:quality(80)/p7i.vogel.de/wcms/8d/40/8d402fc5b4a2dfd29a57f0d589eccee6/0117970780.jpeg "Wer sind die besten CloudComputing-Anbieter 2024? Wählen Sie jetzt Ihre Favoriten! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/86/de860f6849e0da6d124b6733fbae9f2f/0117807293.jpeg "Barrierefreie Cloud-Services – eine Einführung in das Thema rund um das Barrierefreiheitsstärkungsgesetz (BFSG), das ab dem 29. Juni 2025 für viele Unternehmen verpflichtend sein wird. (Bild: © Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/b3/8ab361c0aa8f6268832881464f23a529/0117615533.jpeg "Nur 27 Prozent der Frauen im Technologiesektor geben an, dass sie mit ihrer Arbeit sehr zufrieden sind. (Bild: © Angelo/peopleimages.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/0e/890e6d131e5e270b3929be52654aac59/0117400623.jpeg "Augmented Reality Cloud: über die reale Welt gelegter interaktiver und persistenter Digital-Layer. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/fc/00/fc005e1c2afc9b17736f3faa153bb18b/0118248193.jpeg "Das Mini-Textverarbeitungssystem Wordpad wird aus Windows 11 entfernt. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/1e/3e1e9129f6f316127810313866629f4b/0118349768.jpeg "In Vorträgen, Masterclasses sowie fach- und themenspezfischen Sessions zeigten Salesforce und zahlreiche Partner auf der World Tour in München ihre Lösungen rund um die Datenplattform Data Cloud und die Salesforce-KI Einstein. (Bild: tom bauer)")
:quality(80)/p7i.vogel.de/wcms/2c/69/2c695a760168c4e0e6c7d9049ee9fe89/0117558597.jpeg "AIvalley bietet auf seiner Homepage bereits eine Übersicht von Kategorien an, in denen der Besucher einschlägige Tools finden, kann, beispielsweise zu Marketing, Suche oder Prompt Tools. (Bild: AIvalley / Matzer)")
:quality(80)/p7i.vogel.de/wcms/82/6b/826bff9de5a1b1dfbdb65368bd749c16/0117979842.jpeg "Der europäische Datenschutzbeauftragte (EDSB) kritisiert die EU-Kommission und Microsoft für unzureichende Transparenz bei Microsoft 365. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/48/45481ac3f9132860c6e7fe8ca3dc9eca/0117877685.jpeg "Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt a.M. und Gastprofessor an der Riga Graduate School of Law in Lettland. Er ist außerdem Keynotespeaker auf der ISX 2024 und der ISSX 2024. (Bild Prof. Kipker:Urban Zintel Photography)")
:quality(80)/p7i.vogel.de/wcms/95/6b/956b52d940c88ae3dfe4fc843b9a00c4/0118242281.jpeg "Auch in der Landwirtschaft spielt die Cloud eine zunehmend zentrale Rolle, als Cloud-based oder Web-based Agriculture, um die Daten vom Feld zu den Fachapplikationen bringen für bessere Erträge und weniger Ressourcenverbrauch. (Bild: DZMITRY - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/3e/073e404f8e5002a66c7be79447d35baa/0118230109.jpeg "Accenture belegt mehrere Gebäude im Balan Campus der Ideen, nahe dem Münchener Ostbahnhof. Hier befindet sich jetzt auch das neue GenAI Studio. (Bild: Harald Karcher)")
:quality(80)/p7i.vogel.de/wcms/4b/09/4b09502ca9b6d72e29613f04d790d15b/0118163621.jpeg "Intelligente Automatisierung auf hybrider Basis: SS&C hat Blue Prism Next Generation vorgestellt. (Bild: Jorge Franganillo)")
