Wiz
Alle ArtikelContainers/K8s

Container-Security-Scanning: Von der Erkennung bis zum Deployment

Shashank Golla
Fortgeschrittene Best Practices zur Container-SicherheitPraktische Best Practices für die Kubernetes-Sicherheit
Wichtigste Erkenntnisse für das Scannen der Containersicherheit:

  • Container-Security-Scanning ist unverzichtbar, um Schwachstellen und Fehlkonfigurationen in Container-Images zu finden, bevor sie in die Produktion gelangen.

  • Scannen Sie Container bereits früh im Entwicklungsprozess und setzen Sie das Scanning über den gesamten Container-Lebenszyklus fort – auch während der Runtime.

  • Effektives Scanning umfasst Basis-Images, Anwendungsabhängigkeiten, Secrets und Konfigurationsprobleme.

  • Automatisierte Tools helfen Teams, mit neuen Bedrohungen und Compliance-Anforderungen umzugehen, ohne die Entwicklung auszubremsen.

  • Wer die kritischsten Risiken zuerst priorisiert und behebt, reduziert Alarmrauschen und konzentriert Ressourcen dort, wo sie am meisten zählen.

Container-Security-Scanning: Definition

Container-Security-Scanning ist ein automatisierter Prozess, der Container-Images und laufende Container analysiert. Ziel: Schwachstellen, Fehlkonfigurationen und Sicherheitsbedrohungen vor dem Deployment identifizieren. Dieser proaktive Ansatz hilft Ihnen, potenzielle Sicherheitsrisiken zu minimieren, ohne die Geschwindigkeit Ihrer Entwicklungsprozesse zu beeinträchtigen.

Moderne containerisierte Umgebungen bringen neue Sicherheitsherausforderungen mit sich, die traditionelle Tools oft nicht bewältigen können. Laut einem Bericht haben 67 % der Unternehmen das Deployment von Anwendungen wegen Sicherheitsbedenken bei Containern verzögert. Container bündeln Anwendungscode mit Abhängigkeiten und schaffen so neue Angriffsflächen, die spezialisierte Erkennungsmethoden erfordern. Die Integration von Scanning in CI/CD-Pipelines stellt sicher, dass Sie Schwachstellen frühzeitig erkennen, ohne Entwicklungszyklen zu verlangsamen.

Ein Bild, das ein Container-Sicherheitslayout darstellt und Komponenten zeigt, die vom Anwendungscode und der Container-Engine bis hin zu Container-Images reichen.

Deshalb sollte modernes Container Security Scanning jede Phase des Lebenszyklus abdecken – vom Image-Build bis zum Verhalten während der Runtime. So lassen sich Risiken früh erkennen und Sicherheitsprobleme kontinuierlich überwachen.

Im Folgenden erfahren Sie, wie Container-Security-Scanning funktioniert, welche Rolle es in der Softwareentwicklung spielt und welche Tools und Strategien Sie nutzen können, um es effektiv in DevOps-Workflows zu integrieren. Zusätzlich lernen Sie Open-Source-Sicherheitstools kennen und erhalten umfassende Implementierungsstrategien.

Wiz in Aktion erleben

In dieser kurzen interaktiven Tour zeigen wir Ihnen ein reales Szenario: Wiz identifiziert exponierte Container, visualisiert den vollständigen Angriffspfad und behebt das Problem direkt im Code – alles innerhalb von Minuten.

Machen Sie die 10-minütige Wiz Container-Sicherheits-Tour

In dieser kurzen interaktiven Tour folgen Sie einem realen Szenario, in dem Wiz exponierte Container identifiziert, den gesamten Angriffspfad visualisiert und das Problem direkt im Code behebt – und das alles innerhalb weniger Minuten.

Vorteile von Container-Security-Scanning

Scannen unterstützt die Lebenszyklus-Sicherheit, die Laufzeit-Sicherheit sowie Compliance und Governance.

Scanning unterstützt bei Lebenszyklus-Sicherheit, Runtime-Sicherheit sowie Compliance und Governance.

Container-Security-Scanning ist eine unverzichtbare Strategie in der heutigen DevOps-Landschaft. Hier erfahren Sie, warum es entscheidend ist, Security-Scanning-Tools in Ihren Container-Workflow zu integrieren:

Schwachstellen frühzeitig erkennen

Frühzeitige Schwachstellenerkennung identifiziert Sicherheitslücken während der Build-Phase und verhindert Sicherheitsverletzungen, bevor Container die Produktion erreichen. Diese frühzeitige Einbindung von Sicherheitsprüfungen im Entwicklungsprozess (Shift-Left-Ansatz) erfasst Probleme, wenn sie noch ohne großen Aufwand und günstig zu beheben sind.

Proaktives Container-Security-Scanning reduziert die Kosten für Incident Response und verhindert Reputationsschäden durch Sicherheitsvorfälle. Die Behebung von Schwachstellen während der Entwicklung ist deutlich günstiger als nach dem Deployment. Container Security Scanning ist daher eine strategische Investition in langfristige Sicherheit.

Vertrauen bei Endnutzern und Stakeholdern aufbauen

Jede öffentlichkeitswirksame Sicherheitsverletzung schwächt das Vertrauen der Nutzer. Wenn Sie Container vor dem Produktions-Deployment scannen, verhindern Sie Probleme, die zu SLA-Verletzungen, Datenlecks oder Compliance-Verstößen führen könnten.

Wenn Sicherheit direkt in die Entwicklungs- und Deployment-Pipeline integriert ist, können Teams schneller und mit mehr Vertrauen deployen – im Wissen, dass ihre Images gehärtet, verifiziert und auditierbar sind.

Container Security Scanning wird so zu einem strategischen Bestandteil zuverlässiger und sicherer Softwareentwicklung. Durch die Integration dieser Praktiken in Ihren Container-Workflow bringen Sie die Dynamik von DevOps mit kompromissloser Sicherheit in Einklang.

Compliance mit Sicherheitsstandards sicherstellen

Ein Wiz-Compliance-Dashboard zeigt bestandene Prüfungen und den aktuellen Compliance-Status.

Compliance-Validierung stellt sicher, dass Container-Images regulatorische Anforderungen und Industriestandards wie CIS und NIST erfüllen. Automatisiertes Compliance-Scanning verhindert Verstöße, bevor Container Produktionsumgebungen erreichen.

Wir automatisieren diesen Prozess, indem wir gegen über 100 Frameworks scannen, darunter PCI, HIPAA und DSGVO. Security-Teams identifizieren Compliance-Lücken frühzeitig und beheben Probleme, bevor sie Produktionssysteme oder Stakeholder beeinträchtigen.

Unsicheres Container-Deployment verhindern

Durch die Integration von Container-Security-Scanning in Ihre CI/CD-Pipeline stoppen Sie Schwachstellen und fehlkonfigurierte Images, bevor sie zu einem größeren Sicherheitsproblem werden.

Beispiel: Ihr Team identifiziert einen unsicheren Container vor dem Deployment und blockiert ihn automatisch. Dadurch reduzieren Sie die Angriffsfläche Ihrer Cloud-Umgebung und gewährleisten die Sicherheit Ihrer Anwendung innerhalb der Cloud-Umgebung.

Erkennungsmöglichkeiten beim Container-Scanning

Container Security Scanning ist eine mehrschichtige Sicherheitsprüfung, die verschiedene Ebenen eines Container-Images analysiert.

Werfen wir einen genaueren Blick auf Container-Images selbst und auf das, was diese Art von Scan beinhaltet:

Anatomie eines Container-Images

Ein Container-Image ist eine Vorlage für die Erstellung einer containerisierten Umgebung. Es enthält alle Komponenten, die für den Betrieb einer Anwendung erforderlich sind: den Code, die Runtime-Umgebung, Systembibliotheken und Konfigurationen. Jede Ebene des Images – vom Basisbetriebssystem bis zur Anwendungsebene – kann potenzielle Schwachstellen enthalten.

Häufig ausgenutzte Schwachstellen

Container-Images können Schwachstellen aus mehreren Ebenen der Software-Stacks übernehmen. Akademische Forschung kategorisiert über 200 Schwachstellen in 11 verschiedenen Angriffsvektoren:

  • Betriebssystem-Schwachstellen: Schwachstellen im Basis-OS werden kritisch, da Container den Host-Kernel teilen und so systemweite Expositionsrisiken entstehen.

