Neuer Leitfaden: Zehn Schritte, um die Container-Sicherheit in Ihrer CI/CD-Pipeline zu automatisieren

Continuous Integration (CI) und Continuous Delivery (CD) helfen Unternehmen, die Entwicklung und Bereitstellung neuer Software zu automatisieren. Security- und DevOps-Teams sollten daher auch bei der Absicherung ihrer CI/CD-Pipeline nicht auf manuelle Prozesse setzen. Unser Leitfaden erklärt die zehn wichtigsten Maßnahmen auf dem Weg zu automatisierter Container-Sicherheit.

Durch die zunehmende Ausbreitung von Container-Infrastrukturen wächst auch die mögliche Angriffsfläche für Cyberattacken. Unternehmen müssen sich daher Gedanken darüber machen, wie sie ihre CI/CD-Pipeline vor Gefahren schützen können.

Die möglichen Risiken sind dabei vielfältig: Vom Beginn der Build-Phase bis zur Produktion treten immer wieder Schwachstellen und kritische Sicherheitslücken auf, die von Angreifern ausgenutzt werden. Auch falsch konfigurierte Tools für die Cloud-native Softwareentwicklung können die Sicherheit gefährden. Hinzu kommen gezielte Angriffsversuche auf Basis-Komponenten wie den Container-Orchestrator Kubernetes und die Laufzeitumgebungen CRI-O und containerd.

Daher ist es notwendig, die gesamte Infrastruktur zu härten und regelmäßig auf mögliche Schwachstellen zu überprüfen. Security- und DevOps-Teams können es sich allerdings nicht leisten, ihre Pipeline immer wieder durch manuelle Sicherheitsmaßnahmen auszubremsen und dadurch auch die kontinuierliche Bereitstellung neuer Anwendungen zu verlangsamen. Stattdessen sollte Container-Sicherheit als möglichst automatisierter Prozess implementiert werden.

Ein neuer Leitfaden von SUSE gibt einen Überblick über die wichtigsten Schritte auf diesem Weg. Sicherheitsexperten empfehlen heute vor allem, die folgenden zehn Punkte anzugehen:

1. Scannen Sie Container-Images bereits in der Build-Phase automatisiert auf Schwachstellen und Konformitätsverletzungen.
2. Führen Sie Registry-Scans durch, sobald die Images die Build-Phase durchlaufen haben.
3. Planen Sie weitere Scans und Compliance-Checks in den Staging- und Produktionsumgebungen ein – möglichst abgestimmt auf die CIS-Benchmarks für Kubernetes und Docker.
4. Etablieren Sie standardisierte Prozesse für die Risikoberichterstattung und das Schwachstellenmanagement – und setzen Sie dabei auf automatisierte Alerts und Bewertungen.
5. Stellen Sie Sicherheitsregeln als Code bereit, um neue und aktualisierte Anwendungen von Anfang an umfassend zu schützen.
6. Nutzen Sie Behavioral Learning, um das typische Anwendungsverhalten und die zulässigen Zugriffsmuster automatisch zu erkennen
7. Verhindern Sie durch Zugangskontrollen, dass kompromittierte Container von der CI/CD-Pipeline in die Produktionsumgebung gelangen.
8. Implementieren Sie eine Container-Netzwerk-Firewall, um Ihr Netzwerk zu segmentieren und nicht autorisierte Verbindungen automatisch zu blocken.
9. Überprüfen Sie Container-Workloads und Hosts kontinuierlich auf verdächtiges und nicht autorisiertes Verhalten.
10. Definieren Sie automatisierte Reaktionen auf verdächtige Aktivitäten – wie etwa Quarantäneregeln für Container, Erfassung von forensischen Daten und Benachrichtigungen an die zuständigen Systeme und Spezialisten.

Im SUSE-Guide „10 Steps to Automate Container Security Into the CI/CD Pipeline“ erfahren Sie, wie Sie diese Tipps in der Praxis anwenden. Der Leitfaden erklärt auch, wer für die Umsetzung der einzelnen Maßnahmen im Unternehmen verantwortlich ist – und welche Lösungen und Tools bei der Automatisierung der Container-Sicherheit unterstützen können.

Jetzt den Leitfaden herunterladen