:quality(80)/p7i.vogel.de/wcms/68/fa/68fafb44323faba14b8c9e38da0e2f82/0118294901.jpeg "Grundrechte und Datenschutz auf der einen Seite, Strafverfolgung und Verbrechensbekämpfung auf der anderen – die sogenannte Vorratsdatenspeicherung steht seit Jahren in der Kritik und auch immer wieder vor Gericht – neue Verfahren sollen rechtskonformer werden. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/f2/b4f29c1633b13f14add56082ca41ac08/0118243952.jpeg "Die in diesem Artikel vorgestellten Services haben unterschiedliche Ansätze, bieten aber all jene Funktionen, die es ermöglichen Daten zu teilen, zu speichern und zum Teil auch zu sichern. (Bild: Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/30/ef3067e9c64a4d4a40ad703440bcda2f/0118379750.jpeg "Die US-Regierung darf ausländische Personen wieder gezielt überwachen, auch wenn sie sich außerhalb der USA befinden; Dienstleister elektronischer Kommunikation können gezwungen werden, auch ausländische Daten zur Aufklärung herauszugeben. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/ac/9bacfb11bff6bbc2dcc48d90e1218f99/0117903855.jpeg "Der tia Connector von KGS Software hilft bei der unkomplizierten Überführung von SharePoint-Daten ins virtuelle Archiv. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1d/5f/1d5ff604e768dc07af9d7a5e934aac13/0117587541.jpeg "Data Protection ist eine in Unternehmen oft vernachlässigte Disziplin, dabei aber unheimlich wichtig, um SaaS-Anwendungsdaten zu sichern und auch wiederherstellen zu können. (Bild: duncanandison - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/3d/303dee95ed8a8c2ffe1df16ad1b6f371/0117576672.jpeg "Copilot bietet in Microsoft 365 umfangreiche Möglichkeiten. Dazu gehören auch neue Funktionen in OneDrive, Teams und SharePoint. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/33/17/3317f35e9b99ea1c7ecbbf9aff596ce0/0118057416.jpeg "Die CCX im vergangenen Jahr in Hamburg. Im Herbst findet die CCX Cloud Computing Conference 2024 in gleich drei Städten statt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c2/38/c238637a1b15bd13dea8f74a8949250c/0117793805.jpeg "Die Planat GmbH bietet ERP-Standardsoftware "Made in Germany" für den produzierenden Mittelstand an. (Bild: frei lizenziert: Janno Nivergall )")
:quality(80)/p7i.vogel.de/wcms/50/84/5084cda0b0360ef5888888614c954298/0118198335.jpeg "Deutsche Anwender gelten im NetApp-Report als „KI-Nachzügler“ mit viel Nachholbedarf. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/fb/b3fb9514a1095da0a3587f71cfeb27c3/0117672397.jpeg "Die Celonis Sailfin AR App Suite hilft dank Automatisierung und KI bei der Optimierung der Prozesse in der Debitorenbuchhaltung. (Bild: Celonis)")
Container in Unsicherheit Sind miniaturisierte virtuelle Maschinen die Infrastruktur der Zukunft?
Container-Infrastrukturen sind flexibel, skalierbar und schnell, aber letztlich unsicher. Als Ausweg bietet sich an, sie in besonders leichtgewichtige virtuelle Maschinen zu packen. OpenStack hat hierzu ein Projekt aufgelegt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/f1/64f18cf620acb/stackit-logo.jpeg "stackit-logo (Privat)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/05/66054c7f87e44/emma-logo.png "emma-logo (emma)"){kind=logo}
In den Rechenzentren war die virtuelle Maschine längere Zeit das Maß der Dinge. Nun machen Container diesem virtuellen Konstrukt den Rang streitig. Tatsächlich sprechen einige Vorteile dafür, Container-Infrastrukturen aufzubauen: Schnelligkeit, Flexibilität und einfacheres Management von Abhängigkeiten.
Ein Container greift direkt auf die Container-Engine zu, die auf dem Betriebssystem aufliegt. Ein separater Hypervisor ist unnötig. Jeder Container enthält alles, was eine Software braucht, um zu laufen, also Code, Runtime, Tools und Systembibliotheken. Automatisch werden Abhängigkeiten berücksichtigt. Damit entfallen viele Konfigurationsprobleme, die beim Verschieben virtueller Maschinen auftauchen können.
So weit, so gut. Doch Container haben auch Probleme: So können sie nicht mit persistenten Daten umgehen, dafür sind technische Erweiterungen erforderlich. Und ihre Sicherheit ist geringer als häufig angenommen, denn Host und Container nutzen denselben Betriebssystem-Kernel.