  • Anwendungsabhängigkeiten: Veraltete Bibliotheken oder Pakete können bekannte Exploits enthalten, die Angreifer gezielt ausnutzen, wenn Sicherheitsupdates fehlen.

  • Konfigurationsfehler: Fehlkonfigurationen wie zu weitreichende Berechtigungen oder offene Ports ermöglichen Lateral-Movement- und Privilege-Escalation-Angriffe.

Rolle der CVE-Datenbank bei der Schwachstellenerkennung

Die CVE-Datenbank (Common Vulnerabilities and Exposures) ist ein öffentliches Verzeichnis bekannter Sicherheitslücken. Container Security Scanner gleichen Komponenten eines Container-Images automatisch mit dieser Datenbank ab, um bekannte Schwachstellen zu erkennen. Findet der Scanner eine Übereinstimmung, markiert er das Problem zur Überprüfung und Behebung.

Ein Beispiel für ein gehostetes Container-Image mit mehreren Schwachstellen.

Deshalb ist die CVE-Datenbank eine kritische Komponente der Schwachstellenerkennung – sie liefert eine umfassende und kontinuierlich aktualisierte Liste bekannter Sicherheitsprobleme.

Durch diese Referenz können Entwickler die Sicherheitslage ihrer Container-Images besser beurteilen. Security-Teams können Schwachstellen anschließend nach Art und Schweregrad priorisieren, um die wichtigsten Risiken zuerst zu beheben.

Bedeutung der Priorisierung

Container Security Scanning-Lösungen analysieren Container-Images auch auf exponierte Secrets wie hartcodierte Passwörter oder API-Keys. Die weitverbreitete Exposition von Secrets – 61 % der Unternehmen sind betroffen, mit Secrets in öffentlichen Repositories – macht Credential-Scanning unverzichtbar. Exponierte sensible Daten ermöglichen Angreifern unbefugten Zugriff.

Hier spielt Priorisierung eine Schlüsselrolle. Mit Container Security Scanning identifizieren Sie Risiken frühzeitig und priorisieren Schwachstellen anhand ihres tatsächlichen Risikos für Ihre Umgebung. Vulnerability-Management-Tools wie Wiz helfen Teams dabei, Risiken kontextbasiert zu priorisieren, sodass sie zuerst die Schwachstellen beheben, die den größten Einfluss auf die Sicherheit haben.

Funktionsweise von Container-Security-Scannern

Container-Scanner sind spezialisierte Tools, die verschiedene Analyseverfahren einsetzen, um Schwachstellen aufzudecken. Wenn Sie verstehen, wie diese Tools funktionieren, können Sie sie effektiver in Ihre CI/CD-Pipelines integrieren.

Hier eine Aufschlüsselung der Schlüsselprozesse beim Container-Security-Scanning:

Image-Abruf und Dekomposition

Image-Analyse beginnt mit dem Abrufen von Container-Images aus Registries und dem Aufbrechen in ihre konstituierenden Ebenen zur systematischen Untersuchung. Diese Dekomposition ermöglicht es Scannern, Schwachstellen innerhalb spezifischer Komponenten zu isolieren.

Der Prozess untersucht jede Ebene unabhängig – Basis-Images, Anwendungscode und Abhängigkeiten. So lassen sich Sicherheitsprobleme präzise lokalisieren.

Signaturbasiertes vs. verhaltensbasiertes Scanning

Scanning-Techniken fallen generell in zwei Kategorien:

  • Signaturbasiertes Scanning: Diese Methode basiert auf vordefinierten Mustern bekannter Schwachstellen, die Experten als Signaturen bezeichnen. Der Scanner prüft Komponenten in einem Container-Image gegen eine Datenbank dieser Signaturen (wie die CVE-Datenbank). Bei einer Übereinstimmung zeigt der Scanner an, dass die Komponente verwundbar sein könnte.

  • Verhaltensbasiertes Scanning: Anders als signaturbasiertes Scanning sucht verhaltensbasiertes Scanning nicht nach bekannten Mustern. Stattdessen analysiert es das Verhalten von Komponenten, wenn ein Container läuft, und sucht nach anomalen Aktivitäten, die auf ein Sicherheitsproblem hindeuten könnten – wie unerwarteter Netzwerkverkehr oder Prozesse, die nicht laufen sollten.

