What is container security?

Container security is the process of implementing security and compliance across all stages of the container lifecycle. This includes scanning container images in the CI/CD pipelines and registries, as well as ensuring runtime security for containers and hosts. Incident response with full forensics data that captures all activity inside the container is a key requirement as well. Compliance controls should allow teams to pass an audit at any time.

How do I secure Kubernetes?

Protecting workloads in Kubernetes involves securing multiple components of the cluster. Vulnerabilities in your base OS or non-OS packages that developers use to build applications can be exploited. This requires image scanning and integrating via admission controllers to prevent risky image deployments. Another component to secure is your Kubernetes control plane (i.e., controller manager, etcd), which can be accessed via the Kubernetes API, and requires security monitoring and auditing of all activity happening at the API server level.

How do I secure the host?

Even when you run containers, you want to make sure your host configuration is secure (restricted and authenticated access, encrypted communication, etc.). We recommend using the Docker bench audit tool to check configuration best practices. You should also keep your base system updated and use minimal, container-centric host systems to reduce your attack surface.

How do I implement container security on AWS (ECS, EKS, Fargate)?

AWS container security requires implementation of security across all stages of the container lifecycle. This includes automating image scanning at the registry level with Amazon ECR, but also for CI/CD pipelines with tools such AWS CodeBuild and CodePipeline. Runtime security in production with EKS, ECS detects and blocks zero-day vulnerabilities and threats such as privilege escalation attempts. Implementing threat detection using AWS CloudTrail and Falco helps to alert on suspicious changes in AWS user permissions, S3 buckets, access keys, etc. Compliance checks across your AWS infrastructure and application lifecycle are key to meeting regulatory compliance standards. And finally, recording container activity at a detailed level will help you understand events and conduct forensics even after containers are gone.

How do I implement container security on RedHat OpenShift?

OpenShift provides a secure, enterprise-class container platform. Sysdig augments OpenShift’s built-in container security controls with extended image scanning, runtime security and container forensics to reduce risk for mission-critical container deployments at scale.

How do I implement container security on Google Cloud?

Securing containers on Google Cloud running on solutions like GKE and Cloud Run require protection across all stages of the container lifecycle. This includes automating image scanning at the registry level with GCR, but also for CI/CD pipelines with tools such as Google Cloud Build. Runtime security in production with GKE and Cloud Run detects and blocks zero-day vulnerabilities and threats such as privilege escalation attempts. Compliance checks across your Google Cloud infrastructure and application lifecycle are key to meeting regulatory compliance standards. And finally, recording container activity at a detailed level will help you understand events and conduct forensics even after containers are gone.

Container-Sicherheit mit Sysdig Secure

Sicherheit und Compliance
in DevOps integriert

Zur Checkliste zu Kubernetes-Sicherheit

Produkttour

Schließen Sie die Lücke zwischen Container-Sicherheit und Transparenz

Image-Scanning

Automatisieren Sie das lokale Scanning in Ihren CI/CD-Tools und kennzeichnen Sie neue Schwachstellen zur Laufzeit

Lückenlose
Compliance

Prüfen Sie Ihre Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg

Laufzeit-Bedrohungserkennung

Ermitteln Sie Bedrohungen in Containern, Kubernetes und der AWS-Infrastruktur mit vordefinierten Falco-Regeln, die auf Systemaufrufen, K8s-Audit-Logs und AWS CloudTrail beruhen

Reaktion auf Vorfälle und Forensik

Führen Sie Untersuchungen mit Low-Level-Systemaufrufdaten durch, auch wenn der Container nicht mehr vorhanden ist

Weitere Informationen

Tiefgehendere Einsichten

Details

Aktuelle Einblicke zum Thema Sicherheit erhalten Sie in unserem Snapshot zur Container-Sicherheit für 2020. Jetzt lesen

Container-Sicherheit mit Sysdig Secure

Sysdig Secure integriert Sicherheit und Compliance in jede Phase des Container-Lebenszyklus.

Image-Scanning

Da Software heutzutage zusammengestellt und nicht komplett neu erstellt wird, pullen Ihre Entwickler Open-Source-Basis-Images und externe Bibliotheken, um containerisierte Anwendungen zu entwickeln und zu erstellen. Gewinnen Sie umfassendere Einblicke in 12 Best Practices zum Thema Image-Scanning, die Sie für die Produktion übernehmen können.

Sysdig Secure beugt bekannten Schwachstellen frühzeitig vor, indem Scanning in die CI/CD-Pipelines und Registries integriert wird. Die Lösung kennzeichnet auch neu identifizierte Schwachstellen zur Laufzeit, weist sie wieder spezifischen Anwendungen zu und bestimmt das Team, das sie beheben soll. Nutzen Sie die vordefinierten Docker-Sicherheits-Scanning-Regeln von Sysdig, um Zeit zu sparen, denn diese Regeln finden gravierende Schwachstellen, fehlerhafte Konfigurationen und Bad Practices im Bereich Sicherheit innerhalb und außerhalb des OS.

