Die Funktionen von Kaspersky Container Security

Wie wir Kaspersky Container Security bei Kaspersky einsetzen und warum es für uns viel mehr ist als ein reiner Image-Scanner

Kaspersky Container Security im praktischen Einsatz

Zu den zahlreichen Tools des Kaspersky-Portfolios gehört eine spezielle Plattform für den Schutz von Container-Umgebungen. In diesem Artikel möchte ich jedoch nicht als Vertreter des Herstellers über Kaspersky Container Security (KCS) sprechen, sondern als Mitglied eines Teams, das diese Lösung aktiv und tagtäglich einsetzt. Unser Produktsicherheitsteam ist dafür verantwortlich, im gesamten Unternehmen sichere Entwicklungsprozesse zu etablieren. Wir sind in jeder Phase der Softwareentwicklung dabei, und wir helfen den Produktteams, Sicherheitsprobleme frühzeitig zu erkennen, damit Produkte pünktlich nach Zeitplan veröffentlicht werden können. Dazu haben wir verschiedene Workflows entwickelt, von denen sich einer speziell auf die Container-Sicherheit konzentriert. Und genau dabei setzen wir auf unsere eigene Plattform: Kaspersky Container Security.

Unter Container Security-Lösungen stellt man sich in erster Linie Image-Scanner für die Container-Registry vor. Kaspersky Container Security (KCS) ist jedoch eine umfassende Sicherheitsplattform für Container-Umgebungen und übernimmt aufgrund ihrer Ende-zu-Ende-Integration in den Container-Workflow mehrere Aufgaben. Obwohl KCS natürlich ein Szenario zur Container-Untersuchung enthält (was zweifellos wichtig ist), zeigt unsere Erfahrung, dass sich der wahre Wert von KCS erst dann deutlich zeigt, wenn es an mehreren Stellen im Workflow gleichzeitig integriert wird:

  • Regelmäßige Builds
  • Artefakt-Überprüfung vor der Veröffentlichung oder Bereitstellung
  • Überwachung von Containern, die bereits im Cluster ausgeführt werden

Das Basisszenario: Image-Untersuchungen mit KSC

Dies ist eigentlich ein standardmäßiger Vorgang. KCS untersucht Images auf für Container typische Probleme: bekannte Schwachstellen, Malware, hartcodierte Geheimnisse und fehlerhafte Konfigurationen. Die Untersuchung ergibt jedoch nicht nur ein einzelnes, abstraktes Verdikt. Basierend auf den Ergebnissen berechnet das System eine Risikoeinstufung, die ein klares Bild über die Sicherheitslage des Untersuchungsobjekts liefert. In der Praxis ist dies unheimlich nützlich: Die Teams bekommen nicht nur die Meldung „schlechtes Image“, sondern erfahren ganz genau, worauf das Risiko beruht und was zuerst behoben werden sollte.

Das ist aber längst nicht alles. KCS eignet sich auch für Szenarien, in denen es nicht ausreicht, ein Problem einfach zu finden, sondern wenn das Problem auch mit dem Lebenszyklus des Artefakts verknüpft werden muss. Wenn ein Team Hunderte von Builds verwaltet, ist eine regelmäßige Untersuchung der Registry nicht ausreichend und erfordert fast immer manuelles Eingreifen. Man muss wissen, welche Pipeline das Risiko verursacht hat, welche Richtlinien ausgelöst wurden und wie das weitere Vorgehen aussieht. KCS bietet diese wichtigen Möglichkeiten.

Erweitertes Szenario: CI/CD-Integration

Eine weniger bekannte KCS-Funktion ist die vollständige Untersuchung innerhalb von CI/CD-Pipelines. Für unser Team ist dies die effektivste Methode zur Nutzung von KCS. Die Logik ist simpel: Der Scanner wird in die Pipeline integriert, und die Untersuchungsergebnisse erscheinen direkt in den Ausführungsprotokollen. Außerdem werden sie an die zentrale Konsole der Lösung gesendet und dort in einem dedizierten CI/CD-Abschnitt protokolliert. Dabei werden die Ergebnisse mit dem Artefaktnamen, der Untersuchungszeit, der Pipeline und dem Schweregrad verknüpft.

In einer CI/CD-Umgebung können Images aus tar-Archiven oder direkt aus Git-Repositorys untersucht werden. Standardmäßig werden GitLab, Jenkins, TeamCity und GitHub Actions unterstützt. KCS lässt sich aber praktisch in jeden Pipeline-Orchestrator integrieren.

Ein weiterer wichtiger Aspekt beim Einsatz von KCS in CI/CD sind Sicherheitsrichtlinien. Unsere Lösung verwendet ein Modell, bei dem Richtlinien nicht nur das Erfassen von Ergebnissen ermöglichen, sondern auch das Verhalten der Pipeline steuern. Dies ist praktisch für gestaffelte Rollouts. Du kannst im Überwachungsmodus beginnen und, falls Geheimnisse, kritische Fehlkonfigurationen oder Schwachstellen ans Tageslicht kommen, die fehlerhaften Builds schrittweise unter die Lupe nehmen. Dieser evolutionäre Ansatz funktioniert generell besser, als einfach nur einen Schalter umzulegen, um alles auf einen Schlag zu blockieren.