False Positives und False Negatives

Scanner-Genauigkeit stellt eine fortlaufende Herausforderung dar, da keine Erkennungsmethode perfekte Ergebnisse erzielt. Das Verständnis dieser Einschränkungen hilft Teams, realistische Erwartungen zu setzen.

  • False Positives verschwenden Zeit durch das Markieren nicht existierender Schwachstellen. Das führt zu Alert-Fatigue und reduzierter Team-Effizienz.

  • False Negatives stellen größere Risiken dar. Dabei übersieht der Scanner eine echte Schwachstelle. Dadurch bleiben reale Risiken unentdeckt.

Moderne Scanner verbessern die Genauigkeit durch mehrere Validierungsmethoden. Sie gleichen Erkenntnisse mit mehreren Datenbanken ab, wenden Heuristiken an und nutzen Machine Learning für kontinuierliche Verbesserung. Dieser mehrstufige Ansatz hilft, Erkennungsrate und Genauigkeit zu verbessern. 

Integration in CI/CD-Pipelines für automatisiertes Scanning

Heutige Container-Security-Scanner lassen sich direkt in eure CI/CD-Pipeline integrieren. Mit automatisiertem Scanning betten Sie Sicherheit in jede Phase des Software-Entwicklungslebenszyklus ein. Diese CI/CD-Integration hilft Ihrem DevSecOps-Team, Schwachstellen zu patchen, bevor sie auf den Markt kommen und Kunden sowie Mitarbeiter betreffen.

Automatisierte Scans minimieren auch manuellen Aufwand, beschleunigen Entwicklungs-Workflows und helfen Ihnen, Sicherheit durchzusetzen, ohne die Produktion zu verlangsamen.

Arten von Container-Security-Scanning

Da containerisierte Anwendungen einen vielschichtigen Ansatz für Security-Scanning erfordern, gibt es mehrere Arten, von denen jede verschiedene Aspekte der Container-Sicherheit adressiert. Die wichtigsten Arten von Container Security Scanning sind:

Image-Scanning

Image-Scanning untersucht Container-Images selbst, oft bevor Teams sie deployen. Diese Art des Scannings hat drei Komponenten:

  • Schwachstellen-Scanning für Basis-Images: Viele Teams bauen Container aus Basis-Images, die Schwachstellen enthalten können. Container-Image-Scanning-Tools vergleichen diese Basis-Images mit bekannten Schwachstellen in Datenbanken (wie der CVE-Liste), um sicherzustellen, dass Teams keine veralteten oder kompromittierten Komponenten verwenden.

  • Analyse von Anwendungsabhängigkeiten: Scanner untersuchen die Bibliotheken und Pakete, von denen die Anwendung abhängig ist. Diese Art von Scan analysiert auch die Software Bill of Materials, um veraltete Bibliotheken mit bekannten Schwachstellen zu identifizieren.

  • Infrastructure-as-Code-Scanning (IaC): Dieser Prozess umfasst die Untersuchung von IaC-Dateien wie Dockerfiles, um Konfigurationen zu validieren und potenzielle Fehlkonfigurationen oder eingebettete Secrets zu erkennen. IaC-Scanning hilft Security-Teams auch, Infrastruktur-Provisioning-Skripte zu sichern und Best Practices zu befolgen, um das Deployment verwundbarer Container zu verhindern.

Runtime-Scanning

Security-Teams führen auch Runtime-Scanning durch, während ein Container aktiv läuft. Diese Art von Scan zielt auf folgende Bereiche ab:

  • Systemaufrufe und Prozesse: Runtime-Scanner beobachten Systemaufrufe laufender Container. Ein Container, der versucht, einen unerwarteten Systemaufruf zu machen, kann auf bösartige Aktivitäten oder sogar Container-Escape-Schwachstellen hinweisen.

  • Anomales Verhalten in Echtzeit: Diese Scans identifizieren Abweichungen vom regulären Betrieb, die auf einen Einbruch hindeuten könnten. Anomales Verhalten umfasst Spitzen im Netzwerkverkehr, unbefugte Änderungen an Dateien oder Konfigurationen oder Ressourcenspitzen, die typisch für eine Cryptojacking-Kampagne sind.

Wiz-Schwachstellen-Details für Log4j, mit Laufzeit-Validierung und Anleitungen zur Fehlerbehebung.

Praxisbeispiel: Im September 2024 fand Wiz Research CVE-2024-0132, eine Container-Escape-Schwachstelle im NVIDIA Container Toolkit. Diese Schwachstelle ermöglichte es einem bösartigen Container-Image, auf das Root-Dateisystem des Hosts zuzugreifen. Kontinuierliche Vulnerability-Management-Praktiken wie Runtime-Scanning halfen Wiz, diese Probleme zu verhindern, indem Container konsequent überprüft und analysiert wurden.

Compliance-Scanning

Compliance-Scanning stellt sicher, dass Container die folgenden Sicherheitsstandards und Best Practices erfüllen:

  • Industriestandards: Compliance-Scanner verifizieren Container-Konfigurationen gegen etablierte Industriestandards wie CIS und NIST. Diese Prüfungen helfen Ihnen zu verifizieren, dass Container sicher und gemäß anerkannter Richtlinien konfiguriert sind.

  • Benutzerdefinierte Compliance-Prüfungen: Unternehmen haben oft einzigartige Compliance-Anforderungen. Deshalb sollten Teams Scanner konfigurieren, um auf spezifische Kontrollen und Richtlinien zu prüfen, die mit internen Sicherheitsprotokollen übereinstimmen.

Das Zusammenspiel aus Image-, Runtime- und Compliance-Scanning bietet eine umfassende Sicherheitseinstellung, die Schwachstellen über den gesamten Software-Entwicklungslebenszyklus hinweg adressiert – von der Entwicklung bis zum Deployment und Betrieb. Dieser ganzheitliche Ansatz gewährleistet Sicherheit über den gesamten Container-Lebenszyklus.

Ein Beispiel für ein Compliance-Dashboard, das den aktuellen Compliance-Status im Vergleich zu einem CIS-Framework anzeigt.

IaC-Scanning

IaC-Scanning analysiert Ressourcen wie Kubernetes-Manifeste auf Fehlkonfigurationen, die die Sicherheit vor dem Deployment bedrohen könnten. Wenn Ihr Team Infrastruktur auf Code-Ebene überprüft, kann es so Risiken identifizieren, wie zu weitreichende Berechtigungen und unsichere Standardeinstellungen.

Durch die frühzeitige Erkennung dieser Probleme bauen und pflegen Sie eine Cloud-Umgebung vom Start der Produktion an über ihren gesamten Lebenszyklus hinweg. Das unterstützt eine Shift-Left-Richtlinie, die Sicherheit zum Kern von Entwicklung und Betrieb für eine sicherere Cloud-Infrastruktur macht.

Best Practices für Container-Security-Scanning

Strategische Implementierung transformiert Container-Security-Scanning von einer punktuellen Prüfung in umfassenden Lebenszyklus-Schutz. Erfolg erfordert die Integration von Sicherheitsprinzipien in den gesamten Container-Workflow.

Diese vier Praktiken gewährleisten die größtmögliche Sicherheit:

1. Früh im Entwicklungslebenszyklus scannen

Wer Sicherheitsprüfungen spät im Entwicklungszyklus durchführt, produziert kostspielige und zeitaufwändige Fixes. Ein Shift-Left-Ansatz hingegen fördert die Integration von Sicherheitsprozessen in den frühesten Phasen des Software-Entwicklungslebenszyklus. So identifizieren und beheben Sie Schwachstellen früher. Das spart Zeit und Geld, reduziert das Risiko von Sicherheitsvorfällen nach dem Deployment und fördert eine Security-First-Mentalität unter Entwicklern.

Hier ist eine Beispielintegration für einen Security-Scanner:

# Beispielintegration eines Security-Scanners in GitLab CI
stages:
  - build
  - scan
  - deploy

build:
 stage: build
 script:
 - echo "Building the container image..."
 - docker build -t my-image.
security_scan:
 stage: scan
 script:
 - echo "Scanning the container image for vulnerabilities..."
 - trivy image my-image
 allow_failure: true
deploy:
 stage: deploy
 script:
 - echo "Deploying the container image..."
 - docker push my-repo/my-image:latest

2. Kontinuierliches Scanning einführen

Kontinuierliches Scanning erhält Transparenz in der Container-Sicherheit, indem es Images und laufende Container regelmäßig auf neu entdeckte Bedrohungen analysiert. Dieser Ansatz stellt sicher, dass Schwachstellen in Echtzeit erkannt und offengelegt werden.

Neue Schwachstellen werden täglich entdeckt. Ein einmaliger Scan reicht deshalb nicht aus.

Kontinuierliches Scanning stellt sicher, dass Container regelmäßig auf neue Risiken überprüft werden.

Hier ist ein Beispiel-Cron-Job-Eintrag für tägliche Scans:

# Beispiel-Cron-Job-Eintrag für einen täglichen Scan eines Container-Images
0 2 * * * trivy image my-repo/my-image:latest >> /var/log/trivy_scan.log

3. Schwachstellen-Alerts priorisieren

Nicht alle Schwachstellen stellen das gleiche Risiko dar – und können auch nicht alle gleichzeitig behoben werden. Deshalb ist es wichtig, Ressourcen effizient einzusetzen.

Teams sollten Sicherheitsprobleme nach Schweregrad und tatsächlicher Ausnutzbarkeit priorisieren. So investieren Sie in langfristige Sicherheit.

Hier ist ein Beispiel, wie Sie Schwachstellen priorisieren können:

# Pseudocode für die Verarbeitung und Priorisierung von Schwachstellen
for vulnerability in scan_results:
    if vulnerability.severity == 'CRITICAL' and is_exploitable(environment):
        raise_alert(vulnerability)
    elif vulnerability.severity in ['HIGH', 'MEDIUM'] and affects_production_code():
        schedule_for_remediation(vulnerability)

4. Zusammenarbeit zwischen DevOps- und Security-Teams fördern

Historisch bestand eine Kluft zwischen DevOps- und Security-Teams – Wenn aber beide Teams Verantwortung für Sicherheit übernehmen, entsteht eine stärkere Sicherheitskultur im gesamten Entwicklungsprozess.

Hier ist ein Beispiel eines Slack-Benachrichtigungsbefehls für eine Schwachstelle:

# Beispiel-Slack-Benachrichtigungsbefehl für eine gefundene Schwachstelle
curl -X POST -H 'Content-type: application/json' --data '{"text":"Eine kritische Schwachstelle wurde im letzten Scan gefunden. Team-Zusammenarbeit ist für sofortiges Handeln erforderlich."}' https://hooks.slack.com/services/T00000000/B00000000/XXXXX

Container-Scanning mit Wiz intelligenter und sicherer machen

Container entwickeln sich naturgemäß ständig innerhalb von IT-Infrastrukturen weiter – und mit dieser Dynamik kommt eine sich ständig verändernde Bedrohungslandschaft. Da Angreifer kontinuierlich neue Strategien entwickeln, um Schwachstellen in Container-Umgebungen auszunutzen, benötigen Sie eine Lösung, die sowohl umfassend als auch adaptiv ist.

Hier kommt Wiz for Containers ins Spiel.

Wiz bietet eine Plattform, die Container-Sicherheit über den gesamten Software-Lebenszyklus hinweg sichtbar macht. Mit unserer umfassenden Sicherheitslösung gewinnen Sie einen ganzheitlichen Blick auf die Container-Sicherheit – Erkenntnisse sind leicht zugänglich und umsetzbar. Zusätzlich zum Scannen von Containern vom Build bis zur Runtime bietet Wiz auch gesicherte Container-Images mit WizOS. Diese Images werden kontinuierlich mit nahezu null CVEs gepflegt, sodass Entwickler sicher starten und sicher bleiben können.

Bereit, aus erster Hand zu erleben, wie Wiz Ihre Sicherheit transformiert und Ihre Container sicher hält? Melden Sie sich für eine kostenlose Wiz-Container-Security-Demo an und erkunden Sie WizOS noch heute!

Häufig gestellte Fragen zu Container-Security-Scanning