Zwei Schlüsselwörter der Cloud-nativen Sicherheit sind „Laufzeitsicherheit und Open Source“.

Softwareentwickler, die Anwendungen in Form von Sammlungen von Microservices erstellen, die als Container bereitgestellt und von Kubernetes orchestriert werden, müssen nun über die Build-Ebene hinaus eine ganz neue Sicherheitsebene in Betracht ziehen.

Der Echtzeitschutz in einer containerisierten Umgebung muss im Gegensatz zur Clusterhärtung dynamisch sein. Dies bedeutet, dass der Container nach der Bereitstellung in der Produktion ständig nach ungewöhnlichen Aktionen im Container suchen muss, z. B. das Herstellen einer Verbindung mit einer unerwarteten Ressource oder das Erstellen eines neuen Netzwerksockets.

Entwickler testen heutzutage tendenziell früher und häufiger (nach links verschieben), aber Container benötigen einen ganzheitlichen Schutz über ihren gesamten Lebenszyklus und in heterogenen und oft kurzlebigen Umgebungen.

“Aufgrund dieser Natur ist es sehr schwierig zu schützen”, sagte Gartner-Analyst Arun Chandrasekaran gegenüber Infoworld. Da Sie sich nicht auf manuelle Prozesse verlassen können, müssen Sie Ihre Umgebung automatisieren, um zu überwachen und zu schützen, was manchmal nur wenige Sekunden dauert. Wir können hier und da nicht auf E-Mails antworten“, sagte er.
Getty Images Bank

In seinem Whitepaper „BeyondProd: A New Approach to Cloud-Based Security“ aus dem Jahr 2019 sagte Google: „Das Perimeter-Sicherheitsmodell funktioniert nicht mehr für Endbenutzer oder Microservices. Der Schutzumfang sollte dahingehend erweitert werden, „wie Code geändert wird und wie Microservices auf Benutzerdaten zugreifen“.

Herkömmliche Sicherheitstools konzentrieren sich auf den Schutz von Netzwerken oder einzelnen Workloads, aber moderne Cloud-native Umgebungen erfordern einen ganzheitlicheren Ansatz, der über den einfachen Schutz von Builds hinausgeht. Bei diesem ganzheitlichen Ansatz müssen Hosts, Netzwerke und Endpunkte kontinuierlich überwacht und vor Angriffen geschützt werden. Dazu gehören in der Regel dynamische Identitätsverwaltung, Netzwerkzugriffskontrolle und Registrierungssicherheit.

Die Bedeutung der Laufzeitsicherheit

Chandrasekaran von Gartner beschreibt vier Schlüsselaspekte der Cloud-nativen Sicherheit:

1. Ausgangspunkt ist weiterhin der Schutz des Fundaments durch Cluster-Härtung.
2. Damit ist es jedoch noch nicht getan und erstreckt sich auch auf den Schutz der Container-Laufzeit sowie auf eine ausreichende Überwachung und Protokollierung.
3. Als Nächstes müssen Sie den Continuous Delivery-Prozess absichern, d. h. mit vertrauenswürdigen Container-Images, sicheren Helm-Charts und kontinuierlichen Schwachstellen-Scans. Gleichzeitig müssen vertrauliche Informationen durch einen wirksamen Vertraulichkeitsschutz geschützt werden.
4. Stellen Sie schließlich einen idealen Zustand her und suchen Sie kontinuierlich nach Abweichungen von diesem Zustand, um die Netzwerkschicht zu schützen, von der Transportschichtsicherheit (TLS) über den Anwendungscode selbst bis hin zum Management des Cloud-Sicherheitsstatus.

