Container Security
Was ist Container Security?
Container Security umfasst sämtliche Schutzmaßnahmen, um Container-Technologien wie Docker, Kubernetes oder Podman sicher zu betreiben. Sie adressiert Risiken auf Image‑, Laufzeit- und Orchestrator-Ebene und stellt sicher, dass Container nicht zur Einfallstür für Angreifer werden.
Technischer Hintergrund & Komponenten
Kernbereiche der Container-Sicherheit:
-
Image Security
-
Image Scanning (z. B. mit Trivy, Clair, Anchore)
-
Signierung & Verifizierung von Images
-
Minimierung von Base Images (z. B. Distroless)
-
-
Runtime Security
-
Erkennung verdächtiger Aktivitäten in Containern
-
Einsatz von Sandboxing & Seccomp/AppArmor-Profilen
-
Audit- und Log-Monitoring (z. B. Falco)
-
-
Orchestrator-Schutz (z. B. Kubernetes)
-
Role-Based Access Control (RBAC)
-
Pod Security Standards / Pod Security Policies
-
Netzwerksegmentierung & Service Mesh (z. B. Istio)
-
-
Secrets Management
-
Vermeidung von Hardcoded Secrets
-
Integration von Vaults (z. B. HashiCorp Vault, AWS Secrets Manager)
-
Relevanz in der Praxis
Containerisierung bringt Agilität – aber auch neue Angriffsflächen:
| Risiko | Beschreibung |
|---|---|
| Unsichere Images | enthalten veraltete Bibliotheken oder Backdoors |
| Overprivileged Container | greifen auf Host-Ressourcen oder Rootrechte zu |
| Netzwerklücken | fehlende Isolierung zwischen Pods oder Namespaces |
| Kompromittierte Secrets | API-Keys oder Tokens im Klartext im Container |
Standards & Frameworks
-
CIS Docker/Kubernetes Benchmarks
-
NIST 800-190 – Application Container Security Guide
-
BSI TR-03165 – Containerisierung
-
ISO/IEC 27001 A.12.6.2 – Schutz vor Schadcode
Verwandte Begriffe
-
Kubernetes
-
Docker
-
Pod Security Policies
-
RBAC
-
Runtime Security
-
Service Mesh
-
Secrets Management
-
DevSecOps
Beispiel aus der Praxis
Ein Unternehmen nutzte ungeprüfte Images aus Docker Hub. Ein inoffizielles Redis-Image enthielt eine Backdoor, die in Runtime Daten über Port 6379 abfließen ließ – entdeckt erst durch ein Egress-Monitoring-Tool.