Containersicherheit

Schützen Sie Ihre Containerumgebung auf der GCP

Übersicht

Containerisierung macht Entwicklerteams ein schnelles Arbeiten möglich: So können die Teams Software effizient und in nie gekanntem Umfang bereitstellen. Unternehmen erstellen immer mehr containerisierte Arbeitslasten. Dabei muss jede Phase des Erstellungs- und Bereitstellungszyklus geschützt werden. Finden Sie heraus, wie Sie Ihre Containerumgebung auf der GCP in drei kritischen Bereichen schützen können.

Infrastruktursicherheit

Unter Infrastruktursicherheit verstehen wir eine Plattform zur Containerverwaltung mit genau den passenden Sicherheitsfunktionen. Kubernetes besitzt Sicherheitsfunktionen zum Schutz Ihrer Identitäten, Secrets und Netzwerke. Kubernetes Engine nutzt native GCP-Funktionen wie Cloud IAM, Cloud-Audit-Logging und Virtual Private Clouds, um Ihre Arbeitslasten mit Google-Sicherheitsfunktionen optimal zu schützen.

Softwarelieferkette

Durch Sicherung der Softwarelieferkette können Container-Images sicher bereitgestellt werden. Sie gewährleisten dadurch, dass Ihre Container-Images frei von Sicherheitslücken sind und die erstellten Images ohne Veränderungen bereitgestellt werden.

Laufzeitsicherheit

Dank Laufzeitsicherheit können Sie Container, die bösartiges Verhalten zeigen, in der Produktion erkennen und Maßnahmen zum Schutz Ihrer Arbeitslast ergreifen.

Container machen ein gänzlich neues Sicherheitsmodell möglich

Vereinfachte Patchverwaltung und Unveränderlichkeit

Vereinfachte Patchverwaltung und Unveränderlichkeit

Container sind immer unveränderlich. Wenn Sie Änderungen vornehmen möchten, stellen Sie also ein neues Image bereit. Sie können die Patchverwaltung vereinfachen, indem Sie regelmäßig neue Images erstellen. Der Patch wird dann bei der nächsten Containerbereitstellung integriert. Durch regelmäßige Sicherheitsprüfungen der Images erhalten Sie eine umfassende Übersicht über Ihre Umgebung.

Reduzierte Angriffsfläche

Reduzierte Angriffsfläche

Container können im Vergleich zu VMs auf einem erheblich kleineren Hostbetriebssystem ausgeführt werden, weil mehr direkt in die Anwendung gepackt wird. Durch dieses minimale Hostbetriebssystem reduziert sich die potenzielle Angriffsfläche für Ihre Arbeitslast.

Ressourcen und Arbeitslasten isolieren

Ressourcen und Arbeitslasten isolieren

Mit Containern können Sie Ressourcen wie Speicher-Volumes ohne großen Aufwand mit cgroups und Namespaces für bestimmte Prozesse isolieren. Mit Technologien wie gVisor lassen sich Arbeitslasten logisch in einer untergeordneten VM-Sandbox isolieren, sodass sie von anderen Anwendungen getrennt sind.

Infrastruktursicherheit

Eine sichere Containerinfrastruktur gewährleistet, dass Ihre Entwickler die erforderlichen Tools haben, um sichere containerisierte Dienste zu erstellen. Diese Funktionen sind in der Regel in einen Container-Orchestrator wie Kubernetes integriert. Wenn Sie Kubernetes Engine verwenden, stehen diese Funktionen nativ neben anderen Google Cloud-Funktionen zur Verfügung.

Identität und Autorisierung

Verwalten Sie in Kubernetes Engine den Zugriff auf Ihre Projekte mit Cloud IAM. Zur Zugriffsverwaltung für Ihre Cluster und Namespaces verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC).

Audit-Logging

In Kubernetes werden API-Audit-Logs automatisch aufgezeichnet. Unter Kubernetes Engine werden API-Audit-Logs durch Cloud-Audit-Logging automatisch für Sie aufgezeichnet.

