Infrastructure as Code (IaC)
Sysdig Secure Infrastructure as Code (IaC) security integrates directly into your CI/CD pipeline and prevents misconfigurations, noncompliance, and security risks before runtime.
Automatisieren Sie das lokale Scanning in Ihren CI/CD-Tools und kennzeichnen Sie neue Schwachstellen zur Laufzeit
Prüfen Sie Ihre Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg
Ermitteln Sie Bedrohungen in Containern, Kubernetes und der AWS-Infrastruktur mit vordefinierten Falco-Regeln, die auf Systemaufrufen, K8s-Audit-Logs und AWS CloudTrail beruhen
Führen Sie Untersuchungen mit Low-Level-Systemaufrufdaten durch, auch wenn der Container nicht mehr vorhanden ist
Aktuelle Einblicke zum Thema Sicherheit erhalten Sie in unserem Snapshot zur Container-Sicherheit für 2020.
Sysdig Secure integriert Sicherheit und Compliance in jede Phase des Container-Lebenszyklus.
Da Software heutzutage zusammengestellt und nicht komplett neu erstellt wird, pullen Ihre Entwickler Open-Source-Basis-Images und externe Bibliotheken, um containerisierte Anwendungen zu entwickeln und zu erstellen. Gewinnen Sie umfassendere Einblicke in 12 Best Practices zum Thema Image-Scanning, die Sie für die Produktion übernehmen können.
Sysdig Secure beugt bekannten Schwachstellen frühzeitig vor, indem Scanning in die CI/CD-Pipelines und Registries integriert wird. Die Lösung kennzeichnet auch neu identifizierte Schwachstellen zur Laufzeit, weist sie wieder spezifischen Anwendungen zu und bestimmt das Team, das sie beheben soll. Nutzen Sie die vordefinierten Docker-Sicherheits-Scanning-Regeln von Sysdig, um Zeit zu sparen, denn diese Regeln finden gravierende Schwachstellen, fehlerhafte Konfigurationen und Bad Practices im Bereich Sicherheit innerhalb und außerhalb des OS.
Eine weitere wichtige Anforderung in Sachen Container-Sicherheit ist es, betrügerische Aktivitäten zur Laufzeit zu erkennen und zu melden, u. a.:
Mit dem Open-Source-Projekt Falco können Sie flexible Erkennungsregeln erstellen, um unerwartetes Verhalten in Containern zu definieren. Diese Regeln können um Kontext aus den Cloudanbieter- und Kubernetes-Umgebungen ergänzt werden. Ihre Teams können aussagekräftige Entdeckungen aus der Community nutzen, statt Richtlinien komplett neu zu erstellen. Anschließend können Sie Benachrichtigungen einrichten, indem Sie Falco mit Ihren aktuellen Security-Response-Workflows und -Prozessen verbinden.
Sysdig Secure erweitert die Open-Source-basierte Falco-Engine und spart Zeit bei der Erstellung und Verwaltung von Laufzeit-Erkennungsrichtlinien. Die Lösung nutzt maschinelles Lernen, um automatisch Profile für Container-Images zu erstellen. So vermeiden Sie, Regeln komplett neu schreiben zu müssen.
Container-Compliance ist eine wichtige Anforderung, die es vor der Bereitstellung für die Produktion zu erfüllen gilt. Die häufigsten Herausforderungen bei der Validierung von Container-Compliance, von denen uns DevOps-Teams berichten, sind:
All diese Compliance-Prozesse nehmen Zeit und Ressourcen in Anspruch und verlangsamen letztlich die Bereitstellung von Anwendungen. Sysdig Secure ordnet Compliance-Standards (z. B. PCI, NIST, SOC2) spezifischen Kontrollen für Container- und Kubernetes-Umgebungen zu. Bei Bedarf verfügbare Auswertungen, Dashboards und Berichte machen es einfacher, externe Audits zu bestehen. Weitere Informationen darüber, wie Sie die Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg prüfen können, erhalten Sie bei uns.
Bei der Reaktion auf Vorfälle ist die Beantwortung von „Warum“-Fragen besonders schwierig, da Container- und Kubernetes-Umgebungen sowohl verteilt als auch dynamisch sind. Ihre Teams müssen einerseits präzise Laufzeitrichtlinien definieren und andererseits darauf achten, dass Benutzer nicht von Benachrichtigungen überflutet werden. Das richtige Gleichgewicht muss her.
Um die Ursache eines schädlichen Ereignisses in einem Container erkennen zu können, muss Ihr Container-Sicherheitstool ausführliche Nachweise bereitstellen. Sysdig stellt umfassende forensische Daten zur Verfügung, indem Linux-Systemaufrufe genutzt werden, die für eine vollständige Post-mortem-Analyse entscheidend sind, auch nachdem der Container nicht mehr vorhanden ist. Mit diesen Low-Level-Daten können Sie schwierige Fragen beantworten, u. a. welche Dateien bearbeitet, welche Befehle ausgeführt, welche Verbindungen hergestellt wurden u. v. m. Wenn Sie mehr darüber erfahren möchten, wie Sie einen Snapshot von Aktivitäten in Containern vor und nach Angriffen erfassen und umfassende Maßnahmen zur Reaktion auf Vorfälle und Forensik durchführen, werden Sie hier fündig.