Laufzeit-Bedrohungserkennung

Eine weitere wichtige Anforderung in Sachen Container-Sicherheit ist es, betrügerische Aktivitäten zur Laufzeit zu erkennen und zu melden, u. a.:

Ausnutzung von nicht gepatchten oder neuen Zero-Day-Schwachstellen
Unsichere Konfigurationen
Kompromittierte oder schwache Anmeldeinformationen
Insider-Bedrohungen

Mit dem Open-Source-Projekt Falco können Sie flexible Erkennungsregeln erstellen, um unerwartetes Verhalten in Containern zu definieren. Diese Regeln können um Kontext aus den Cloudanbieter- und Kubernetes-Umgebungen ergänzt werden. Ihre Teams können aussagekräftige Entdeckungen aus der Community nutzen, statt Richtlinien komplett neu zu erstellen. Anschließend können Sie Benachrichtigungen einrichten, indem Sie Falco mit Ihren aktuellen Security-Response-Workflows und -Prozessen verbinden.

Sysdig Secure erweitert die Open-Source-basierte Falco-Engine und spart Zeit bei der Erstellung und Verwaltung von Laufzeit-Erkennungsrichtlinien. Die Lösung nutzt maschinelles Lernen, um automatisch Profile für Container-Images zu erstellen. So vermeiden Sie, Regeln komplett neu schreiben zu müssen.

Lückenlose Compliance

Container-Compliance ist eine wichtige Anforderung, die es vor der Bereitstellung für die Produktion zu erfüllen gilt. Die häufigsten Herausforderungen bei der Validierung von Container-Compliance, von denen uns DevOps-Teams berichten, sind:

Zuordnung von Compliance-Standards zu bestimmten Kontrollen in Cloudumgebungen nicht möglich
Status der Compliance wird nicht ersichtlich und es lässt sich nicht erkennen, ob man Audits bestehen würde
Unklar, welche Teams für welche Compliance-Kontrollen verantwortlich sind
Nachweis von Compliance in Container-Umgebungen nicht möglich

All diese Compliance-Prozesse nehmen Zeit und Ressourcen in Anspruch und verlangsamen letztlich die Bereitstellung von Anwendungen. Sysdig Secure ordnet Compliance-Standards (z. B. PCI, NIST, SOC2) spezifischen Kontrollen für Container- und Kubernetes-Umgebungen zu. Bei Bedarf verfügbare Auswertungen, Dashboards und Berichte machen es einfacher, externe Audits zu bestehen. Weitere Informationen darüber, wie Sie die Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg prüfen können, erhalten Sie bei uns.

Reaktion auf Vorfälle

Bei der Reaktion auf Vorfälle ist die Beantwortung von „Warum“-Fragen besonders schwierig, da Container- und Kubernetes-Umgebungen sowohl verteilt als auch dynamisch sind. Ihre Teams müssen einerseits präzise Laufzeitrichtlinien definieren und andererseits darauf achten, dass Benutzer nicht von Benachrichtigungen überflutet werden. Das richtige Gleichgewicht muss her.

Um die Ursache eines schädlichen Ereignisses in einem Container erkennen zu können, muss Ihr Container-Sicherheitstool ausführliche Nachweise bereitstellen. Sysdig stellt umfassende forensische Daten zur Verfügung, indem Linux-Systemaufrufe genutzt werden, die für eine vollständige Post-mortem-Analyse entscheidend sind, auch nachdem der Container nicht mehr vorhanden ist. Mit diesen Low-Level-Daten können Sie schwierige Fragen beantworten, u. a. welche Dateien bearbeitet, welche Befehle ausgeführt, welche Verbindungen hergestellt wurden u. v. m. Wenn Sie mehr darüber erfahren möchten, wie Sie einen Snapshot von Aktivitäten in Containern vor und nach Angriffen erfassen und umfassende Maßnahmen zur Reaktion auf Vorfälle und Forensik durchführen, werden Sie hier fündig.

In Ihren DevOps-Workflow integriert

Die Sysdig-Plattform beruht auf einer Open Source und dem SaaS-First-Ansatz, und lässt sich automatisch in Ihren bestehenden DevOps-Stack integrieren.

Code

Infrastructure as Code (IaC)

Sysdig Secure Infrastructure as Code (IaC) security integrates directly into your CI/CD pipeline and prevents misconfigurations, noncompliance, and security risks before runtime.

Build

Vulnerabilities

Configuration

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

1/2

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

2/2

Run

Metrics

Events

Security Policies

Applications

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

1/4

Cloud

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

2/4

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

3/4

Infrastructure

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

4/4

Respond

Alerts

Audit
Logs

Events

Syscall
Captures

Alerts

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

1/2

SIEM and SOAR Integrations

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

2/2

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

Aktivieren Sie Ihre 30-tägige Testversion in Minutenschnelle!

Umfassender Zugriff auf alle Features und Funktionen. Keine Kreditkarte erforderlich.

Kostenlos loslegen

Häufig gestellte Fragen

Q: Was ist Container-Sicherheit?

A: Container-Sicherheit bedeutet, dass Sicherheits- und Compliance-Maßnahmen in jeder Phase des Container-Lebenszyklus implementiert werden. Darin eingeschlossen sind das Scannen von Container-Images in den CI/CD-Pipelines und Registries sowie die Sicherstellung von Laufzeitsicherheit für Container und Hosts. Eine weitere Anforderung bilden Maßnahmen zur Reaktion auf Vorfälle mit vollständigen forensischen Daten, in denen sämtliche Aktivitäten in dem Container erfasst sind. Anhand von Compliance-Kontrollen sollten Teams in der Lage sein, Audits jederzeit zu bestehen.

Q: Wie sichere ich Kubernetes?

A: Um Workloads in Kubernetes zu schützen, müssen mehrere Komponenten des Clusters gesichert werden. Schwachstellen in Ihren Basispaketen innerhalb und außerhalb Ihres OS, mit denen Entwickler Anwendungen erstellen, können ausgenutzt werden. Aus diesem Grund müssen Images gescannt und über Zugangs-Controller integriert werden, um riskante Image-Bereitstellungen zu verhindern. Eine weitere Komponente, die es abzusichern gilt, ist Ihre Kubernetes-Steuerungsebene (d. h. Controller-Manager, etcd), auf die Sie über die Kubernetes-API zugreifen. In dieser Ebene ist ein Sicherheits-Monitoring und -Auditing aller Aktivitäten erforderlich, die auf der API-Serverebene ablaufen.Laden Sie unsere Checkliste zur Kubernetes-Sicherheit herunter , wenn Sie weitere Details zur Sicherung von Kubernetes benötigen.

Q: Wie sichere ich den Host?

A: Auch wenn Sie Container ausführen, sollten Sie sicherstellen, dass Ihre Hostkonfiguration sicher ist (eingeschränkter und authentifizierter Zugriff, verschlüsselte Kommunikation usw.). Empfehlung: Nutzen Sie das Audit-Tool „Docker Bench“, um sich Best Practices zur Konfiguration anzuschauen. Sie sollten Ihr Basissystem außerdem auf dem neuesten Stand halten und wenige Container-zentrische Hostsysteme einsetzen. So reduzieren Sie Ihre Angriffsfläche. Weitere Informationen erhalten Sie in diesem Artikel: 7 Sicherheitsschwachstellen in Docker

Q: Wie implementiere ich Container-Sicherheit in AWS (ECS, EKS, Fargate)?

A: Wenn Sie für AWS-Container-Sicherheit sorgen möchten, müssen Sie Sicherheitsmaßnahmen in jeder Phase des Container-Lebenszyklus implementieren. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit Amazon ECR, aber auch für CI/CD-Pipelines mit Tools wie AWS CodeBuild und CodePipeline. Durch Laufzeitsicherheit in der Produktion mit EKS und ECS werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Implementieren Sie mithilfe von AWS CloudTrail und Falco Maßnahmen zur Bedrohungserkennung, um Benachrichtigungen zu verdächtigen Änderungen in AWS-Benutzerberechtigungen, S3-Buckets, Zugangsschlüsseln usw. zu erhalten. Compliance-Prüfungen in Ihrer gesamten AWS-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.

Q: Wie implementiere ich Container-Sicherheit in RedHat OpenShift?

A: OpenShift bietet eine sichere Container-Plattform für Unternehmen. Sysdig ergänzt die integrierten Kontrollen zur Container-Sicherheit von OpenShift um erweitertes Image-Scanning, Laufzeitsicherheit und Container-Forensik, um das Risiko für geschäftskritische Container-Bereitstellungen in großem Umfang zu reduzieren.

Q: Wie implementiere ich Container-Sicherheit in Google Cloud?

A: Um Container, die mit Lösungen wie GKE und Cloud Run ausgeführt werden, auf Google Cloud zu sichern, müssen Sie den Schutz in allen Phasen des Container-Lebenszyklus sicherstellen. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit GCR, aber auch für CI/CD-Pipelines mit Tools wie Google Cloud Build. Durch Laufzeitsicherheit in der Produktion mit GKE und Cloud Run werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Compliance-Prüfungen in Ihrer gesamten Google Cloud-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.

Das könnte Sie ebenfalls interessieren

“Wir verfügen über ein kleines Team und ein echtes DevOps-Modell, sodass wir mehrere Funktionen ausüben müssen. Mit Sysdig ist dies sehr einfach, da wir keinen Kompromiss zwischen Geschwindigkeit und Sicherheit eingehen müssen.”
VP of Engineering at Stella Connect

Container-Sicherheit mit Sysdig Secure

Schließen Sie die Lücke zwischen Container-Sicherheit und Transparenz

Image-Scanning

LückenloseCompliance

Laufzeit-Bedrohungserkennung

Reaktion auf Vorfälle und Forensik

Container-Sicherheit mit Sysdig Secure

Image-Scanning

Laufzeit-Bedrohungserkennung

Lückenlose Compliance

Reaktion auf Vorfälle

In Ihren DevOps-Workflow integriert