Netzwerk

Erstellen Sie in Kubernetes Engine eine Netzwerkrichtlinie, um die Kommunikation zwischen Pods in Ihrem Cluster zu verwalten. Verwenden Sie für private IP-Adressen private Cluster und stellen Sie Kubernetes Engine-Ressourcen in einer freigegebenen VPC zur Verfügung.

Compliance

Kubernetes Engine besitzt zahlreiche Compliance-Zertifizierungen, unter anderem für ISO 27001, ISO 27017, ISO 27018, HIPAA und PCI-DSS.

Minimales Hostbetriebssystem

Kubernetes Engine verwendet standardmäßig das Container-Optimized OS (COS). Dieses Betriebssystem ist für die Containerausführung optimiert. COS wird von Google als Open-Source-Lösung bereitgestellt.

Aktuelle Komponenten

In Kubernetes Engine werden Masterinstanzen automatisch auf die neueste Kubernetes-Version gepatcht. Für Ihre Knoten können Sie automatische Knotenupgrades vornehmen.

Softwarelieferkette

Die Softwarelieferkette gibt Auskunft darüber, was genau in Ihrer Umgebung bereitgestellt wird. Damit steuern Sie Ihre Anwendungen, angefangen vom Code über das Image bis hin zur Bereitstellung. Diese Funktionen sind in der Regel in Ihre CI/CD-Pipeline, Ihre Container Registry – z. B. Google Container Registry – und als Zugangsprüfung, vor der Containerbereitstellung in der Produktion, integriert.

Sichere Basis-Images

Google Container Registry bietet ein Debian- und ein Ubuntu-Basis-Image. Diese werden von Google durch regelmäßige Patches und Tests gepflegt.

Scannen auf Sicherheitslücken

Google Container Registry kann Ihre Images und Pakete auf Sicherheitslücken scannen. Als Referenz werden in der CVE-Datenbank enthaltene, bekannte Sicherheitslücken verwendet.

Richtlinien für das Deployment

Schränken Sie in Kubernetes Engine mithilfe der Binärautorisierung, also anhand der Zertifizierungen eines Images, das Deployment in Ihrer Umgebung ein.

Reguläre Builds

Sie können Container regelmäßig neu erstellen und bereitstellen. So profitieren Sie von den jeweils neuesten Patches, die nach und nach in Ihre Umgebung eingepflegt werden.

Laufzeitsicherheit

Durch die sichere Containerlaufzeit gewährleisten Sie, dass Ihr Sicherheitsteam Sicherheitsbedrohungen für die in Ihrer Umgebung ausgeführten Container erkennt und darauf reagiert. Diese Funktionen sind in der Regel in Ihre Sicherheitstools integriert.

Monitoring

Kubernetes Engine ist für eine einfache Loganalyse in Stackdriver integriert. Sie können Sicherheitsvorfälle auch im Cloud Security Command Center (Cloud SCC) melden.

Erkennung von ungewöhnlichen Aktivitäten

Nutzen Sie Lösungen unserer Partner, um Ihre Umgebung auf Angriffe zu überwachen und die Ergebnisse in Cloud SCC abzurufen. Unterstützt werden unter anderem Aqua Security, Capsule8, StackRox, Sysdig Secure und Twistlock.

Isolation

Verhindern Sie, dass ein bösartiger Container weitere Container beeinträchtigt. Mit gVisor, einer Sandbox für die Containerlaufzeit, können Sie die Sicherheitsisolierung von Containern zusätzlich verbessern.

Ressourcen

Erfahren Sie mehr zur Containersicherheit.

Übersicht zur Kubernetes Engine-Sicherheit

Leitfaden zur Härtung von Kubernetes Engine

Blog zur Containersicherheit

NIST SP 800–190: Sicherheitsleitfaden für Anwendungscontainer

KubeCon 2017 Talk: Schifffahrt in piratenverseuchten Gewässern

Google Cloud

Jetzt starten

Lernen und entwickeln

Sie verwenden die GCP zum ersten Mal? Sichern Sie sich beim Einstieg in ein beliebiges GCP-Produkt ein Startguthaben von 300 $.

Benötigen Sie weitere Hilfe?

Unsere Experten unterstützen Sie gern dabei, die passende Lösung oder den richtigen Partner für Ihre Anforderungen zu finden.