Wie KCS unsere Workflows unterstützt

Da wir zur Kompositionsanalyse unser eigenes System verwenden, betrachten wir KCS nicht als einzige Quelle der Wahrheit. Es dient in unseren Workflows vielmehr als leistungsstarke zusätzliche Ebene. Und genau hier entfaltet es den größten Nutzen.

Während unser internes Kompositionsanalyse-System das Komponenten-Tracking, die Abhängigkeiten und die Risikobewertung auf Code-Ebene übernimmt, sorgt KCS hervorragend für den Schutz des Container-Perimeters. Es kümmert sich um die technische Image-Untersuchung und die CI/CD-Sicherheit, wobei Berichte über Container-Artefakte aggregiert werden. Dieses Vorgehen steht nicht im Widerspruch zu unserer internen Analyse, sondern unterstützt es genau dort, wo Container in echten Workflows genutzt werden.

Für uns ist dies in zwei Szenarien besonders nützlich. Erstens: Für die Artefaktkontrolle in einem frühen Stadium der Entwicklung. Zweitens: KCS fungiert während der Release-Annahme als Türhüter. Wir diskutieren nicht mehr irgendwann nach dem Release über Risiken. Nein, wir fangen Risiken genau an dem Punkt ab, an dem das Team ohne umständliche Genehmigungsketten noch schnell eine Dockerfile, ein Helm-Diagramm oder Einstellungen fixen kann.

Ebenfalls bemerkenswert ist die Art und Weise, wie Software-Stücklisten (SBOM) gehandhabt werden. Unser System stützt sich primär auf aktuelle, relevante SBOMs. KCS bietet spezielle Modi für die SBOM-Verarbeitung und kann Untersuchungsergebnisse sogar im gleichen Format ausgeben. In dieser Hinsicht fügt sich KCS nahtlos in unsere internen Prozesse ein, sodass wir es in unsere bestehenden Workflows integrieren können (und nicht umgekehrt).

Warum KCS für uns mehr ist als ein Scanner

Eine weitere leistungsstarke Ebene ist die Cluster-Sicherheit. In dieser Phase agiert KCS nicht nur als ein reines Tool zur Image-Untersuchung. Es bietet Laufzeitrichtlinien für Container und Knoten, Überwachungs- und Blockiermodi sowie eine Auswahl von Sicherheitsprofilen. In anderen Worten: KCS kann nicht nur dazu verwendet werden, Schwachstellen in einem Image zu finden, sondern auch um zu überwachen, was der Container tatsächlich tut, sobald er live ist. Richtlinien können die Herkunft von Images, digitale Signaturen, Beschränkungen für Funktionen und Volumes berücksichtigen und darüber hinaus auch die Prozesse und Netzwerkverbindungen, die innerhalb des Containers ausgeführt werden.

Sobald ein Problem erkannt wird, können die Ergebnisse erst einmal im Überwachungsmodus protokolliert werden, anstatt den Vorgang sofort zu blockieren. In Produktionsumgebungen ist dies immer der klügere Schritt. Ein weiteres wichtiges Werkzeug ist die Gewährleistung der vertrauenswürdigen Image-Herkunft. KCS unterstützt die Verifizierung digitaler Signaturen. Dadurch verlagert sich der Fokus von der einfachen CVE-Suche auf den Schutz der gesamten Software-Lieferkette eines Unternehmens.

Berichtsfunktionen

KCS meldet nicht nur die erkannten Probleme. Es dient auch als umfassende Berichtsquelle. Es kann Berichte über Images, akzeptierte Risiken und Kubernetes-Benchmarks erstellen.

Die generierten Berichte sind in den Formaten HTML, PDF, CSV, JSON und XML verfügbar, mit spezieller SARIF-Unterstützung für ausführliche Berichte – ideal für die Integration in AppSec-Workflows. Wie bei den bereits genannten SBOMs können die Untersuchungsszenarien Artefakte und Ergebnisse im CycloneDX- und SPDX-Format ausgeben – ein weiterer Pluspunkt für die Integration in bestehende Prozesse.

Warum wir bei KCS bleiben

Einfach gesagt: KCS ergänzt unsere Workflows perfekt – nicht weil es jedes einzelne Problem adressiert, sondern weil es sich sehr gut in Entwicklungsszenarien integriert.

Außerdem wissen wir zu schätzen, dass das Produktteam unser Feedback umsetzt. Das KCS-Team nimmt unsere Vorschläge aus der Praxis wirklich in seine Entwicklungs-Roadmap auf. Aufgrund unserer praktischen Erfahrungen wurden KCS beispielsweise eine tiefe SBOM-Integration und bestimmte Berichtstypen hinzugefügt.

Fazit: Bei fachgemäßer Integration trägt Kaspersky Container Security dazu bei, mehrere Bereiche gleichzeitig abzudecken: von der grundlegenden Container-Untersuchung bis hin zur CI/CD- und Cluster-Sicherheit. Unserer Erfahrung nach bringt es in einem „lebendigen“ Container-Ökosystem einen echten Mehrwert. Weitere Informationen über die Lösung findest du auf der offiziellen KCS-Seite.

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder