Container-Sicherheit
Was ist Container-Sicherheit?
Container-SicherheitDie Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
Container-Sicherheit deckt den gesamten Lebenszyklus OCI-kompatibler Container (Docker, containerd, CRI-O) ab. Beim Build scannen Teams Images auf CVEs und eingebettete Secrets, signieren sie mit Sigstore/Cosign und erzwingen minimale Base-Images. Bei der Verteilung werden Registries durch authentifizierten Zugriff und Signaturprüfung geschützt. Zur Laufzeit reduzieren Host-Hardening, Namespace-/cgroup-Isolation, seccomp, AppArmor und read-only Dateisysteme die Angriffsfläche; Admission Controller und eBPF-Sensoren erzwingen Richtlinien und erkennen Anomalien. Typische Risiken: privilegierte Container, hostPath-Mounts, verwundbare Base-Layer, geleakte Credentials und Container-Escapes über Kernel-Exploits.
● Beispiele
- 01
Trivy oder Grype scannen Images in CI; Kyverno oder OPA Gatekeeper lehnen privilegierte Pods ab.
- 02
Falco erkennt eine Shell, die in einem Produktions-Container gestartet wird.
● Häufige Fragen
Was ist Container-Sicherheit?
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Container-Sicherheit?
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.
Wie schützt man sich gegen Container-Sicherheit?
Schutzmaßnahmen gegen Container-Sicherheit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Container-Sicherheit?
Übliche alternative Bezeichnungen: Docker-Sicherheit, OCI-Container-Sicherheit.