In einem Infoworld-Artikel 2021 sagte Karl-Heinz Frommer, technischer Architekt beim deutschen Versicherer Munich Re: „Ein effektives Kubernetes-Sicherheitstool visualisiert alle Verbindungen innerhalb einer Kubernetes-Umgebung, validiert automatisch ihre Sicherheit und stellt sicher, dass unerwartete Aktivitäten auftreten. sollte in der Lage sein zu blockieren Wenn ein solcher Laufzeitschutz implementiert ist, wird dieser Prozess, selbst wenn ein Angreifer in Ihre Kubernetes-Umgebung eindringt und einen bösartigen Prozess startet, sofort und automatisch blockiert, bevor er Schaden anrichten kann.“

Runtime-Sicherheits-Startups

Natürlich haben alle großen Cloud-Anbieter (Google Cloud, Amazon Web Services und Microsoft Azure) diesen Schutz in ihre verwalteten Kubernetes-Dienste integriert. Eric Brewer, VP von Google, sagte gegenüber Infoworld: “Wenn es richtig gemacht wird, gibt es für einen Anwendungsentwickler nicht viel zu tun. Es ist eine Funktion, die kostenlos in die Plattform integriert werden sollte.”

Aber selbst die Cloud-Giganten können diese neue Welt nicht alleine schützen. “Es ist ein Problem, das kein Unternehmen lösen kann”, sagt Brewer.

Eine Gruppe von Anbietern, Start-ups und Open-Source-Projekten wächst schnell, um die Lücke zu füllen. „Das Startup-Ökosystem in diesem Bereich entwickelt sich“, sagte Chandrasekaran. Der grundlegende Aspekt der Betriebssystemhärtung oder des Laufzeitschutzes wird immer häufiger und große Cloud-Anbieter bieten ihn in ihre Plattformen integriert an.“

Die Chance für Start-ups und Open-Source-Projekte liegt also hauptsächlich in fortschrittlicheren Funktionen wie Cloud-Workload-Schutz, Sicherheitsstatus-Management und Vertraulichkeitsmanagement, mit dem Zusatz „intelligenter“ auf maschinellem Lernen basierender Warn- und Behebungsfunktionen als Unterscheidungsmerkmal. es gibt viele

Tiefenzaun
Deepfence wurde 2017 von Sandeep Rahan, einem Softwareingenieur, der mit FireEye und Juniper Networks zusammengearbeitet hat, mitbegründet. Wie Rahan erklärt, bettet deepfence einfache Sensoren in Microservices ein, die Angriffsflächen wie MRA-Scans von Cloud-Assets messen können, um sich auf das Geschehen zur Laufzeit zu konzentrieren. „Das Geschäft von Deepfence besteht darin, unsere Kunden mit Laufzeitschutz zu monetarisieren, der Kundenbeschwerden löst und gezielte Abwehrmaßnahmen aufbaut“, sagte Rahan.

Deepfence hat sein zugrunde liegendes Tool ThreatMapper im Oktober 2021 als Open Source veröffentlicht. Das Tool scannt, kartiert und stuft Anwendungsschwachstellen ein, unabhängig davon, wo die Anwendung ausgeführt wird. Derzeit drängt Deepfence darauf, seine Plattform zu erweitern, um das gesamte Sicherheitsrisiko zur Laufzeit abzudecken.

Sysdig
Sysdig ist ein weiterer aufstrebender Akteur in diesem Bereich und entwickelt Falco, ein Open-Source-Laufzeitsicherheitstool.

Falco konzentriert sich wie der Threshold-Mapper darauf, anormales Verhalten zur Laufzeit zu erkennen. Auf der Github-Seite von Falco heißt es: „Falco macht es einfach, Kernel-Ereignisse zu verarbeiten und sie mit Informationen aus Kubernetes und dem Rest des Cloud-nativen Stapels anzureichern. Falco bietet eine Fülle von Sicherheitsregeln für Kubernetes, Linux und Cloud Native. Wenn im System ein Regelverstoß auftritt, sendet Falco eine Warnung, um den Benutzer über den Verstoß und die Schwere des Verstoßes zu informieren.“

“Da sich die Welt verändert hat, haben wir festgestellt, dass die von uns verwendete Technologie nicht funktioniert”, sagte Loris DiJoanni, CTO von Sysdig, gegenüber Infoworld. „Unser Ausgangspunkt ist die Neudefinition der Daten, die über Container erfasst werden können, indem Systemaufrufe auf Cloud-Endpunkten gesammelt werden, oder einfacher, indem wir die Prozesse der Interaktionen zwischen Anwendungen und der Außenwelt erfassen.“

