitumgebung für die Anwendung selbst auch jede Menge Abhängigkeiten, sodass letztendlich sehr viele Pakete in dem Image enthalten sind. Ist hierunter ein fehlerhaftes Paket, sind alle Container davon betroffen, die auf Basis dieses Images erzeugt wurden. Es daher wichtig, die eingesetzten Images regelmäßig auf Schwachstellen zu überprüfen und wenn nötig zu aktualisieren.

Es existieren eine Reihe von Tools, die sich für diesen Zweck einsetzen lassen, sich jedoch recht stark voneinander unterscheiden. CoreOS beispielsweise stellt einen Scanner mit dem Namen Clair [1] zur Verfügung, der unterschiedliche Datenquellen abfragen kann, um an aktuelle Schwachstellen-Informationen der einzelnen Linux-Distributionen zu gelangen. Das Tool führt dann einen Scan der vorhandenen Container und Images durch, um zu verifizieren, ob lokal vorhandene Daten von den Schwachstellen betroffen sind. Einen etwas anderen Weg geht das Tool Docker Bench for Security [2]. Hierbei handelt es sich eigentlich nur um ein Shell-Skript, das die vorhandenen Container auf Basis der Empfehlungen des Center for Internet Security [3] überprüft, eine

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Container-Scanning mit oscap-podman

Um veraltete Software-Installationen oder fehlerhafte Konfigurationen zu finden, existieren eine Vielzahl an unterschiedlichen Scannern. Immer mehr Anwendungen laufen allerdings in Containern ab. Für klassische Scanner-Tools sind diese somit gar nicht sichtbar. Der Open-Source-Tipp zeigt, wie sich dieses Problem mit­hilfe von OpenSCAP lösen lässt.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023