Container-Sicherheit mit Sysdig Secure

Sicherheit und Compliance
in DevOps integriert


Zur Checkliste zu Kubernetes-Sicherheit

Schließen Sie die Lücke zwischen Container-Sicherheit und Transparenz

Image Scanning

Image-Scanning

Automatisieren Sie das lokale Scanning in Ihren CI/CD-Tools und kennzeichnen Sie neue Schwachstellen zur Laufzeit

Compliance

Lückenlose
Compliance

Prüfen Sie Ihre Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg

Runtime Security

Laufzeit-Bedrohungserkennung

Ermitteln Sie Bedrohungen in Containern, Kubernetes und der AWS-Infrastruktur mit vordefinierten Falco-Regeln, die auf Systemaufrufen, K8s-Audit-Logs und AWS CloudTrail beruhen

Incident Response and Forensics

Reaktion auf Vorfälle und Forensik

Führen Sie Untersuchungen mit Low-Level-Systemaufrufdaten durch, auch wenn der Container nicht mehr vorhanden ist

Aktuelle Einblicke zum Thema Sicherheit erhalten Sie in unserem Snapshot zur Container-Sicherheit für 2020. Jetzt lesen

Container-Sicherheit mit Sysdig Secure

Sysdig Secure integriert Sicherheit und Compliance in jede Phase des Container-Lebenszyklus.

Image-Scanning

Da Software heutzutage zusammengestellt und nicht komplett neu erstellt wird, pullen Ihre Entwickler Open-Source-Basis-Images und externe Bibliotheken, um containerisierte Anwendungen zu entwickeln und zu erstellen. Gewinnen Sie umfassendere Einblicke in 12 Best Practices zum Thema Image-Scanning, die Sie für die Produktion übernehmen können.

Sysdig Secure beugt bekannten Schwachstellen frühzeitig vor, indem Scanning in die CI/CD-Pipelines und Registries integriert wird. Die Lösung kennzeichnet auch neu identifizierte Schwachstellen zur Laufzeit, weist sie wieder spezifischen Anwendungen zu und bestimmt das Team, das sie beheben soll. Nutzen Sie die vordefinierten Docker-Sicherheits-Scanning-Regeln von Sysdig, um Zeit zu sparen, denn diese Regeln finden gravierende Schwachstellen, fehlerhafte Konfigurationen und Bad Practices im Bereich Sicherheit innerhalb und außerhalb des OS.

Laufzeit-Bedrohungserkennung

Eine weitere wichtige Anforderung in Sachen Container-Sicherheit ist es, betrügerische Aktivitäten zur Laufzeit zu erkennen und zu melden, u. a.:

  • Ausnutzung von nicht gepatchten oder neuen Zero-Day-Schwachstellen
  • Unsichere Konfigurationen
  • Kompromittierte oder schwache Anmeldeinformationen
  • Insider-Bedrohungen

Mit dem Open-Source-Projekt Falco können Sie flexible Erkennungsregeln erstellen, um unerwartetes Verhalten in Containern zu definieren. Diese Regeln können um Kontext aus den Cloudanbieter- und Kubernetes-Umgebungen ergänzt werden. Ihre Teams können aussagekräftige Entdeckungen aus der Community nutzen, statt Richtlinien komplett neu zu erstellen. Anschließend können Sie Benachrichtigungen einrichten, indem Sie Falco mit Ihren aktuellen Security-Response-Workflows und -Prozessen verbinden.

Sysdig Secure erweitert die Open-Source-basierte Falco-Engine und spart Zeit bei der Erstellung und Verwaltung von Laufzeit-Erkennungsrichtlinien. Die Lösung nutzt maschinelles Lernen, um automatisch Profile für Container-Images zu erstellen. So vermeiden Sie, Regeln komplett neu schreiben zu müssen.

Lückenlose Compliance

Container-Compliance ist eine wichtige Anforderung, die es vor der Bereitstellung für die Produktion zu erfüllen gilt. Die häufigsten Herausforderungen bei der Validierung von Container-Compliance, von denen uns DevOps-Teams berichten, sind:

  • Zuordnung von Compliance-Standards zu bestimmten Kontrollen in Cloudumgebungen nicht möglich
  • Status der Compliance wird nicht ersichtlich und es lässt sich nicht erkennen, ob man Audits bestehen würde
  • Unklar, welche Teams für welche Compliance-Kontrollen verantwortlich sind
  • Nachweis von Compliance in Container-Umgebungen nicht möglich

All diese Compliance-Prozesse nehmen Zeit und Ressourcen in Anspruch und verlangsamen letztlich die Bereitstellung von Anwendungen. Sysdig Secure ordnet Compliance-Standards (z. B. PCI, NIST, SOC2) spezifischen Kontrollen für Container- und Kubernetes-Umgebungen zu. Bei Bedarf verfügbare Auswertungen, Dashboards und Berichte machen es einfacher, externe Audits zu bestehen. Weitere Informationen darüber, wie Sie die Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg prüfen können, erhalten Sie bei uns.

Reaktion auf Vorfälle

Bei der Reaktion auf Vorfälle ist die Beantwortung von „Warum“-Fragen besonders schwierig, da Container- und Kubernetes-Umgebungen sowohl verteilt als auch dynamisch sind. Ihre Teams müssen einerseits präzise Laufzeitrichtlinien definieren und andererseits darauf achten, dass Benutzer nicht von Benachrichtigungen überflutet werden. Das richtige Gleichgewicht muss her.

Um die Ursache eines schädlichen Ereignisses in einem Container erkennen zu können, muss Ihr Container-Sicherheitstool ausführliche Nachweise bereitstellen. Sysdig stellt umfassende forensische Daten zur Verfügung, indem Linux-Systemaufrufe genutzt werden, die für eine vollständige Post-mortem-Analyse entscheidend sind, auch nachdem der Container nicht mehr vorhanden ist. Mit diesen Low-Level-Daten können Sie schwierige Fragen beantworten, u. a. welche Dateien bearbeitet, welche Befehle ausgeführt, welche Verbindungen hergestellt wurden u. v. m. Wenn Sie mehr darüber erfahren möchten, wie Sie einen Snapshot von Aktivitäten in Containern vor und nach Angriffen erfassen und umfassende Maßnahmen zur Reaktion auf Vorfälle und Forensik durchführen, werden Sie hier fündig.

In Ihren DevOps-Workflow integriert

Die Sysdig-Plattform beruht auf einer Open Source und dem SaaS-First-Ansatz, und lässt sich automatisch in Ihren bestehenden DevOps-Stack integrieren.

Code

Infrastructure as Code (IaC)

Sysdig Secure Infrastructure as Code (IaC) security integrates directly into your CI/CD pipeline and prevents misconfigurations, noncompliance, and security risks before runtime.

Build

Vulnerabilities
Configuration

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

Run

Metrics
Events
Security Policies

Applications

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

Cloud

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

Infrastructure

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

Respond

Alerts
Audit
Logs
Events
Syscall
Captures

Alerts

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

SIEM and SOAR Integrations

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

SaaS

Self-hosted

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

Aktivieren Sie Ihre 30-tägige Testversion in Minutenschnelle!

Umfassender Zugriff auf alle Features und Funktionen. Keine Kreditkarte erforderlich.

Häufig gestellte Fragen

Q: Was ist Container-Sicherheit?

A: Container-Sicherheit bedeutet, dass Sicherheits- und Compliance-Maßnahmen in jeder Phase des Container-Lebenszyklus implementiert werden. Darin eingeschlossen sind das Scannen von Container-Images in den CI/CD-Pipelines und Registries sowie die Sicherstellung von Laufzeitsicherheit für Container und Hosts. Eine weitere Anforderung bilden Maßnahmen zur Reaktion auf Vorfälle mit vollständigen forensischen Daten, in denen sämtliche Aktivitäten in dem Container erfasst sind. Anhand von Compliance-Kontrollen sollten Teams in der Lage sein, Audits jederzeit zu bestehen.

Q: Wie sichere ich Kubernetes?