Die Sysdig-Plattform beruht auf einer Open Source und dem SaaS-First-Ansatz, und lässt sich automatisch in Ihren bestehenden DevOps-Stack integrieren.
Sysdig Secure Infrastructure as Code (IaC) security integrates directly into your CI/CD pipeline and prevents misconfigurations, noncompliance, and security risks before runtime.
Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.
Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.
Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.
Sysdig secures and monitors containers on multiple cloud platforms.
Sysdig ServiceVision enriches container data with the metadata from the cloud providers.
Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.
Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.
Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.
Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).
Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.
Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.
A: Container-Sicherheit bedeutet, dass Sicherheits- und Compliance-Maßnahmen in jeder Phase des Container-Lebenszyklus implementiert werden. Darin eingeschlossen sind das Scannen von Container-Images in den CI/CD-Pipelines und Registries sowie die Sicherstellung von Laufzeitsicherheit für Container und Hosts. Eine weitere Anforderung bilden Maßnahmen zur Reaktion auf Vorfälle mit vollständigen forensischen Daten, in denen sämtliche Aktivitäten in dem Container erfasst sind. Anhand von Compliance-Kontrollen sollten Teams in der Lage sein, Audits jederzeit zu bestehen.
A: Um Workloads in Kubernetes zu schützen, müssen mehrere Komponenten des Clusters gesichert werden. Schwachstellen in Ihren Basispaketen innerhalb und außerhalb Ihres OS, mit denen Entwickler Anwendungen erstellen, können ausgenutzt werden. Aus diesem Grund müssen Images gescannt und über Zugangs-Controller integriert werden, um riskante Image-Bereitstellungen zu verhindern. Eine weitere Komponente, die es abzusichern gilt, ist Ihre Kubernetes-Steuerungsebene (d. h. Controller-Manager, etcd), auf die Sie über die Kubernetes-API zugreifen. In dieser Ebene ist ein Sicherheits-Monitoring und -Auditing aller Aktivitäten erforderlich, die auf der API-Serverebene ablaufen.Laden Sie unsere Checkliste zur Kubernetes-Sicherheit herunter , wenn Sie weitere Details zur Sicherung von Kubernetes benötigen.
A: Auch wenn Sie Container ausführen, sollten Sie sicherstellen, dass Ihre Hostkonfiguration sicher ist (eingeschränkter und authentifizierter Zugriff, verschlüsselte Kommunikation usw.). Empfehlung: Nutzen Sie das Audit-Tool „Docker Bench“, um sich Best Practices zur Konfiguration anzuschauen. Sie sollten Ihr Basissystem außerdem auf dem neuesten Stand halten und wenige Container-zentrische Hostsysteme einsetzen. So reduzieren Sie Ihre Angriffsfläche. Weitere Informationen erhalten Sie in diesem Artikel: 7 Sicherheitsschwachstellen in Docker
A: Wenn Sie für AWS-Container-Sicherheit sorgen möchten, müssen Sie Sicherheitsmaßnahmen in jeder Phase des Container-Lebenszyklus implementieren. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit Amazon ECR, aber auch für CI/CD-Pipelines mit Tools wie AWS CodeBuild und CodePipeline. Durch Laufzeitsicherheit in der Produktion mit EKS und ECS werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Implementieren Sie mithilfe von AWS CloudTrail und Falco Maßnahmen zur Bedrohungserkennung, um Benachrichtigungen zu verdächtigen Änderungen in AWS-Benutzerberechtigungen, S3-Buckets, Zugangsschlüsseln usw. zu erhalten. Compliance-Prüfungen in Ihrer gesamten AWS-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.
A: OpenShift bietet eine sichere Container-Plattform für Unternehmen. Sysdig ergänzt die integrierten Kontrollen zur Container-Sicherheit von OpenShift um erweitertes Image-Scanning, Laufzeitsicherheit und Container-Forensik, um das Risiko für geschäftskritische Container-Bereitstellungen in großem Umfang zu reduzieren.
A: Um Container, die mit Lösungen wie GKE und Cloud Run ausgeführt werden, auf Google Cloud zu sichern, müssen Sie den Schutz in allen Phasen des Container-Lebenszyklus sicherstellen. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit GCR, aber auch für CI/CD-Pipelines mit Tools wie Google Cloud Build. Durch Laufzeitsicherheit in der Produktion mit GKE und Cloud Run werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Compliance-Prüfungen in Ihrer gesamten Google Cloud-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.
“Wir verfügen über ein kleines Team und ein echtes DevOps-Modell, sodass wir mehrere Funktionen ausüben müssen. Mit Sysdig ist dies sehr einfach, da wir keinen Kompromiss zwischen Geschwindigkeit und Sicherheit eingehen müssen.”
VP of Engineering at Stella Connect