book

Container Sicherheit

Name: Container Sicherheit
Author: Liz Rice
ISBN: 9781098191795

by Liz Rice

September 2024

Intermediate to advanced

200 pages

6h 9m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Für wen dieses Buch istWas dieses Buch behandeltEin Hinweis zu KubernetesBeispieleWie man Container betreibtFeedbackIn diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Bedrohungen der Containersicherheit
Risiken, Bedrohungen und AbhilfemaßnahmenContainer-BedrohungsmodellGrenzen der SicherheitMultitenancyGemeinsame MaschinenVirtualisierungContainer-MultimandantenschaftContainer-InstanzenSicherheitsprinzipienLeast PrivilegeDefense in DepthVerringerung der AngriffsflächeBegrenzung des ExplosionsradiusAufgabentrennungAnwendung von Sicherheitsprinzipien mit ContainernZusammenfassung
2. Linux-Systemaufrufe, Berechtigungen und Fähigkeiten
SystemaufrufeDateiberechtigungensetuid und setgidLinux-FähigkeitenPrivilegien-EskalationZusammenfassung
3. Kontrollgruppen
C-Gruppen-HierarchienC-Gruppen erstellenRessourcenlimits festlegenZuweisung eines Prozesses zu einer C-GruppeDocker mit C-GruppenC-Gruppen V2Zusammenfassung
4. Container-Isolierung
Linux NamensräumeDen Hostnamen isolierenProzess-IDs isolierenÄndern des StammverzeichnissesKombiniere Namensräume und ändere die WurzelMount NamensraumNetzwerk-NamensraumBenutzer-NamensraumBenutzer-Namensraum-Einschränkungen in DockerNamensräume für prozessübergreifende KommunikationCgroup NamensraumContainer-Prozesse aus der Host-PerspektiveContainer-Host-MaschinenZusammenfassung
5. Virtuelle Maschinen
Eine Maschine hochfahrenDen VMM betretenTyp 1 VMMs oder HypervisorenTyp 2 VMMKernel-basierte virtuelle MaschinenTrap-and-EmulateUmgang mit nicht virtualisierbaren AnweisungenProzessisolierung und SicherheitNachteile von virtuellen MaschinenContainer-Isolierung im Vergleich zur VM-IsolierungZusammenfassung
6. Container-Images
Root-Dateisystem und Image-KonfigurationConfig zur Laufzeit außer Kraft setzenOCI-NormenBild KonfigurationGebäude-BilderDie Gefahren von Docker BuildDaemonlose BuildsBild-EbenenSpeichern von BildernBilder identifizierenBildsicherheitBuild-Time SicherheitHerkunft des DockerfilesBewährte Methoden für die Sicherheit von DockerdateienAngriffe auf die Build MachineSicherheit bei der Speicherung von BildernDeine eigene Registratur führenBilder unterschreibenSicherheit bei der BildbereitstellungDas richtige Image bereitstellenDefinition des böswilligen EinsatzesEinlasskontrolleGitOps und Sicherheit bei der BereitstellungZusammenfassung
7. Software-Schwachstellen in Bildern
SchwachstellenforschungSchwachstellen, Patches und DistributionenSchwachstellen auf AnwendungsebeneSchwachstellen-RisikomanagementSchwachstellen-ScanningInstallierte PaketeContainer-Image ScanningUnveränderliche ContainerRegelmäßige ScansScanning ToolsQuellen für InformationenVeraltete QuellenRepariert keine SchwachstellenSchwachstellen in UnterpaketenUnterschiede zwischen den PaketnamenZusätzliche Scanning-FunktionenScanner-FehlerScannen in der CI/CD-PipelineVerhindern, dass anfällige Bilder ausgeführt werdenZero-Day-SchwachstellenZusammenfassung
8. Verstärkung der Container-Isolierung
SeccompAppArmorSELinuxgVisorKata-BehälterFeuerwerkskörperUnikernelZusammenfassung
9. Container-Isolation aufbrechen
Container laufen standardmäßig als RootÜberschreibe die Benutzer-IDWurzelanforderung innerhalb von ContainernWurzellose ContainerDas --privileged Flag und FähigkeitenMontage sensibler VerzeichnisseDen Docker-Sockel montierenGemeinsame Nutzung von Namensräumen zwischen einem Container und seinem HostBeiwagencontainerZusammenfassung

10. Sicherheit des Containernetzwerks
Container FirewallsOSI-NetzwerkmodellSenden eines IP-PaketsIP-Adressen für ContainerNetzwerkisolierungLayer 3/4 Routing und RegelniptablesIPVSNetzwerkrichtlinienNetzwerkpolitische LösungenBewährte Methoden in der NetzwerkpolitikService MeshZusammenfassung
11. Sichere Verbindung von Komponenten mit TLS
Sichere VerbindungenX.509-ZertifikateÖffentliche/private SchlüsselpaareZertifizierungsstellenCertificate Signing RequestsTLS-VerbindungenSichere Verbindungen zwischen ContainernZertifikatssperrungZusammenfassung
12. Geheimnisse an Container weitergeben
Geheime EigenschaftenInformationen in einen Container bringenSpeichern des Geheimnisses im Container-ImageWeitergabe des Geheimnisses über das NetzwerkGeheimnisse in Umgebungsvariablen weitergebenGeheimnisse durch Dateien weitergebenKubernetes-GeheimnisseGeheimnisse sind durch die Wurzel zugänglichZusammenfassung
13. Container-Laufzeitschutz
Container-Image-ProfileNetzwerkverkehrsprofileAusführbare ProfileDateizugriffsprofileBenutzer-ID-ProfileAndere LaufzeitprofileContainer Security ToolsAbdriftpräventionZusammenfassung
14. Container und die OWASP Top 10
InjektionFehlerhafte AuthentifizierungGefährdung sensibler DatenExterne XML-EntitätenKaputte ZugriffskontrolleSicherheit FehlkonfigurationCross-Site Scripting XSSUnsichere DeserialisierungVerwendung von Komponenten mit bekannten SchwachstellenUnzureichende Protokollierung und ÜberwachungZusammenfassung
Schlussfolgerungen
Sicherheits-Checkliste
Index

Content preview from Container Sicherheit

Kapitel 4. Container-Isolierung

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

In diesem Kapitel erfährst du, wie Container wirklich funktionieren! Dies ist wichtig, um zu verstehen, inwieweit Container voneinander und vom Host isoliert sind. Du wirst in der Lage sein, selbst zu beurteilen, wie stark die Sicherheitsgrenze ist, die einen Container umgibt.

Wie du weißt, wenn du schon einmal docker exec <image> bash ausgeführt hast, sieht ein Container von innen ähnlich aus wie eine virtuelle Maschine. Wenn du Shell-Zugriff auf einen Container hast und ps aufrufst, kannst du nur die Prozesse sehen, die in ihm laufen. Der Container verfügt über einen eigenen Netzwerkstack und scheint ein eigenes Dateisystem mit einem Root-Verzeichnis zu haben, das in keiner Beziehung zu Root auf dem Host steht. Du kannst Container mit begrenzten Ressourcen betreiben, z. B. mit einer begrenzten Menge an Arbeitsspeicher oder einem Bruchteil der verfügbaren CPUs. Das alles geschieht mit Hilfe der Linux-Funktionen, die wir in diesem Kapitel näher erläutern werden.

So sehr sie sich oberflächlich betrachtet auch ähneln mögen, ist es wichtig zu erkennen, dass Container keine virtuellen Maschinen sind. In Kapitel 5 werden wir uns die Unterschiede zwischen diesen beiden Arten der Isolierung ansehen. Meiner Erfahrung nach ist es absolut wichtig, die beiden Arten von Isolation zu verstehen und voneinander abzugrenzen, um zu ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098191795

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Container Sicherheit

by Liz Rice

Kapitel 4. Container-Isolierung

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.