A: Um Workloads in Kubernetes zu schützen, müssen mehrere Komponenten des Clusters gesichert werden. Schwachstellen in Ihren Basispaketen innerhalb und außerhalb Ihres OS, mit denen Entwickler Anwendungen erstellen, können ausgenutzt werden. Aus diesem Grund müssen Images gescannt und über Zugangs-Controller integriert werden, um riskante Image-Bereitstellungen zu verhindern. Eine weitere Komponente, die es abzusichern gilt, ist Ihre Kubernetes-Steuerungsebene (d. h. Controller-Manager, etcd), auf die Sie über die Kubernetes-API zugreifen. In dieser Ebene ist ein Sicherheits-Monitoring und -Auditing aller Aktivitäten erforderlich, die auf der API-Serverebene ablaufen.Laden Sie unsere Checkliste zur Kubernetes-Sicherheit herunter , wenn Sie weitere Details zur Sicherung von Kubernetes benötigen.

Q: Wie sichere ich den Host?

A: Auch wenn Sie Container ausführen, sollten Sie sicherstellen, dass Ihre Hostkonfiguration sicher ist (eingeschränkter und authentifizierter Zugriff, verschlüsselte Kommunikation usw.). Empfehlung: Nutzen Sie das Audit-Tool „Docker Bench“, um sich Best Practices zur Konfiguration anzuschauen. Sie sollten Ihr Basissystem außerdem auf dem neuesten Stand halten und wenige Container-zentrische Hostsysteme einsetzen. So reduzieren Sie Ihre Angriffsfläche. Weitere Informationen erhalten Sie in diesem Artikel: 7 Sicherheitsschwachstellen in Docker

Q: Wie implementiere ich Container-Sicherheit in AWS (ECS, EKS, Fargate)?

A: Wenn Sie für AWS-Container-Sicherheit sorgen möchten, müssen Sie Sicherheitsmaßnahmen in jeder Phase des Container-Lebenszyklus implementieren. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit Amazon ECR, aber auch für CI/CD-Pipelines mit Tools wie AWS CodeBuild und CodePipeline. Durch Laufzeitsicherheit in der Produktion mit EKS und ECS werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Implementieren Sie mithilfe von AWS CloudTrail und Falco Maßnahmen zur Bedrohungserkennung, um Benachrichtigungen zu verdächtigen Änderungen in AWS-Benutzerberechtigungen, S3-Buckets, Zugangsschlüsseln usw. zu erhalten. Compliance-Prüfungen in Ihrer gesamten AWS-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.

Q: Wie implementiere ich Container-Sicherheit in RedHat OpenShift?

A: OpenShift bietet eine sichere Container-Plattform für Unternehmen. Sysdig ergänzt die integrierten Kontrollen zur Container-Sicherheit von OpenShift um erweitertes Image-Scanning, Laufzeitsicherheit und Container-Forensik, um das Risiko für geschäftskritische Container-Bereitstellungen in großem Umfang zu reduzieren.

Q: Wie implementiere ich Container-Sicherheit in Google Cloud?

A: Um Container, die mit Lösungen wie GKE und Cloud Run ausgeführt werden, auf Google Cloud zu sichern, müssen Sie den Schutz in allen Phasen des Container-Lebenszyklus sicherstellen. Das umfasst das Automatisieren des Image-Scanning auf Registry-Ebene mit GCR, aber auch für CI/CD-Pipelines mit Tools wie Google Cloud Build. Durch Laufzeitsicherheit in der Produktion mit GKE und Cloud Run werden Zero-Day-Schwachstellen und -Bedrohungen wie z. B. Versuche zur Rechteausweitung erkannt und blockiert. Compliance-Prüfungen in Ihrer gesamten Google Cloud-Infrastruktur und dem Lebenszyklus Ihrer Anwendungen sind entscheidend, wenn es um die Erfüllung behördlicher Compliance-Standards geht. Und schließlich können Sie durch das Erfassen von Container-Aktivitäten auf detaillierter Ebene Ereignisse nachvollziehen und forensische Untersuchungen durchführen, und das auch, nachdem Container nicht mehr vorhanden sind.

“Wir verfügen über ein kleines Team und ein echtes DevOps-Modell, sodass wir mehrere Funktionen ausüben müssen. Mit Sysdig ist dies sehr einfach, da wir keinen Kompromiss zwischen Geschwindigkeit und Sicherheit eingehen müssen.”

VP of Engineering at Stella Connect