Dijoanni vergleicht die Laufzeitsicherheit mit dem Schutz eines Hauses, wenn es darum geht, eine Sicht zu sichern, und erklärte: „Man kann sich das wie eine Überwachungskamera vorstellen, die eine containerisierte Infrastruktur überwacht.“

Wassersicherheit
Das 2015 gegründete israelische Startup Aqua Security nutzt ein Open-Source-Projekt namens Tracee. Basierend auf der eBPF-Technologie führt Tracy Runtime-Sicherheitsüberwachung verteilter Apps mit geringer Latenz durch und sucht nach verdächtigen Aktivitäten.

Amir Jerby, CTO von Aqua, sagte: „In dem Moment, als ich sah, dass der Container alles darin verpackte und das Betriebsteam einfach auf eine Schaltfläche klickte und es ausführte, war natürlich auch die Sicherheit darin verpackt. Als Entwickler müssen Sie nicht warten. Entwickler sind keine Sicherheitsexperten und wissen nicht, wie sie sich vor ausgeklügelten Angriffen schützen können. Daher benötigen sie eine einfache Sicherheitsebene, auf der sie die einfachen Elemente deklarieren können, die sie benötigen. Hier spielt der Laufzeitschutz eine Rolle.“

Andere Laufzeitsicherheitsanbieter

Andere in diesem Bereich tätige Unternehmen sind Anchore, Racework, TwistLock von Palo Alto Networks, StackRox von Red Hat, NeuVector von SUSE und Snick. Snyk) und andere.

Open Source ist wichtig, um Entwickler anzuziehen

Ein gemeinsamer Faktor für viele der oben aufgeführten Unternehmen ist die Bedeutung von Open-Source-Prinzipien. „Kunden in diesem Bereich sind an Open Source interessiert und vermeiden komplett proprietäre Lösungen“, sagte Chandrasekaran, CEO von Gartner. Denn Open Source ist die Grundlage der Cloud-nativen Technologie“, sagte er.

Das gleiche ist die Meinung aller Startup-Manager, die Infoworld kontaktiert hat. „Die Cloud-native Community ist stark auf Open Source fokussiert. Unternehmen, die sich aktiv beteiligen und zu Open Source beitragen, werden anerkannt. Denn Sie können dies und das ausprobieren, sehen, was das Unternehmen macht, und sich selbst einbringen. Wir sind ein kommerzielles Unternehmen, aber viele unserer Produkte basieren auf Open Source.“

„Wir nähern uns dem digitalen Immunsystem“, sagte Phil Venables, CISO bei Google Cloud. Ein Open-Source-Ansatz zur Lösung der komplexen Probleme der Cloud-nativen Sicherheit sei unerlässlich. Es sammelt Informationen von seinen eigenen internen Systemen, großen Unternehmenskunden, Bedrohungsjägern, roten Teams und öffentlichen Bug-Bounty-Programmen. „Dies ermöglicht es uns, eine breitere Sicht auf eine Reihe von Phänomenen zu erhalten und darauf zu reagieren, indem wir darauf vorbereitet sind, auf alle Schwachstellen zu reagieren und sie in Open-Source-Projekte zurückzugeben“, sagte Venables.

Ein offener und transparenter Ansatz für die Laufzeitsicherheit wie dieser wird in einer Zukunft entscheidend sein, in der verteilte Anwendungen von verteilten Bedrohungen geplagt werden. Cloud-Giganten werden weiterhin daran arbeiten, diesen Schutz in ihre jeweiligen Plattformen einzubetten, während neue Startups um einen umfassenden Schutz konkurrieren. Im Moment haben Praktiker, die mit dem Schutz von containerisierten Anwendungen in der gesamten Produktion beauftragt sind, jedoch einen entmutigenden Weg vor sich. [email protected]

Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!