book

Container Sicherheit

Name: Container Sicherheit
Author: Liz Rice
ISBN: 9781098191795

by Liz Rice

September 2024

Intermediate to advanced

200 pages

6h 9m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Für wen dieses Buch istWas dieses Buch behandeltEin Hinweis zu KubernetesBeispieleWie man Container betreibtFeedbackIn diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Bedrohungen der Containersicherheit
Risiken, Bedrohungen und AbhilfemaßnahmenContainer-BedrohungsmodellGrenzen der SicherheitMultitenancyGemeinsame MaschinenVirtualisierungContainer-MultimandantenschaftContainer-InstanzenSicherheitsprinzipienLeast PrivilegeDefense in DepthVerringerung der AngriffsflächeBegrenzung des ExplosionsradiusAufgabentrennungAnwendung von Sicherheitsprinzipien mit ContainernZusammenfassung
2. Linux-Systemaufrufe, Berechtigungen und Fähigkeiten
SystemaufrufeDateiberechtigungensetuid und setgidLinux-FähigkeitenPrivilegien-EskalationZusammenfassung
3. Kontrollgruppen
C-Gruppen-HierarchienC-Gruppen erstellenRessourcenlimits festlegenZuweisung eines Prozesses zu einer C-GruppeDocker mit C-GruppenC-Gruppen V2Zusammenfassung
4. Container-Isolierung
Linux NamensräumeDen Hostnamen isolierenProzess-IDs isolierenÄndern des StammverzeichnissesKombiniere Namensräume und ändere die WurzelMount NamensraumNetzwerk-NamensraumBenutzer-NamensraumBenutzer-Namensraum-Einschränkungen in DockerNamensräume für prozessübergreifende KommunikationCgroup NamensraumContainer-Prozesse aus der Host-PerspektiveContainer-Host-MaschinenZusammenfassung
5. Virtuelle Maschinen
Eine Maschine hochfahrenDen VMM betretenTyp 1 VMMs oder HypervisorenTyp 2 VMMKernel-basierte virtuelle MaschinenTrap-and-EmulateUmgang mit nicht virtualisierbaren AnweisungenProzessisolierung und SicherheitNachteile von virtuellen MaschinenContainer-Isolierung im Vergleich zur VM-IsolierungZusammenfassung
6. Container-Images
Root-Dateisystem und Image-KonfigurationConfig zur Laufzeit außer Kraft setzenOCI-NormenBild KonfigurationGebäude-BilderDie Gefahren von Docker BuildDaemonlose BuildsBild-EbenenSpeichern von BildernBilder identifizierenBildsicherheitBuild-Time SicherheitHerkunft des DockerfilesBewährte Methoden für die Sicherheit von DockerdateienAngriffe auf die Build MachineSicherheit bei der Speicherung von BildernDeine eigene Registratur führenBilder unterschreibenSicherheit bei der BildbereitstellungDas richtige Image bereitstellenDefinition des böswilligen EinsatzesEinlasskontrolleGitOps und Sicherheit bei der BereitstellungZusammenfassung
7. Software-Schwachstellen in Bildern
SchwachstellenforschungSchwachstellen, Patches und DistributionenSchwachstellen auf AnwendungsebeneSchwachstellen-RisikomanagementSchwachstellen-ScanningInstallierte PaketeContainer-Image ScanningUnveränderliche ContainerRegelmäßige ScansScanning ToolsQuellen für InformationenVeraltete QuellenRepariert keine SchwachstellenSchwachstellen in UnterpaketenUnterschiede zwischen den PaketnamenZusätzliche Scanning-FunktionenScanner-FehlerScannen in der CI/CD-PipelineVerhindern, dass anfällige Bilder ausgeführt werdenZero-Day-SchwachstellenZusammenfassung
8. Verstärkung der Container-Isolierung
SeccompAppArmorSELinuxgVisorKata-BehälterFeuerwerkskörperUnikernelZusammenfassung
9. Container-Isolation aufbrechen
Container laufen standardmäßig als RootÜberschreibe die Benutzer-IDWurzelanforderung innerhalb von ContainernWurzellose ContainerDas --privileged Flag und FähigkeitenMontage sensibler VerzeichnisseDen Docker-Sockel montierenGemeinsame Nutzung von Namensräumen zwischen einem Container und seinem HostBeiwagencontainerZusammenfassung

10. Sicherheit des Containernetzwerks
Container FirewallsOSI-NetzwerkmodellSenden eines IP-PaketsIP-Adressen für ContainerNetzwerkisolierungLayer 3/4 Routing und RegelniptablesIPVSNetzwerkrichtlinienNetzwerkpolitische LösungenBewährte Methoden in der NetzwerkpolitikService MeshZusammenfassung
11. Sichere Verbindung von Komponenten mit TLS
Sichere VerbindungenX.509-ZertifikateÖffentliche/private SchlüsselpaareZertifizierungsstellenCertificate Signing RequestsTLS-VerbindungenSichere Verbindungen zwischen ContainernZertifikatssperrungZusammenfassung
12. Geheimnisse an Container weitergeben
Geheime EigenschaftenInformationen in einen Container bringenSpeichern des Geheimnisses im Container-ImageWeitergabe des Geheimnisses über das NetzwerkGeheimnisse in Umgebungsvariablen weitergebenGeheimnisse durch Dateien weitergebenKubernetes-GeheimnisseGeheimnisse sind durch die Wurzel zugänglichZusammenfassung
13. Container-Laufzeitschutz
Container-Image-ProfileNetzwerkverkehrsprofileAusführbare ProfileDateizugriffsprofileBenutzer-ID-ProfileAndere LaufzeitprofileContainer Security ToolsAbdriftpräventionZusammenfassung
14. Container und die OWASP Top 10
InjektionFehlerhafte AuthentifizierungGefährdung sensibler DatenExterne XML-EntitätenKaputte ZugriffskontrolleSicherheit FehlkonfigurationCross-Site Scripting XSSUnsichere DeserialisierungVerwendung von Komponenten mit bekannten SchwachstellenUnzureichende Protokollierung und ÜberwachungZusammenfassung
Schlussfolgerungen
Sicherheits-Checkliste
Index

Overview

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Um die Skalierbarkeit und Ausfallsicherheit zu erhöhen, führen viele Unternehmen ihre Anwendungen in nativen Cloud-Umgebungen mit Containern und Orchestrierung aus. Aber woher weiß man, ob der Einsatz sicher ist? Dieses praktische Buch untersucht die wichtigsten zugrundeliegenden Technologien, um Entwicklern, Betreibern und Sicherheitsexperten zu helfen, Sicherheitsrisiken zu bewerten und geeignete Lösungen zu finden.

Die Autorin Liz Rice, Chief Open Source Officer bei Isovalent, untersucht, wie die Bausteine, die in containerbasierten Systemen häufig verwendet werden, in Linux aufgebaut sind. Du wirst verstehen, was passiert, wenn du Container einsetzt, und lernen, wie du potenzielle Sicherheitsrisiken einschätzen kannst, die deine Einsätze beeinträchtigen könnten. Wenn du Container-Anwendungen mit kubectl oder Docker ausführst und Linux-Kommandozeilen-Tools wie ps und grep verwendest, bist du bereit, loszulegen.

Erforsche Angriffsvektoren, die Container-Einsätze betreffen
Tauche ein in die Linux-Konstrukte, die Containern zugrunde liegen
Untersuchung von Maßnahmen zur Absicherung von Containern
Verstehen, wie Fehlkonfigurationen die Container-Isolation gefährden können
Best Practices für die Erstellung von Container-Images lernen
Container-Images mit bekannten Software-Schwachstellen zu identifizieren
Sichere Verbindungen zwischen Containern nutzen
Sicherheitstools verwenden, um Angriffe auf deine Bereitstellung zu verhindern

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098191795

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills