Docker ist eine beliebte Containerisierungsplattform. Sie ermöglicht nämlich die Ausführung von Anwendungen in isolierten Containern innerhalb einer Virtualisierungsumgebung, die auch für weniger Versierte zu händeln ist. Doch diese spezielle Systemarchitektur birgt ganz eigene, potenzielle Schwachstellen und Sicherheitsrisiken. Die Docker Sicherheitsprobleme kommen daher, dass hier anders als bei der Servervirtualisierung, wie wir sie kennen, nicht ganze Server inklusive aller Dienste streng von einander getrennt sind, sondern verschiedene Anwendungen auf eine gemeinsame System-Infrastruktur zugreifen.
Die bekanntesten Schwachstellen von Docker
Die Virtualisierung mit Containern kennen Sie aus unseren Beiträgen über die Arbeit mit OpenVZ oder VMware. Und tatsächlich gibt es zwischen dem Containering von Docker und der Servervirtualisierung gewisse Ähnlichkeiten. Denn beide verwenden einen gemeinsamen Kernel und haben ein Managementsystem für die Virtualisierung. Bei OpenVZ und VMware sollten Sie sich ein wenig mit Linux auskennen. Doch Docker wurde dafür geschaffen, Website-Entwicklern das Leben und Arbeiten in virtualisierten Umgebungen zu erleichtern. So erfordert es nur oberflächliche Systemkenntnisse und entbindet die Anwendungsentwickler von der Einrichtung und Optimierung der Serverdienste.
Als regelmäßige BBO-Magazinleser ahnen Sie wahrscheinlich schon, was jetzt kommt. Wie wir aus der jahrelangen Praxis mit Vereinfachungen dieser Art wissen: Je einfacher ein System für technisch weniger Qualifizerte erscheint, um so größer ist die Gefahr von Sicherheitslücken. Die Docker Sicherheitsprobleme sind seit längerem auch in der Fachpresse dokumentiert (siehe heise-Bericht von Januar 2019, heise.de-Studie von Juni 2020). Doch wir machen es Ihnen leicht und stellen Ihnen die wichtigsten hier kurz vor:
1. Container-Escape
Container-Escape ist ein Angriffsvektor, bei dem ein Angreifer von einem Container in den Host-Systemkontext „entkommt“ und dadurch Zugriff auf das Host-Betriebssystem erhält. Dies kann dazu führen, dass ein Angreifer unbefugten Zugriff auf das Host-Betriebssystem und potenziell auch auf andere Container erhält.
2. Unsichere Container-Images
Docker-Container basieren auf Container-Images. Entwickler laden diese direkt oder aus der Docker Hub-Registry herunter. Dabei besteht das Risiko, dass Container-Images unsicher oder mit bösartigem Code infiziert sind, wenn sie aus unsicheren oder nicht vertrauenswürdigen Quellen stammen.
3. Schwache Zugriffskontrollen
Docker ermöglicht es Entwicklern, spezifische Berechtigungen und Zugriffssteuerungen für Container zu konfigurieren. Schwache oder unzureichende Zugriffskontrollen können dazu führen, dass unbefugte Benutzer oder Container auf Ressourcen oder Daten in anderen Containern oder im Host-System zugreifen können.
4. Unzureichende Überwachung
Container können in einem dynamischen und verteilten Umfeld laufen, was die Überwachung und das Erkennen von Sicherheitsverletzungen erschweren kann. Eine unzureichende Überwachung von Docker-Containern kann dazu führen, dass Sicherheitsverletzungen oder Angriffe unentdeckt bleiben.
5. Ungepatchte oder verwundbare Container-Images
Container-Images können veralteten oder verwundbaren Code enthalten, der Sicherheitslücken aufweist. Wenn Container-Images nicht regelmäßig aktualisiert oder gepatcht werden, können Angreifer bekannte Schwachstellen ausnutzen und in Container eindringen.
6. Misskonfigurationen
Docker bietet viele Konfigurationsoptionen für Container, Hosts und Netzwerke. Falsch konfigurierte Container, Hosts oder Netzwerke können jedoch zu Sicherheitsrisiken führen, z. B. durch unzureichende Isolation von Containern, offene Ports oder ungesicherte Verbindungen.
So bekommen Sie die Docker Sicherheitsprobleme in den Griff
Die Docker Sicherheitsprobleme sind durchaus beherrschbar. Allerdings müssen Sie hierbei großen Wert auf sorgfältige Konfiguration, Verwaltung und Überwachung legen. Dann können Sie genannten Sicherheitsrisiken minimieren oder sogar vermeiden. Dazu empfehlen Experten, auf bewährte Sicherheitspraktiken zurückzugreifen. Die Docker Sicherheitsprobleme bekommen Sie also in den Griff, wenn Sie
- nur vertrauenswürdige Container-Images verwenden, z. B. aus Repositorien offiziellel Quellen
- regelmäßige die Container und Hosts aktualisieren, z. B. Sicherheitspatches und Updates)
- angemessenen Zugriffskontrollen implementieren, z. B: Mehrfaktor-Authentifizierung, Schlüssel statt Passwort etc.
- Docker-Container und Hosts überwachen.
Wir bevorzugen bekanntermaßen und aus guten Gründen die „echte“ Servervirtualisierung. Aber für bestimmte Anwendungsbereiche hat Docker durchaus seine Berechtigung. Allerdings können wir Sie dabei unterstützen, Docker in einer sicheren Umgebung zu betreiben. Für weitere Fragen und Informationen stehen wir Ihnen gerne zur Verfügung. Nehmen Sie einfach Kontakt mit uns auf.
Weitere Infos zu Docker
Wenn Sie noch mehr über Docker wissen wollen, dann empfehlen wir Ihnen folgende Beiträge:
