Das Absichern von Container-Umgebungen ist eine nicht zu unterschätzende Angelegenheit. Dabei legen Betreiber von Container-Plattformen ihren Fokus eher darauf, die Container-Integrität und die Container Herkunft zu überwachen und zu kontrollieren.
Docker hat sich zum Synonym für Container-Technologie entwickelt, denn mit Docker wurde Container-Technik massentauglich. Engine, Management-Tools und Container-Marktplatz (Docker Hub) haben einen nicht unerheblichen Anteil daran.
Sicherheitstechnisch weisen (Docker-)Container allerdings neben systemimmanenten Aspekten ein weiteres Problem auf, der die Herkunft der Technik betrifft. Container werden über Images bereitgestellt und diese Abbilder basieren auf anderen Images.
Weist der Code eines (Basis-)Images Schwachstellen auf, dann übertragen sich die Schwachstellen unweigerlich auf sämtliche Container, die denselben Image-Code nutzen. Solange niemand diesen Code patcht und optimiert, helfen auch zusätzliche Sicherheitstools nicht.
Bedeutung von Container-Sicherheit
Es ist ja kein Geheimnis, dass sich z. B. der Docker-Hub über die Jahre zu einer Spielwiese für Entwickler und Virtualisierungs-Geeks entwickelt hat. Hier können sie sich nach Lust und Laune an der wieder entdeckten Linux/Unix-Technologie (Docker basiert bekanntlich auf LXC, das wiederum Konzepte aus Solaris Zones oder BSD Jails aufgreift) austoben.
Nachdem zunächst Entwickler die leichtgewichtigen Container für sich entdeckt hatten, rufen Container heute zunehmend auch IT-Verantwortlichen aus dem klassischen Virtualisierungsumfeld auf den Plan, weil Container im Kontext von DevOps sowie Continuous Integration and Delivery (CI/CD) auch für Unternehmen interessant werden.
Im Unternehmen müssen Container aber sowohl gesetzlichen Vorgaben, als auch interne Compliance- und Sicherheitsstandards genauso erfüllen, wie anderen Technologien auch. Der Schutz von Containern und dessen Überwachung ist daher für alle Unternehmen, die Container produktiv einsetzen, ein zentrales Problem, da handelsübliche Sicherheitstools in der Regel keine Container scannen.