Mit OpenShift Anwendungen automatisiert schützen

Container Security „auf Knopfdruck“

Bildquelle: Logicalis GmbH
Bildquelle: Logicalis GmbH
LinkedInRedditWhatsAppPocket

Die IT-Systemlandschaft erfolgreich gegen Cyber-Attacken abzusichern, ist eine herausfordernde Aufgabe. Insbesondere Konzerne haben es aufgrund der Vielzahl der Systeme mit komplexen Umgebungen zu tun. Sofort einsatzfähige und automatisierte Lösungen entlasten die Verantwortlichen.  

Der Trend bei Cyber-Angriffen kennt längst nur noch den Weg nach oben: Laut Bitkom waren in den vergangenen zwölf Monaten 81 Prozent der deutschen Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen; 2023 lag der Anteil noch bei 72 Prozent. Die Frage ist also nicht, ob die eigene Organisation zur Zielscheibe wird, sondern wann. Unternehmen müssen ihre Anwendungsumgebung daher resilient aufbauen, kontinuierlich überwachen und Sicherheitslücken rechtzeitig schließen – Aufgaben, die in einer stetig wachsenden IT-Landschaft immer schwieriger zu bewerkstelligen sind. Automatisierte Lösungen, wie sie in OpenShift von Red Hat bereitstehen, sind dabei eine wertvolle Unterstützung.

Anzeige
Transformation in eine zukunftssichere IT mit RedHat OpenShift

Containerisierung: Was steckt dahinter?  

OpenShift ist eine Enterprise-fähige Container-Orchestrierungsplattform, die auf dem Open-Source-Projekt Kubernetes basiert. Mit ihr können Nutzer containerisierte Anwendungen (Applikationen) entwickeln, modernisieren, ausführen und verwalten. Bei der Containerisierung werden ausführbare Softwareeinheiten zusammen mit ihrem Code und ihren Abhängigkeiten wie Bibliotheken und Konfigurationsdateien verpackt und von ihrer Umgebung isoliert. Ein Verbund aus mehreren Nodes, auf denen Container laufen, wird wiederum zu einem Cluster zusammengefasst. Da containerisierte Anwendungen hochskalierbar, schneller und zuverlässiger als virtuelle Maschinen sind, etablieren sie sich zunehmend als ressourceneffizientere Alternative.

Für eine ganzheitliche Cluster Security stehen in OpenShift verschiedene Lösungen zur Verfügung, die sowohl die Sicherheit der Applikationen und der Infrastruktur gewährleisten als auch Schutz im laufenden Betrieb bieten. 

Anzeige

Wie sicher sind die externen Quellen?

Bereits beim Aufbau der Umgebung müssen Unternehmen das Thema Sicherheit mitdenken. Um neue Applikationen mithilfe der OpenShift-Plattform zu erstellen, haben die Nutzer zwei Möglichkeiten: Entweder bauen sie die Anwendung selbst oder installieren die eines Drittanbieters, also einer externen Quelle. Entscheiden sie sich für Letzteres, ist es essenziell, die Quelle der Anwendung zu prüfen, um keinem bösartigen Code Einlass zu gewähren. Red Hat stellt zu diesem Zweck eine Sammlung zertifizierter Images zur Verfügung – den Red Hat Ecosystem Catalog. Images enthalten den Quellcode eines Containers. Dadurch können sich Firmen sicher sein, dass die Drittanbieter-Software geprüft ist und bedenkenlos installiert werden kann. Diese automatisierte Prüfung und Installation erfolgt auch beim Roll-out neuer Software oder wenn neue (Sicherheits-)Updates verfügbar sind – denn auch Container sind regelmäßig zu aktualisieren. Dieser Automatismus reduziert den administrativen Aufwand und ist effizienter. Davon profitieren insbesondere Konzerne, denn: Im Enterprise-Umfeld ist das manuelle Ausrollen von Updates sehr komplex und zeitaufwendig. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Infrastruktur automatisiert schützen

Laut der Cloud Native Computing Foundation (CNCF) liegt das größte Sicherheitsrisiko in der Komplexität der Konfiguration und Härtung von Kubernetes-Instanzen. Eine fehlerhafte Konfiguration kann zum Beispiel zu unautorisierten Erweiterungen von Privilegien, unbefugten Zugriffen und Datenschutzverletzungen führen. Da Kubernetes die Basis von OpenShift ist, braucht es auch dafür einen Schutzmechanismus. Diesen bieten die Operatoren. Dabei handelt es sich um benutzerdefinierte Controller, die jede Instanz, egal ob Server, Datenbank oder Software-Anwendung, automatisiert konfigurieren, überwachen und verwalten. 

Blick in den Cluster: Wo liegen Einfallstore?

Auch innerhalb eines Clusters muss die Sicherheit gewährleistet sein. Denn in diesem arbeiten neben dem Administrator auch „einfache“ Nutzer, die Fehler verursachen und dadurch eine Sicherheitslücke öffnen könnten. Um dem vorzubeugen, lassen sich mit dem „Developer Self-Service“ für den jeweiligen Nutzer nur bestimmte Operatoren freischalten. Eine weitere potenzielle Sicherheitslücke im Cluster liegt in der Vielzahl seiner Komponenten: Denn ein Cluster besteht aus mehreren Bestandteilen wie Servern oder Datenbanken. Diese kommunizieren miteinander, indem sie Daten übermitteln. Verschafft sich ein Angreifer Zugang zu einer dieser Komponenten, kann er die gesamte Kommunikation innerhalb des Clusters einsehen und verändern. Um das zu verhindern, verschlüsselt OpenShift die Kommunikation aller Plattformkomponenten – unter anderem mithilfe von Transport Layer Security (TLS). 

Durch Verschlüsselung Cluster-Konfiguration bewahren 

Die wichtigste Komponente eines Clusters ist jedoch die etcd-Datenbank. Denn sie enthält die gesamte Konfiguration des Clusters – ein enormes Sicherheitsrisiko. Denn mit diesen Informationen können Cyber-Kriminelle den gesamten Cluster kontrollieren und zur Suche nach Schwachstellen replizieren. Um sich davor zu schützen, können Administratoren die Datenbank und die Festplatten mit dem Betriebssystem verschlüsseln. OpenShift startet Container „rootless“, ohne administrative Berechtigungen, um das Host-System zu schützen. Dies verhindert, dass Hacker über einen kompromittierten Container einen administrativen Zugang zum Host-System erhalten.

Laufende Applikationen schützen

Sind die grundlegenden Sicherheitsmechanismen etabliert, gilt es, den laufenden Betrieb abzusichern. In OpenShift gelingt dies folgendermaßen: Da alle Container denselben Betriebssystem-Kernel nutzen, ist es wichtig, dass das Betriebssystem dafür entsprechend optimiert und mit Sicherheitsfunktionen ausgestattet ist. Dazu minimiert die Plattform die Host-Umgebung des Systems, in diesem Fall das Red Hat Enterprise Linux CoreOS, und stellt nur die notwendigen Pakete zur Verfügung, die es für eine optimale Ausführung von OpenShift benötigt. Das reduziert die Angriffsfläche erheblich.

Im laufenden Geschäftsbetrieb spielt darüber hinaus das Thema Observability eine große Rolle: Anwender müssen Cluster kontinuierlich überwachen, um verdächtige Aktivitäten rechtzeitig zu erkennen und einzudämmen. Dazu stellt OpenShift Out-of-the-Box Monitoring- und Auditing-Funktionen sowie einen optionalen Logging Stack zur Verfügung. 

Cyber Security leicht gemacht – mit der richtigen Unterstützung

Für eine zuverlässige Cyber-Sicherheit sind neben den genannten Mechanismen noch viele weitere Aspekte von Bedeutung – beispielsweise eine rollenbasierte Zugriffskontrolle (RBAC), das Management mehrerer Cluster, Netzwerkrichtlinien oder Anwendungszugriffe. OpenShift stellt diese Werkzeuge direkt einsatzfähig zur Verfügung. So schützen Nutzer die IT-Sicherheit durch automatisierte Prozesse und sparen dadurch wertvolle Ressourcen. 

Die Vielzahl der benötigten Schutzmaßnahmen zeigt jedoch, wie komplex der Aufbau einer sicheren Containerlösung ist. Daher erfordert es häufig die Unterstützung eines erfahrenen Partners. IT-Dienstleister und Red Hat-Partner wie Logicalis bringen die nötige Security-Expertise dafür mit und unterstützen Kunden während des gesamten Projekts. 


Vladislavs

Gavrilovs

Junior Solution Engineer

Logicalis GmbH

Anzeige

Artikel zu diesem Thema

Wie die Automatisierung mit Ansible Fachkräfte entlastet

Weitere Artikel

Wie die IT-Technologie sowohl Bedrohungen als auch Schutzmaßnahmen neu erfindet
Schwachstellen in Ubuntu-Standardkomponente “needrestart”
Was uns NIS2 im Jahr 2025 bringen wird
Cybersicherheit: Hohe Zuversicht, aber still in DACH
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.