book

Container Sicherheit

Name: Container Sicherheit
Author: Liz Rice
ISBN: 9781098191795

by Liz Rice

September 2024

Intermediate to advanced

200 pages

6h 9m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Für wen dieses Buch istWas dieses Buch behandeltEin Hinweis zu KubernetesBeispieleWie man Container betreibtFeedbackIn diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Bedrohungen der Containersicherheit
Risiken, Bedrohungen und AbhilfemaßnahmenContainer-BedrohungsmodellGrenzen der SicherheitMultitenancyGemeinsame MaschinenVirtualisierungContainer-MultimandantenschaftContainer-InstanzenSicherheitsprinzipienLeast PrivilegeDefense in DepthVerringerung der AngriffsflächeBegrenzung des ExplosionsradiusAufgabentrennungAnwendung von Sicherheitsprinzipien mit ContainernZusammenfassung
2. Linux-Systemaufrufe, Berechtigungen und Fähigkeiten
SystemaufrufeDateiberechtigungensetuid und setgidLinux-FähigkeitenPrivilegien-EskalationZusammenfassung
3. Kontrollgruppen
C-Gruppen-HierarchienC-Gruppen erstellenRessourcenlimits festlegenZuweisung eines Prozesses zu einer C-GruppeDocker mit C-GruppenC-Gruppen V2Zusammenfassung
4. Container-Isolierung
Linux NamensräumeDen Hostnamen isolierenProzess-IDs isolierenÄndern des StammverzeichnissesKombiniere Namensräume und ändere die WurzelMount NamensraumNetzwerk-NamensraumBenutzer-NamensraumBenutzer-Namensraum-Einschränkungen in DockerNamensräume für prozessübergreifende KommunikationCgroup NamensraumContainer-Prozesse aus der Host-PerspektiveContainer-Host-MaschinenZusammenfassung
5. Virtuelle Maschinen
Eine Maschine hochfahrenDen VMM betretenTyp 1 VMMs oder HypervisorenTyp 2 VMMKernel-basierte virtuelle MaschinenTrap-and-EmulateUmgang mit nicht virtualisierbaren AnweisungenProzessisolierung und SicherheitNachteile von virtuellen MaschinenContainer-Isolierung im Vergleich zur VM-IsolierungZusammenfassung
6. Container-Images
Root-Dateisystem und Image-KonfigurationConfig zur Laufzeit außer Kraft setzenOCI-NormenBild KonfigurationGebäude-BilderDie Gefahren von Docker BuildDaemonlose BuildsBild-EbenenSpeichern von BildernBilder identifizierenBildsicherheitBuild-Time SicherheitHerkunft des DockerfilesBewährte Methoden für die Sicherheit von DockerdateienAngriffe auf die Build MachineSicherheit bei der Speicherung von BildernDeine eigene Registratur führenBilder unterschreibenSicherheit bei der BildbereitstellungDas richtige Image bereitstellenDefinition des böswilligen EinsatzesEinlasskontrolleGitOps und Sicherheit bei der BereitstellungZusammenfassung
7. Software-Schwachstellen in Bildern
SchwachstellenforschungSchwachstellen, Patches und DistributionenSchwachstellen auf AnwendungsebeneSchwachstellen-RisikomanagementSchwachstellen-ScanningInstallierte PaketeContainer-Image ScanningUnveränderliche ContainerRegelmäßige ScansScanning ToolsQuellen für InformationenVeraltete QuellenRepariert keine SchwachstellenSchwachstellen in UnterpaketenUnterschiede zwischen den PaketnamenZusätzliche Scanning-FunktionenScanner-FehlerScannen in der CI/CD-PipelineVerhindern, dass anfällige Bilder ausgeführt werdenZero-Day-SchwachstellenZusammenfassung
8. Verstärkung der Container-Isolierung
SeccompAppArmorSELinuxgVisorKata-BehälterFeuerwerkskörperUnikernelZusammenfassung
9. Container-Isolation aufbrechen
Container laufen standardmäßig als RootÜberschreibe die Benutzer-IDWurzelanforderung innerhalb von ContainernWurzellose ContainerDas --privileged Flag und FähigkeitenMontage sensibler VerzeichnisseDen Docker-Sockel montierenGemeinsame Nutzung von Namensräumen zwischen einem Container und seinem HostBeiwagencontainerZusammenfassung

10. Sicherheit des Containernetzwerks
Container FirewallsOSI-NetzwerkmodellSenden eines IP-PaketsIP-Adressen für ContainerNetzwerkisolierungLayer 3/4 Routing und RegelniptablesIPVSNetzwerkrichtlinienNetzwerkpolitische LösungenBewährte Methoden in der NetzwerkpolitikService MeshZusammenfassung
11. Sichere Verbindung von Komponenten mit TLS
Sichere VerbindungenX.509-ZertifikateÖffentliche/private SchlüsselpaareZertifizierungsstellenCertificate Signing RequestsTLS-VerbindungenSichere Verbindungen zwischen ContainernZertifikatssperrungZusammenfassung
12. Geheimnisse an Container weitergeben
Geheime EigenschaftenInformationen in einen Container bringenSpeichern des Geheimnisses im Container-ImageWeitergabe des Geheimnisses über das NetzwerkGeheimnisse in Umgebungsvariablen weitergebenGeheimnisse durch Dateien weitergebenKubernetes-GeheimnisseGeheimnisse sind durch die Wurzel zugänglichZusammenfassung
13. Container-Laufzeitschutz
Container-Image-ProfileNetzwerkverkehrsprofileAusführbare ProfileDateizugriffsprofileBenutzer-ID-ProfileAndere LaufzeitprofileContainer Security ToolsAbdriftpräventionZusammenfassung
14. Container und die OWASP Top 10
InjektionFehlerhafte AuthentifizierungGefährdung sensibler DatenExterne XML-EntitätenKaputte ZugriffskontrolleSicherheit FehlkonfigurationCross-Site Scripting XSSUnsichere DeserialisierungVerwendung von Komponenten mit bekannten SchwachstellenUnzureichende Protokollierung und ÜberwachungZusammenfassung
Schlussfolgerungen
Sicherheits-Checkliste
Index

Content preview from Container Sicherheit

Anhang. Sicherheits-Checkliste

Dieser Anhang enthält einige wichtige Punkte, an die du zumindest denken solltest, wenn du überlegst, wie du deine Containereinsätze am besten absicherst. In deiner Umgebung ist es vielleicht nicht sinnvoll, alle Punkte anzuwenden, aber wenn du darüber nachgedacht hast, hast du schon mal einen guten Anfang gemacht. Zweifellos ist diese Liste nicht vollständig!

Lässt du alle Container als Nicht-Root-Benutzer laufen? Siehe "Container laufen standardmäßig als Root".
Lässt du Container mit dem --privileged Flag laufen? Lässt du Fähigkeiten weg, die nicht für jedes Image benötigt werden? Siehe "Das --privileged Flag und Fähigkeiten".
Lässt du Container nach Möglichkeit schreibgeschützt laufen? Siehe "Unveränderliche Container".
Überprüfst du, ob sensible Verzeichnisse vom Host gemountet wurden? Wie sieht es mit dem Docker-Socket aus? Siehe "Einhängen sensibler Verzeichnisse" und "Einhängen des Docker-Sockets".
Lässt du deine CI/CD-Pipeline in deinem Produktionscluster laufen? Hat sie privilegierten Zugriff oder verwendet sie den Docker-Socket? Siehe "Die Gefahren von Docker Build".
Überprüfst du deine Container-Images auf Schwachstellen? Gibt es einen Prozess oder ein Werkzeug, um Container-Images, die Sicherheitslücken enthalten, neu zu erstellen und zu verteilen? Siehe Kapitel 7.
Verwendest du ein Seccomp- oder AppArmor-Profil? Die Standard-Docker-Profile sind ein guter Ausgangspunkt; noch besser wäre es, für jede Anwendung ein eigenes ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098191795

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Container Sicherheit

by Liz Rice

Anhang. Sicherheits-Checkliste

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.