Container-Sicherheit: Open-Source-Tools nach Anwendungsfall

Container-Sicherheit: Eine kurze Auffrischung

Container-Sicherheit schützt containerisierte Anwendungen vor potenziellen Schwachstellen – durch den Einsatz von Security-Tools und Best Practices. Mit dem Wachstum cloud-nativer Anwendungen ist die Zahl der damit verbundenen Schwachstellen deutlich gestiegen. Da Container die Grundbausteine dieser Anwendungen bilden, hat Container-Sicherheit eine zentrale Bedeutung erlangt.

Container Security Best Practices [Cheat Sheet]

This 9-page cheat sheet delivers actionable best practices with code examples, diagrams, and a curated list of top open-source tools. It also features environment-specific guidance to ensure your workflow is optimized for any setup.

Ihre geschäftliche E-Mail-Adresse hier

Download

Organisationen reagieren darauf, indem sie ihre Sicherheitslage durch ein Zusammenspiel von Tools und Best Practices stärken.

Das Container-Bedrohungsmodell

Ein Bedrohungsmodell identifiziert potenzielle Bedrohungen und definiert geeignete Gegenmaßnahmen. Bei Containern deckt kein einzelnes Modell alle potenziellen Bedrohungen ab – es hängt von eurer spezifischen Umgebung und den eingesetzten Anwendungen ab. Dennoch lässt sich ein Bedrohungsmodell erstellen, indem ihr die häufigsten Schwachstellen identifiziert.

Abbildung 2 zeigt gängige Angriffsvektoren für containerisierte Anwendungen: anfälliger Code, kompromittierte Container-Images, schlecht konfigurierte Runtime oder Orchestratoren, Offenlegung von Secrets, unsichere Netzwerkkonfigurationen und Container-Escape.

Wichtig: Container-Plattformen müssen in der Regel aktiv konfiguriert werden, um Best Practices für Security zu erfüllen. Bei jeder Einrichtung einer Container-Umgebung solltet ihr also zuerst die notwendigen Sicherheitsmaßnahmen aktivieren.

Optionen für Container-Sicherheit

Standardmäßige Sicherheitsmaßnahmen in Container-Plattformen bieten nur grundlegenden Schutz. Viele Organisationen müssen sie daher mit zusätzlichen externen Tools für spezialisierte Anforderungen wie Compliance oder Runtime-Transparenz erweitern. 

Unter den verfügbaren Security-Tools sind Open-Source-Tools weit verbreitet. Die Gründe: mehr Transparenz, Kosteneffizienz und die Möglichkeit zur Anpassung.

Wie im obigen Diagramm zu sehen ist, lassen sich Open-Source-Tools basierend auf dem Container-Bedrohungsmodell in acht Gruppen einteilen. Die folgenden Abschnitte stellen die wichtigsten Tools je Kategorie vor. Beachtet jedoch: Die aufgeführten Tools sind oft Mehrzweck-Tools und bieten Funktionen für mehrere Kategorien der Container-Sicherheit.

Hinweis: Wir behandeln hier nur aktive Open-Source-Projekte. Einige populäre Tools werden nicht mehr gepflegt oder aktiv entwickelt (z. B. Anchore Engine, kube-hunter).

Image-Scanning und Schwachstellenbewertung

Diese Container-Security-Lösungen untersuchen Container-Images und identifizieren bekannte Schwachstellen. 

Clair

Clair scannt Container-Images auf bekannte Schwachstellen aus Datenbanken wie dem Ubuntu CVE Tracker und der CVE-Datenbank (Common Vulnerabilities and Exposures). Ein gängiger Ansatz beim Container-Image-Scanning: Images direkt in Registries (z. B. Docker Hub) scannen. Das bringt jedoch Einschränkungen mit sich. Bei Docker Hub etwa ist das Scannen derzeit nur in privaten Repositorys verfügbar.

Clair löst dieses Problem, indem es sowohl lokale Image-Scans als auch gezielte Scans für Images in Registries ermöglicht. Lokales Scannen ist besonders in CI/CD-Pipelines hilfreich – Ihr könnt das Image entweder in die Registry pushen oder den Build abbrechen. Die gezielte Methode scannt Images direkt in Registries vor dem Pull. Das erfordert eine Integration von Clair und Docker Hub, die sich mit dem Tool Klar einfach umsetzen lässt.

Trivy

Trivy punktet mit breiter Abdeckung beim Container-Security-Scanning: Container-Images, Dateisysteme, Git-Repositories, virtuelle Maschinen und Cloud-Dienste. Trivy bietet außerdem Konfigurations-Audits und Compliance-Scans.

Trivy hat sich bei Teams durchgesetzt, weil es viele Funktionen bietet und trotzdem einfach zu bedienen ist – keine umfangreiche Konfiguration nötig. Entwickelt wurde es von Aqua Security, einem Unternehmen für cloud-native Security-Tools mit beeindruckenden 202 Open-Source-Repositories auf GitHub.

See Wiz Container Security in Action

Identify and prioritize risks across containers, Kubernetes, and cloud environments with Wiz.

Geschäftliche E-Mail-Adresse*

Vorname*

Nachname*

Land

Telefonnummer*

Unternehmen*

Ich möchte über Produktneuheiten, Branchennachrichten und Veranstaltungen von Wiz auf dem Laufenden gehalten werden (Sie können sich jederzeit abmelden)

Abonnieren Sie die Wiz-Blog-Digest-E-Mails

Senden

Informationen darüber, wie Wiz mit Ihren personenbezogenen Daten umgeht, finden Sie in unserer Datenschutzerklärung.

Ihre geschäftliche E-Mail-Adresse hier

Demo anfordern

Grype und Syft

Grype und Syft wurden von Anchore für zwei unterschiedliche Zwecke entwickelt. Grype scannt primär Container-Images und Dateisysteme. Es unterstützt auch das Scannen von Software Bills of Materials (SBOMs). Eine SBOM liefert eine strukturierte Übersicht aller Komponenten, Bibliotheken und Abhängigkeiten.

Syft hingegen generiert SBOMs statt direkt zu scannen. Diese SBOMs helfen dabei, betroffene Komponenten in der Software zu identifizieren und unterstützen so das Schwachstellenmanagement.

Wiz Akademie

8 Container Security Best Practices

Mehr lesen

Konfiguration und Compliance

Konfigurations- und Compliance-Tools stellen sicher, dass Container und Container-Orchestrierungssysteme wie Kubernetes korrekt konfiguriert sind und Best Practices für Security sowie regulatorische Standards erfüllen.

Kube-bench

Kube-bench, ein weiteres Open-Source-Tool von Aqua Security, prüft die Sicherheit eurer Kubernetes-Cluster anhand der etablierten CIS-Kubernetes-Benchmarks. Nach Abschluss der Prüfungen erhaltet ihr ein klares Ergebnis im Format „Pass" oder „Fail" (Abbildung 4).

Hadolint

Hadolint ist ein Dockerfile-Linter, der Teams dabei hilft, Best Practices bei der Erstellung von Container-Images konsequent einzuhalten. Die zugrunde liegenden Regeln basieren auf Community-Empfehlungen und praktischer Erfahrung.

Richtlinien-Management und -Durchsetzung

Tools für Richtlinien-Management und -Durchsetzung erstellen, verwalten und setzen Sicherheitsrichtlinien in containerisierten Umgebungen durch. Sie automatisieren Governance und stellen sicher, dass Sicherheitsregeln konsequent angewendet werden.

Kyverno

Kyverno wurde speziell für Kubernetes entwickelt, einen der am weitesten verbreiteten Container-Orchestratoren. Es arbeitet primär als Policy-Engine mit Richtlinien in YAML und stellt sicher, dass Container und Kubernetes-Ressourcen die Sicherheits-, Compliance- und Betriebsstandards einer Organisation erfüllen.

Open Policy Agent (OPA)

OPA ist eine universelle Policy-Engine. Sie nutzt die deklarative Sprache Rego und bietet Flexibilität für komplexe Richtlinien über verschiedene Systeme hinweg. Beachtet: Richtlinien müssen in der deklarativen Hochsprache Rego geschrieben werden.

Kubernetes Security Best Practices [Cheat Sheet]

This cheat sheet goes beyond the basics and covers security best practices for Kubernetes pods, components, and network security.

Ihre geschäftliche E-Mail-Adresse hier

Download

Secrets-Management

Tools für das Secrets-Management speichern sensible Informationen (z. B. Passwörter, Tokens, SSH-Schlüssel, Zertifikate) sicher und kontrollieren den Zugriff darauf.

Hashicorp Vault

Hashicorp Vault gehört zu den vertrauenswürdigsten Open-Source-Tools mit über 500 Millionen Downloads und rund 30.000 Sternen auf GitHub. Vault bietet eine zentrale Plattform für die sichere Speicherung und Verwaltung sensibler Daten. Zusätzlich unterstützt es Compliance-Anforderungen durch detaillierte Audit-Logs. Die Enterprise-Version für den kommerziellen Einsatz ist noch sicherer und bietet einfache Deployments, Disaster Recovery und Namespace-Unterstützung.

Netzwerksicherheit

Netzwerksicherheits-Tools schützen die Kommunikation zwischen Containern und Diensten. Sie setzen Netzwerkrichtlinien durch und ermöglichen Funktionen wie Segmentierung, Firewalling und Traffic-Kontrolle.

Project Calico

Die Open-Source-Version von Calico bietet grundlegende Netzwerk- und Netzwerksicherheitsfunktionen für containerisierte Umgebungen, insbesondere Kubernetes. Dazu gehören: Durchsetzung von Netzwerkrichtlinien, IP-Adressverwaltung (IPAM), Egress-Kontrolle und Namespace-Segregation.

Cilium

Cilium ist eine umfassende Netzwerklösung mit erweiterten Funktionen für Sicherheit, Observability und Service-Mesh. Es basiert auf dem extended Berkeley Packet Filter (eBPF), einer Linux-Kernel-Technologie für Programmierbarkeit auf Betriebssystemebene, und ermöglicht tiefe Einblicke in Netzwerk- und Systemaktivitäten. Für kommerzielle Projekte mit Support-Bedarf gibt es Cilium Enterprise.

Runtime-Sicherheit und Intrusion Detection

Runtime-Sicherheit und Intrusion-Detection-Tools überwachen und schützen containerisierte Apps in Echtzeit.

Falco

Falco überwacht und deckt Bedrohungen in Cloud-Ökosystemen auf. Es wird primär für Intrusion Detection, Compliance-Sicherung und Verhaltensüberwachung containerisierter Apps eingesetzt.

Security-Orchestrierung

Security-Orchestrierungs-Tools automatisieren die Integration verschiedener Security-Tools und -Prozesse. Sie koordinieren und optimieren Security-Aufgaben, verkürzen die Reaktionszeiten bei Incidents und ermöglichen anspruchsvollere Security-Analysen und -Berichte.

Harbor

Harbor ist eine Open-Source-Container-Image-Registry, ursprünglich von VMware entwickelt und jetzt Teil der Cloud Native Computing Foundation (CNCF). Sie erweitert die Standardfunktionen einer Container-Registry um Sicherheit, Compliance und Management.

Harbor ergänzt Standard-Container-Registry-Funktionen um zusätzliche Sicherheits- und Compliance-Funktionen wie RBAC, Schwachstellen-Scanning und Image-Signierung.

Weitere Security-Tools

Nicht alle Tools lassen sich sauber in die obigen sieben Kategorien einordnen. Kubesec, Notary, Greenbone OpenVAS, Grafeas und Wazuh bieten jeweils eigene Funktionen oder bedienen spezifische Nischen im Bereich der Container-Sicherheit.

How Tide Gained Full Visibility into Their Containerized AWS Environments

Learn More

Der Wiz-Ansatz für Container-Sicherheit

Open-Source-Tools bieten leistungsstarke Möglichkeiten, um Schwachstellen zu identifizieren und Sicherheitsrichtlinien durchzusetzen. Sie lösen spezifische Probleme sehr gut, decken jedoch meist nur einzelne Bereiche ab.

Bei Wiz sind wir überzeugt: Der effektivste Schutz entsteht durch die Kombination aus Open-Source-Tools und einer integrierten Sicherheitsplattform.

Die Wiz-Plattform integriert sich mit bestehenden Tools, zentralisiert Ergebnisse und stellt sie in einen risikobasierten Kontext. So könnt ihr Schwachstellen priorisieren und gezielt beheben.

Wiz analysiert kontinuierlich Konfigurationen, Images und Runtime-Aktivitäten – damit erkennt Ihr Risiken frühzeitig und haltet Compliance dauerhaft ein.

Demo vereinbaren und mit Wiz Container- und Cloud-Sicherheit erleben – vom Build bis zur Runtime.

Verwandte Tool-Übersichten

• 11 native AWS-Security-Tools

• Die besten IaC-Tools nach Anwendungsfall

• 11 Open-Source-Tools für Kubernetes-Sicherheit

• OSS-Schwachstellen-Scanner nach Kategorie

• 10 Cloud-Compliance-Tools