Container Security 2025: So schützen Sie Ihre Cloud-native Infrastruktur vor Risiken

Mit der zunehmenden Verbreitung containerisierter Anwendungen wächst auch die Sorge der IT-Verantwortlichen um die Sicherheit. Nur wenn Container Security und Container Management optimal zusammenspielen, können Unternehmen mit den wachsenden Bedrohungen Schritt halten. Die Integration von Rancher Prime und SUSE Security (vormals NeuVector) zielt genau darauf ab.

Cloud-nativer Technologien haben die Art und Weise, wie Unternehmen Anwendungen entwickeln und betreiben, revolutioniert. Dieser Wandel bringt jedoch auch neue Herausforderungen mit sich. Im letzten Annual Survey der Cloud Native Computing Foundation (CNCF) gaben 40 Prozent der befragten Experten an, dass Sicherheitsbedenken die größte Hürde für den Einsatz von Container-Technologien sind. Eine aktuelle CNCF-Umfrage vom November 2024 bestätigt diese Einschätzung: Auch hier wurden Datenschutz und Informationssicherheit am häufigsten als Risiken für die Entwicklung Cloud-nativer Anwendungen genannt.

Doch warum sind Container-Umgebungen besonders anfällig für bestimmte Bedrohungen? Und wo liegen die Schwierigkeiten bei der Absicherung Cloud-nativer Infrastrukturen? Insbesondere drei Aspekte sind dabei zu berücksichtigen.  

1. Komplexe und dynamische Architekturen vergrößern die Angriffsfläche

Container-basierte Anwendungen bestehen oft aus Hunderten oder Tausenden einzelnen Containern, Diensten und Schnittstellen. Diese komplexe Architektur schafft viele mögliche Angriffspunkte und ist daher – laut dem 2024 Cloud Native Security Report – die größte Sicherheitsherausforderung für Unternehmen. Hinzu kommt die hohe Dynamik von Cloud-nativen Infrastrukturen. Mit jedem neuen Software Deployment und jeder Erweiterung können auch neue Sicherheitslücken entstehen, die von Angreifern ausgenutzt werden. Daher ist es so wichtig, die Umgebung kontinuierlich auf mögliche Schwachstellen zu überprüfen.

2. Aufwändiges Policy Management in verteilten und hybriden Umgebungen

Neben der Vielzahl unterschiedlicher Komponenten erschwert oft auch die verteilte Infrastruktur die Absicherung von Cloud-nativen Anwendungen. Kubernetes-Cluster, Service Meshes und Serverless-Technologien nutzen unterschiedliche Security Policies, die teilweise nicht miteinander kompatibel sind. Sicherheitsrichtlinien über unterschiedliche Plattformen hinweg zu verwalten, ist daher eine echte Herausforderung. In Multi-Cloud- oder Hybrid-Cloud-Umgebungen wird diese Aufgabe noch schwieriger: Jede Anpassung erfordert zahlreiche manuelle Eingriffe, die fehleranfällig und zeitaufwändig sind. IT-Abteilungen benötigen daher ein zentrales Tool für das Policy Management, das möglichst automatisiert arbeitet und auf standardisierte Frameworks wie Open Policy Agent (OPA) setzt.

3. Herausforderungen bei der Zugriffskontrolle für Container-Workloads

Auch die Verwaltung von Rollen und Berechtigungen kann in Cloud-nativen Umgebungen einen enormen Aufwand verursachen. Kubernetes unterstützt zwar eine rollenbasierte Zugriffskontrolle (Role-Based Access Control – RBAC) – viele Unternehmen haben jedoch Schwierigkeiten, den Zugriff ihrer Teams auf unterschiedliche Ressourcen zentral zu überwachen und granular zu steuern. Die Folge können unberechtigte Zugriffe auf sensiblen Daten und Anwendungen in einer Container-Umgebung sein. Um echte Zero-Trust-Sicherheit zu erreichen, ist es daher wichtig, Rollen und Berechtigungen möglichst spezifisch nach dem Least-Privilege-Prinzip zu definieren. 

Zu diesen drei Herausforderungen kommt schließlich noch das Thema Fachkräftemangel hinzu: Qualifiziertes Sicherheitspersonal für Cloud-native Umgebungen ist schwer zu finden – und den vorhandenen Sicherheitsexperten fehlt oft die Zeit, sich in neue Technologien zur Absicherung von Container-Infrastrukturen einzuarbeiten. Dies kann das Risiko von Cyberattacken zusätzlich erhöhen.

Container Management und Container Security gehören zusammen

Unternehmen sollten sich daher bereits beim Aufbau einer Cloud-nativen Umgebung mit dem Thema Sicherheit auseinandersetzen und nicht erst im Nachhinein die notwendigen Schutzmaßnahmen ergreifen. Genau aus diesem Grund hat SUSE seine Container Security-Plattform SUSE Security (früher NeuVector) in die Rancher Prime Suite integriert. 

Management und Absicherung von Container-Umgebungen gehen damit Hand in Hand. IT-Abteilungen können sich beispielsweise über das zentrale Dashboard von Rancher Prime auch Sicherheitswarnungen und Ergebnisse von Security-Scans anzeigen lassen. Das erleichtert die Überwachung der Infrastruktur und ermöglicht es, Security-Prozesse als Teil der bereits etablierten Rancher Prime-Workflows zu verwalten.

SUSE Security hilft Rancher Prime-Anwendern, containerisierte Anwendungen sicher zu entwickeln und bereitzustellen. Verschiedene Sicherheitstechnologien arbeiten dabei eng zusammen und gewährleisten so einen umfassenden Schutz vor Angriffen und Datenverlust.

• Vulnerability Scanning: SUSE Security scannt Container, Hosts und Orchestrierungsplattformen wie Kubernetes kontinuierlich auf Schwachstellen, um diese frühzeitig zu identifizieren und zu beheben.
• Runtime Protection: Alle laufenden Container werden in Echtzeit überwacht. Die Runtime Protection arbeitet dabei mit einer intelligenten Erkennung von Anomalien, die potenziell schädliche Prozesse sofort isoliert. So lassen sich auch Zero-Day-Exploits stoppen, für die es bisher noch keine Patches gibt.
• Deep Packet Inspection (DPI) und Netzwerksegmentierung: SUSE Security analysiert den gesamten Container-Netzwerkverkehr auf Layer 7. Die granulare Segmentierung von Container-Netzwerken blockiert unautorisierte Kommunikation und verhindert, dass Angriffe auf andere Container übergreifen.
• Compliance & Audit Reporting: Rancher Prime und SUSE Security unterstützen Sicherheitsstandards wie PCI-DSS, NIST, DSGVO, FIPS und CIS Benchmarks durch kontinuierliches Monitoring. Automatisch generierte Audit-Reports helfen bei der Einhaltung regulatorischer Vorgaben.
• Zero-Trust Container Security: Mit SUSE Security können Unternehmen ein Zero-Trust-Modell für ihre Cloud-nativen Umgebungen umsetzen. Container werden dabei standardmäßig isoliert und nur notwendige Verbindungen und Berechtigungen nach dem Least-Privilege-Prinzip zugelassen. 
• Schutz vor Angriffen und Datei-Manipulationen: SUSE Security erkennt Angriffsversuche wie DDoS oder Ransomware und blockiert diese automatisch. Darüber hinaus überwacht die Lösung Änderungen an Container-Dateisystemen, dokumentiert verdächtige Aktivitäten und verhindert unerlaubte Modifikationen.
• CI/CD Pipeline Security: Die Schutzfunktionen von SUSE Security lassen sich in DevOps-Workflows – zum Beispiel auf Basis von Jenkins, GitHub Actions und GitLab CI – integrieren. So wird sichergestellt, dass nur sichere Container-Images mit geprüften Richtlinien in Produktionsumgebungen gelangen.
• Role-Based Access Control (RBAC): SUSE Security bietet eine feingranulare Zugriffskontrolle für Administratoren, Entwickler und Sicherheitsteams, einschließlich Multi-Tenancy-Support. Berechtigungen und Authentifizierungen für alle Kubernetes-Cluster werden über eine zentrale Oberfläche verwaltet.
• Software Bill of Materials und Supply Chain Security: Mit der SUSE Rancher Prime Application Collection bietet SUSE eine kuratierte, vertrauenswürdige und stets aktuelle Auswahl an Entwickler- und Infrastruktur-Anwendungen, die für Kubernetes-Umgebungen optimiert sind. Jede Anwendung wird von SUSE getestet und mit Software Bill of Materials (SBOMs) ausgeliefert. SBOMs schaffen Transparenz über Abhängigkeiten in der Container Supply Chain und minimieren Sicherheitsrisiken.
• Policy-as-Code: Durch die Integration mit der Policy Engine KubeWarden lassen sich Sicherheitsrichtlinien für Container-Workloads als Code implementieren. Der Policy-as-Code-Ansatz erleichtert die konsistente und reproduzierbare Anwendung von Sicherheitsrichtlinien in allen Container-Umgebungen – ganz im Sinne einer DevSecOps-Strategie.
  

Rancher Prime und SUSE Security bei der Oldenburgischen Landesbank

Eine Organisation, die sowohl beim Container Management als auch beim Thema Container Security auf SUSE setzt, ist die Oldenburgische Landesbank (OLB):

• Mit Rancher Prime vereinfachte die OLB die Migration auf containerisierte Anwendungen, senkte die Betriebskosten und verkürzte den Zeitaufwand für die Einrichtung von Kubernetes-Umgebungen um mehr als 99 Prozent. 
• SUSE Security schützt gleichzeitig die containerisierten Workloads während der Build-Phase und im Live-Betrieb vor bekannten und neuen Bedrohungen. Damit erfüllt die OLB die strengen regulatorischen Anforderungen der Finanzbrache.

Lesen Sie hier, wie SUSE der OLB den Weg zum sicheren und modernen Plattform-Banking geebnet hat.

Möchten Sie mehr über die Einsatzmöglichkeiten von Rancher Prime und SUSE Security erfahren? Dann sehen Sie sich jetzt die Aufzeichnung unseres Webinars vom 30. Januar 2025 an:

SUSE Rancher Prime in Aktion: Mehr Flexibilität & Sicherheit für Kubernetes mit SUSE Security & Co