Die neuesten Updates des NIST zur Sicherheit von Container-Images verstehen
Die Notwendigkeit der Containersicherheit: Risiken, Herausforderungen und NIST-Leitfaden
Organisationen setzen auf Container, um Anwendungen bereitzustellen, da diese eine Reihe von Vorteilen bieten, wie etwa Portabilität, Skalierbarkeit, Effizienz und Ressourcenauslastung. Gartner prognostiziert, dass bis 2027 mehr als 90 % der Unternehmen containerisierte Anwendungen einsetzen werden.
Organisationen müssen sich jedoch darüber im Klaren sein, dass der Betrieb von Containern mit einzigartigen Sicherheitsherausforderungen verbunden ist: Fehlkonfigurationen in Container-Clustern, Bedrohungen zur Laufzeit, mangelnde Transparenz, fehlende Governance und Compliance-Risiken.
Während immer mehr Unternehmen Anwendungen in Containern betreiben, stehen viele noch am Anfang ihrer Entwicklung und verstehen die Risiken möglicherweise nicht oder wissen nicht, wie sie eine Sicherheitsplattform für Container, Anwendungen und die Software-Lieferkette aufbauen sollen.
Das National Institute of Standards and Technology (NIST) bietet eine Vielzahl von Frameworks zur allgemeinen Orientierung für die Verbesserung der Cybersicherheitshygiene sowie Sonderpublikationen mit Leitlinien für spezifische Technologien an. Diese Frameworks und Publikationen werden regelmäßig unter Einbeziehung von Sicherheitsexperten und der Öffentlichkeit überprüft und aktualisiert, um sicherzustellen, dass sie der aktuellen Bedrohungslage gerecht werden.
NIST SP 800-161 Revision 1: Ein genauerer Blick
Die NIST Special Publication 800-161 Revision 1, „Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations“, welche die Grundlage für umfassende Sicherheitspraktiken in der Lieferkette schuf, wurde 2022 überarbeitet, um den neuen Sicherheitsstandards der Executive Order (EO) 14028 aus dem Jahr 2021 zur Verbesserung der Cybersicherheitslage des Landes zu entsprechen.
Die überarbeitete NIST SP integriert das Risikomanagement für die Cybersicherheits-Lieferkette (C-SCRM) und das Risikomanagement, bietet Leitlinien für die Entwicklung von Plänen zur Umsetzung der C-SCRM-Strategie und legt C-SCRM-Richtlinien fest. Die Richtlinien behandeln potenzielle Bedrohungen für Informations- und Kommunikationstechnologien, wobei der Schwerpunkt auf Bereichen wie mangelhaftem Konfigurationsmanagement, Schwachstellen im Code sowie Autorisierungs- und Authentifizierungspraktiken liegt.
Ein Bereich der überarbeiteten Richtlinien betrifft beispielsweise die Überwachung und das Scannen von Schwachstellen. Das Monitoring umfasst Entwickler, Lieferanten und alle Dienstleister als Teil der Lieferkette der Organisation und erfordert den Einsatz von Datenerfassungstools für eine kontinuierliche Sichtbarkeit und ein Bewusstsein für mögliche Schwachstellen.
NIST SP 800-161r1 erkennt Open-Source-Software ebenfalls als eine kritische Komponente der Lieferkette an und betont dabei die Bedeutung von Transparenz, Code-Reviews und Community-Engagement beim Management der damit verbundenen Risiken. Organisationen werden dazu ermutigt, einen risikobasierten Ansatz zu verfolgen und dabei Bewertungen sowie Maßnahmen zur Risikominderung für Open-Source-Komponenten basierend auf deren Kritikalität und potenziellen Auswirkungen zu priorisieren. Durch die Berücksichtigung von Open-Source-Software innerhalb eines breiteren C-SCRM-Rahmenwerks bietet die Publikation Hilfestellungen zur Minderung von Schwachstellen und zur Gewährleistung der Sicherheit und Integrität von Softwaresystemen.
Integration von NIST-Richtlinien in Container-Sicherheitsstrategien
Die NIST-Richtlinien zu Containersicherheitsstrategien – 800-190 und 8176 – wurden 2017 veröffentlicht, und derzeit gibt es keine Pläne für eine Aktualisierung. Jedoch können die in diesen Leitfäden dargelegten Strategien – eine für die allgemeine Containersicherheit und die andere für Container in einer Linux-Umgebung – zusammen mit den Leitfäden anderer NIST-Frameworks umgesetzt werden.
Zum Beispiel betont 800-190 den Einsatz containerspezifischer Tools für Images, um Kompromittierungen zu verhindern, aber das Schwachstellenmanagement für diese Tools würde den in 800-161 Rev. 1 dargelegten Richtlinien folgen. Andererseits geht die NIST Special Publication 800-53 Revision 5, die die Sicherheit von Informationssystemen behandelt, noch detaillierter auf Schwachstellen ein und skizziert Ansätze zur Verbesserung des Konfigurationsmanagements.
Organisationen waren bei der Anwendung von NIST-Standards für eine verbesserte Container- und Image-Sicherheit erfolgreich. Zum Beispiel nutzt ein Sicherheitsunternehmen den NIST-Standard, „um die Containersicherheit zu bewerten und Kontrollschwächen zu identifizieren“. Mit den Richtlinien ist das Unternehmen besser in der Lage, die Sicherheitsarchitektur zu überprüfen, Schwachstellen zu identifizieren und die beste Container-Sicherheitslösung für seine Kunden zu entwickeln.
Herausforderungen bewältigen und zukünftige Entwicklungen antizipieren
Die Richtlinien zur Umsetzung einer stärkeren Container-Sicherheits-Hygiene zu haben, ist der erste Schritt. Leider ist das oft leichter gesagt als getan. Sicherheits- und IT-Teams stellen möglicherweise fest, dass ihnen die richtige Technologie und die Tools fehlen, um das NIST-Framework umzusetzen.
Darüber hinaus deckte ein aktueller Bericht eine tiefgreifende Diskrepanz zwischen der Art und Weise auf, wie CISOs und Entwickler über Container-Sicherheit denken. Budgets sind ein weiteres Problem und können die Fähigkeit der Organisation einschränken, die notwendigen Systeme zu erwerben oder qualifizierte Fachkräfte einzustellen. Um diese Herausforderungen zu bewältigen, können Organisationen Folgendes tun:
Führen Sie eine Bewertung des Cybersicherheits-Reifegrades und der Systeme der Organisation durch und erstellen Sie eine Standardrichtlinie basierend auf diesen Anforderungen.
Erstellen Sie einen Plan, der Prioritäten und gewünschte Ergebnisse auflistet.
Sichern Sie sich die Unterstützung der Führungsebene und des Aufsichtsrats.
Unternehmensweite Sensibilisierungsschulung
Es gibt unmittelbare Pläne, die Container-Sicherheitsrichtlinien zu aktualisieren. Eine weitere NIST-Sonderveröffentlichung – 800-53 Revision 5 – ist erst wenige Jahre alt und technologieneutral, enthält jedoch viele Kontrollen für die Software-Lieferkette. Und da das NIST beginnt, sich mit KI-Themen zu befassen, ist es wahrscheinlich, dass auch Fragen zu Containern und Images einbezogen werden.
Verbesserung der Sicherheit durch die Expertise des NIST
Da die Bedrohungslandschaft immer komplexer wird, suchen Bedrohungsakteure nach jeder Möglichkeit, in Ihre Anwendungen einzudringen. Zunehmend nutzen sie Schwachstellen in der gesamten Software-Lieferkette und machen sich die mangelnde Transparenz in Containern als Einfallstor zunutze. Durch die Implementierung der NIST-Frameworks und -Leitfäden ist Ihre Organisation besser darauf vorbereitet, die Cybersicherheitslandschaft effektiver zu navigieren.
NIST-Ressourcen sind kostenlos und online für jeden frei zugänglich, der seine allgemeinen Cybersicherheitsstandards verbessern möchte. Möchten Sie sicherstellen, dass Ihre Container-Images sicher und compliant sind? Chainguard Images eliminieren die Schwachstellen, die Ihre Compliance-Zertifizierungen wiederholt beeinträchtigen. Kontaktieren Sie uns, um zu erfahren, wie wir Sie beim Erreichen Ihrer Compliance- und Sicherheitsziele unterstützen können.
Share this article
Verwandte Artikel
- Sicherheit
Chainguard artifacts safe from npm supply chain attack targeting SAP developer dependencies with 2.25M+ monthly downloads
Quincy Castro, CISO
- Sicherheit
CMMC Phase 2, explained: Requirements, deadlines, and who’s affected
Philip Brooks, Senior Enterprise Solutions Engineer
- Sicherheit
Mythos pulls zero-days forward. Here's what you need to know now.
Patrick Smyth, Principal Developer Relations Engineer
- Sicherheit
Chainguard customers safe from elementary-data compromise
Quincy Castro, CISO
- Sicherheit
Chainguard customers safe from new npm worm and xinference supply chain attack
Quincy Castro, CISO
- Sicherheit
2026: The year of AI-assisted attacks
Patrick Smyth, Principal Developer Relations Engineer