Typische Cloud-Bedrohungen:
Ausnutzung falsch konfigurierter Image-Container

David Puzas - September 6, 2023

Unternehmen setzen auf Container, um in der Cloud ein neues Maß an Effizienz und Skalierbarkeit zu erzielen. Dies erhöht jedoch die Komplexität der zu schützenden Angriffsfläche und rückt die Container ins Visier der Angreifer.

Die Container-Sicherheit beginnt mit dem Container-Image. Entwickler erstellen ihre Images manchmal anhand der Basis-Images aus einer externen Registrierung. Diese Bilder können leider Malware oder anfällige Bibliotheken enthalten. Entsprechend ist es für Unternehmen von entscheidender Bedeutung, die Bewertung von Images in ihrer Cloud-Sicherheitsstrategie zu priorisieren.

Typische Konfigurationsfehler bei Container-Images

Im Folgenden finden Sie einige typische Sicherheitsprobleme, die bei Container-Images auftreten:

Nutzung eines Benutzerkontos mit Stammberechtigungen in Containern

Das Ausführen von Containern mit Stammberechtigungen erhöht die Gefahr, dass Angreifer das Host-Gerät kompromittieren.

Nutzung veralteter und anfälliger Images mit Backdoors

Da Angreifer anfällige oder kompromittierte Images ausnutzen, ist das Image-Scanning eine wichtige Schutzmaßnahme.

Unerwünschte Benutzer in einer Docker-Gruppe

Ist ein Benutzer Mitglied einer Docker-Gruppe, können seine Zugriffsrechte auf Root-Zugriff ausgeweitet werden. Für einen Bedrohungsakteur ist dies eine optimale Position.

Nutzung eines Privileged-Flags

Durch das Ausführen eines Containers mit einem Privileged-Flag erhalten Benutzer Zugriff auf die Ressourcen des Hosts. Wird der Container kompromittiert, kann ein Angreifer diesen Zugriff missbrauchen.

Mounten vertraulicher Host-Dateien oder -Verzeichnisse auf dem Container

Mit Docker können Benutzer die Dateien und Verzeichnisse eines Host-Geräts auf Containern mounten, was die Angriffsfläche vergrößern kann, wenn es sich um vertrauliche Dateien handelt.

Diese und andere Konfigurationsfehler bei Docker oder Kubernetes stellen für Unternehmen eine enormes Risiko dar und ihre Erkennung ist ein wichtiger Aspekt der Cloud-Sicherheitsstrategie.

WEITERE INFORMATIONEN

Eine umfassende Cloud-Sicherheitsstrategie muss in Ihrem Unternehmen Risiken minimieren, vor Bedrohungen schützen und Herausforderungen bewältigen, sodass Sie die Cloud für sicheres Wachstum nutzen können. 9 Herausforderungen, Risiken und Bedrohungen rund um die Cloud-Sicherheit

So greifen Bedrohungsakteure Container an

Wenn Sie das Risiko reduzieren möchten, müssen Sie wissen, welchen Bedrohungen Ihr Unternehmen ausgesetzt ist. Auf Cloud-Umgebungen bezogen bedeutet dies, dass Sie verstehen müssen, wie Container angegriffen werden.

Kriminelle Akteure nutzen immer wieder falsch konfigurierte Docker-Container aus. Docker-Images sind Vorlagen zur Erstellung von Containern. Sie werden entweder eigenständig genutzt, damit Benutzer direkt mit einem Tool oder Service interagieren können, oder als übergeordnetes Element einer anderen Anwendung verwendet. Diese Hierarchie hat zur Folge, dass bei einem Image mit einem schädlichen Tool auch alle davon abgeleiteten Container infiziert sind.

Im Jahr 2021 berichtete das CrowdStrike Intelligence-Team über die Malware-Familie Doki, die Container als Erstinfektionsvektor sowie als Methode zur parallelen Aufgabenverarbeitung nutzt. Sobald die Angreifer Zugriff erlangt haben, können sie sich mithilfe dieser erweiterten Berechtigungen lateral bewegen und im Netzwerk ausbreiten. Das CrowdStrike Intelligence-Team beobachtet auch weiterhin Aktivitäten von Bedrohungsakteuren, dies auf Elemente von Kubernetes-Clustern zugreifen und diese verändern.

Bei Kubernetes handelt es sich um ein Open-Source-System zur Container-Orchestrierung, das die Bereitstellung, Skalierung und Verwaltung von Anwendungen und ihren gemeinsam genutzten Ressourcen automatisiert. Das CrowdStrike Falcon OverWatch™-Team für die Bedrohungssuche hat ein zunehmendes Interesse von Bedrohungsakteuren an Kubernetes-Clustern in Unternehmensumgebungen festgestellt. Das Kubernetes-Framework ist ein komplexes und mehrteiliges System, das leicht fehlkonfiguriert werden kann. Dies könnte einem Bedrohungsakteur den Erstzugang zu einer Komponente und anschließende laterale Ausbreitungsmöglichkeiten eröffnen, um so an die gewünschten Ressourcen zu gelangen.

Wie können Sie Ihre Container schützen?

Reduzieren Sie die Angriffsflächen in Container-Images (z. B. Entfernen von Debugging-Tools)

Um die Angriffsfläche zu reduzieren, müssen sich Unternehmen vom Build bis zur Laufzeit auf die Erkennung von Schwachstellen, Malware, Compliance-Verstößen und mehr konzentrieren.

Führen Sie beim Erstellen von Containern und beim Bereitstellen von Prozessen in der Container-Registrierung Schwachstellen-Scans durch

Dank der Schwachstellen-Scans können Unternehmen Sicherheitsprobleme erkennen, bevor diese von Angreifern ausgenutzt werden.

Vermeiden Sie die Nutzung öffentlich verfügbarer Container-Images

Diese Images können veraltet oder anfällig sein und potenziell zusätzliche Risiken in Ihre Cloud-Umgebung einschleusen.

Schränken Sie Container-Berechtigungen ein

Stellen Sie mithilfe des Least-Privilege-Prinzips sicher, dass Container nicht über übermäßige Berechtigungen verfügen.

Für eine sichere Cloud-Infrastruktur muss die Sicherheit der gesamten CI/CD-Pipeline abgedeckt sein. Durch den Shift-Left-Ansatz und die proaktive Bewertung der Container kann CrowdStrike Cloud Security Ihrem Unternehmen helfen, das Risiko zu reduzieren, indem alle Schwachstellen, eingebettete Malware, gespeicherte Secrets oder andere Sicherheitsprobleme schon vor der Bereitstellung erkannt werden.

Cloud Risk Report 2023

Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.

Jetzt herunterladen

INFORMATIONEN ZUM AUTOR

David Puzas hat sich in mehr als zwei Jahrzehnten als Marketing-Spezialist und Führungskraft auf dem Gebiet der Cybersicherheits-, Cloud- und IT-Services bewährt. Dabei legte er sein Hauptaugenmerk stets auf die Steigerung des Mehrwerts für Kunden und auf innovative Ergebnisse für Firmen wie CrowdStrike, Dell SecureWorks sowie IBM-Kunden weltweit. Besonders am Herzen liegen ihm die Optimierung von Computing-Innovationen, Trends und ihre geschäftlichen Auswirkungen auf die Marktexpansion und das Wachstum.