Container- und Cloud Security - Ein Kurzinterview

Container- und Cloud Security - Ein Kurzinterview

Unser Platform-Teamleiter Tom Whiston hat für das Netzwoche-Special «Cloud & Managed Services 2019» einen vertieften Einblick in die Thematiken Container-Sicherheit, Ressourcenverbrauch und Best Practices geboten. Wie Container die Sicherheit in der Cloud besser machen können, und was es mit dem Ressourcenverbrauch von Containern auf sich hat, lesen Sie hier.

Wie können Container die Sicherheit in der Cloud verbessern?

Container-Sicherheit ist ein sehr umfangreiches Thema und hängt von vielen Faktoren ab. Aber kurz gefasst sind die Gestalt und die Architektur von Containern und Container-Plattformen eine gute Basis für viele Best Practices bei der Entwicklung und Bereitstellung von Anwendungen und Infrastruktur. Durch die Begünstigung bestimmter Strukturen - etwa das Behandeln von Infrastruktur als Code und der Runtime als unveränderlich - wird alles prüfbar und alle Änderungen sind nachvollziehbar. Den Container-Zustand können bestimmte Funktionen erhalten: so etwa CRI-Os Read-Only-Modus, mit dem nur externe Datenträger und spezifische tmpfs-Mounts beschrieben werden können.

Besonders Kubernetes benutzt eine Reihe von API-Objekten, die zusätzlich die Sicherheit fördern. Dazu gehören Role Based Access Control für eine sehr feine Einstellung von Nutzerberechtigungen sowie Secrets, womit verschlüsselte Daten gespeichert und in Container eingefügt werden können. Das NetworkPolicy-Objekt ist ebenfalls von Bedeutung, da man damit definieren kann, welcher Traffic zwischen Pods fliessen darf.

Bei der Verwaltung all dieser Sicherheitsfunktionen und -konfigurationen muss man sich oft mit YAML rumärgern. Obwohl man dabei eine steile Lernkurve hat, glaube ich, dass die Sicherheit und Änderungsprozesse gegenüber klassischer Infrastruktur viel transparenter und nachvollziehbarer sind, wenn man diese wichtigen Aspekte des Anwendungsumfelds auf nur eine API, die Kubernetes API, standardisiert

Die CI/CD-Prozesse, die oft mit der Nutzung von Containern einhergehen, machen es ausserdem möglich, Sicherheits-Fixes für Anwendungen viel schneller und automatisierter bereitzustellen.

 

«Sicherheit geht alle etwas an, ob
man Container benutzt oder nicht.»

 

Welchen Einfluss haben Container auf den Ressourcenverbrauch in der Infrastruktur?

Da Container keine komplette VM um sich errichten müssen, benötigen sie weniger Verwaltungsdaten als traditionelle Virtualisierungen, sodass mehr Platz für die Anwendung selbst bleibt. Bei den meisten Container-Plattformen findet ein Großteil der Prozesse - wie die Abwicklung von API-Anfragen - auf einer separaten Maschine statt. Dadurch ist es einfacher, die verfügbaren Ressourcen zu berechnen, und unwahrscheinlicher, dass ein eventuelles Plattform-Problem die Anwendung beeinträchtigt.

Da Container-Plattformen ein System für die Ressourcenverteilung beinhalten, kann man bei Bedarf leicht anpassen, was der Anwendung zugewiesen ist, und dazu das Nutzungsprofil  genau kontrollieren. Das ist wichtig um sicherzustellen, dass alles planbar ist und kein Container die gesamten Hardware-Ressourcen verbraucht. Man muss natürlich die Ressourcen-Grenzwerte seiner Software gut kennen, um diese Werte korrekt einzustellen!

Welche Anwender sollten sich mit Container Security auseinandersetzen?

Sicherheit geht alle etwas an, ob man Container benutzt oder nicht. Echte Sicherheit hängt nicht nur von der Runtime-Umgebung ab, sondern zum Beispiel auch von fehlertoleranten Anwendungen, der Vorbereitung auf die Nichtverfügbarkeit von Services, der Prüfung von Drittanbieter-Libraries, der Sicherung von Konfigurationen in der Infrastruktur, Penetration-Tests etc. Über die Sicherheit muss man also frühzeitig und oft nachdenken. Ich würde es jedem empfehlen, sich die “DevSecOps”-Bewegung anzuschauen und sich über Tools wie Chaos Monkey oder Chaos Toolkit zu informieren, die interessante Anregungen enthalten, wie man für das Sicherheits-Testing Eigeninitiative und Automatisierung nutzt.

 

An weiteren Informationen rund um Cloud Computing interessiert?
Dann abonnieren Sie jetzt unseren Blog: 

Jetzt für den nine Blog anmelden

 

PS: Wenn Sie interessiert an weiteren Unterlagen zu den Grundlagen oder der Implementierung der Container-Technologie sind empfehlen wir Ihnen unsere Wissensseite rund um die Container-Technologie.