Container bieten Angriffsfläche
Tatsächlich gibt es in Container-Infrastrukturen eine Reihe von Angriffsvektoren (siehe: Abbildung 1). Auf der Veranstaltung „Open Munich“ in diesem Februar zählte Referent Jan Willies von Accenture sie auf.
Beispielsweise können sich Angriffe direkt auf den Container richten (1), es können unautorisierte Netzwerkverbindungen bestehen (2) und die Worker-Knoten, auf denen die Container liegen, können erfolgreich angegriffen werden (3). Angreifer können aber auch direkt Kubernetes attackieren, beispielsweise die Steuerungsschicht (4), die „etcd“-Datenbank, in der sich alle relevanten Daten zum Kubernetes-Clouster befinden (5). Hat jemand entsprechende Zugriffsrechte erschlichen, können unerlaubt Container installiert (6) oder auf Applikationen zugegriffen werden (7).
Dieser Zustand ist naturgemäß unbefriedigend, insbesondere, wenn es sich um geschäftswichtige IT-Umgebungen handelt. Bislang bildet der Container-Cluster in „Kubernetes“/ „Docker“-Umgebungen eine Vertrauensgrenze. „Mit den üblichen Container-Sicherheitsmechanismen sollten Sie allen, die auf denselben Cluster zugreifen, besser vollständig vertrauen!“, fordert Willies.
Doch wann ist das schon der Fall, zumal viele Angriffe auf Unternehmensinfrastrukturen und -daten aus dem Inneren der Firmen kommen statt von außen. So verzeichneten nach dem „Insider Threat Report 2018“ des Marktforschungsunternehmens Crowd Research Partners 53 Prozent der befragten Unternehmen innerhalb der vergangenen zwölf Monate Insider-Attacken.
Sicherheitsfunktionen in Kubernetes-Umgebungen
Dennoch sind Anwender in Kubernetes nicht jedem Angriff schutzlos ausgeliefert. Vielmehr gibt es Abwehr- und Schutzmaßnahmen auf unterschiedlichen Ebenen. So kann man den Zugriff auf das Befehlszeilen-Tool „kubectl“ beschränken, rollenbasierte Zugriffs- und Netzregeln mit einer begrenzten Zahl von Rollentypen – Willies empfiehlt lediglich vier - definieren oder TLS im Bootstrap-Verfahren hochfahren.
Das Dashboard lässt sich deaktivieren, Service-Account-Tokens ebenso. Die Metadaten zu den Knoten können besonders geschützt und Images nach Sicherheitslöchern abgesucht werden. Nötig ist es auch, das Betriebssystem zu minimieren, Kubernetes regelmäßig zu aktualisieren, Management-Rollen auf das Nötigste zu beschränken, Audit-Logs anzufertigen und ausgelieferte Binaries vor der Installation zu überprüfen.
Schließlich sollten Microservices sauber voneinander getrennt werden, um die Wirkung kompromittierter Mikroservices zu limitieren. Dazu sollte jeder Pod eigene Sicherheitsregeln besitzen und Authentisierung sowie Verschlüsselung über ein Service Mesh erfolgen. Sinnvoll ist es, für Services unterschiedliche Namensräume zum Mounten, für das Netz und für Prozesse zu verwenden. Es könnte auch nötig sein, Pods in Sandboxen zu isolieren.
Die einzige Alternative: Abschotten?
Wer wirklich sichergehen soll, sollte Nutzer eines Clusters, die als unsicher eingestuft werden, in einem neuen Cluster unterbringen. Dann könnte am Ende jede Workload ihren Cluster und ihr Management-Team habe. Allerdings dürfte das sehr schnell umständlich und unübersichtlich werden.
Die Frage lautet daher: Gibt es einen Mittelweg zwischen Abschottung im eigenen Cluster und gemeinsamen Clustern mit ihren Sicherheitsrisiken?
Für diese Herausforderung scheint sich gerade ein neues Modell zu etablieren, wobei, wie derzeit üblich, Open-Source-Schmieden und Hyperscaler vorangehen: der Mikro-Container. Ein Beispiel dafür ist das relativ neue Open-Source-Projekt „Kata Containers“ (siehe: Abbildung 2), das seit Mai 2018 in Version 1.0 von Github heruntergeladen werden kann. Inzwischen gibt es Version 1.5, was zeigt, dass hier viel getan wird.
Die OpenStack-Idee: Kata Containers
Kata Containers, ein Projekt im Rahmen von OpenStack, kombiniert die Technologie von „Intel Clear Containers“ und „Hyper run V“. Im Grunde handelt es sich um Einheiten, die sich für den Anwender wie Container anfühlen, aber die Sicherheits- und Isolierungsvorteile virtueller Maschinen bieten.
Das Projekt hat sechs Komponenten: „Agent“, „Runtime“, „Proxy“, „Shim“, „Kernel“ und Paketierung gemäß „QEMU“ (Quick Emulator) 2.11. Letzteres ist eine Virtualisierungssoftware, die das Vorhandensein einer kompletten Computer-Hardware vorspiegelt. Emuliert werden beispielsweise x86, Power PC, ARM und viele andere, so dass eine Software mit QEMU auf einem anderen „Wirtsprozessor“ so läuft wie auf dem emulierten System.
Kata ist zudem kompatibel zu den Standards der Open Container Initiative. Das bedeutet, dass Durchlässigkeit zu Docker und Kubernetes gegeben ist. Die relevante Lizenz ist Apache 2.0.
Die Initiativen der Hyperscaler
Auch die Hyperscaler ergreifen Initiativen in diesem Bereich. So setzt Google mit „Gvisor“ auf eine Technologie, die Container in Sandboxen ausführt, deren Möglichkeit, Systemaufrufe an den Kernel zu senden, beschränkt wird. Bisher wurden auf virtuellen Maschinen unabhängige Gast-Kernel aufgesetzt, auf denen dann die Container mit den Applikationen liefen.
„AWS Firecracker“ schließlich, eine Open-Source-Initiative, die AWS im vergangenen Jahr vorstellte, verwendet einen auf KVM aufsetzenden Host User Space, auf dem „microVMs“ zusammen mit einem speziellen Orchestrator dem „Firecracker Orchestrator“, laufen. In nicht virtualisierten Umgebungen lassen sich die Mikro-VMs innerhalb von Mikrosekunden hoch- und wieder herunterfahren. Pro microVM sind nur 5 MiB (Mebibyte, eine auf exakten Bytes mit 8 Bit und entsprechenden Vielfachen - ohne Rundungsfehler - aufbauende Einheit).
Auf der Firecracker-VM laufen Gastfunktionen, denen nur ein rudimentäres Set an Komponenten angeboten wird: Vernetzungsmöglichkeiten, Block-I/O, ein Timer, der Systemtakt der KVM-Umgebung, eine serielle Konsole und genau die Tasten einer Tastatur, die für einen Reset der VM nötig sind. Das senkt die Angriffsfläche.
Fazit
Angesichts dieser Entwicklungen scheint es nicht zu weit hergeholt, wenn Willies zu dem Schluss kommt: „Virtuelle Maschinen könnten sich als die neuen Container entpuppen.“ Schließlich ist es beinahe die Regel, dass erfolgreiche Technologien aus der Open-Source- und Hyperscaler-Welt schnell den Weg auch in Unternehmensrechenzentren finden – besonders in der Ära der Hybrid Cloud.
* Ariane Rüdiger ist freie Journalistin uns lebt in München.
(ID:45757829)
:quality(80)/p7i.vogel.de/wcms/35/b1/35b1af0a5a6b9ad782d0ccd9f7460cd7/0112557237.jpeg "OpenInfra-Veranstaltungen und -Abeitsgruppen gibt es in vielen Ländern. Auf der Bühne des „OpenInfra Summit“, der Mitte Juni in Vancouver stattgefunden hat, finden sich einige der Organisatoren. (Bild: OpenInfra Foundation)")
:quality(80)/p7i.vogel.de/wcms/65/73/65735165006d087d9a1f01338b76f874/0112020664.jpeg "Ist es der perfekte Match? Unternehmen müssen künftig genauer prüfen, welcher Cloud-Anbieter bzw. -Partner technologisch wie strategisch zu ihnen passt. (Bild: Zeynep - stock.adobe.com)")