Anwendungs-Container: Security-Scan-Service für Docker-Container
Wie das von CoreOS betriebene Clair-Projekt ist das Docker Security Scanning ein Werkzeug, das auf Basis von CVE-Datenbanken Anwendungs-Container nach bekannten Sicherheitslücken durchsucht.
- Alexander Neumann
Docker Cloud, ein gehosteter Container-Service, hat in Form des Docker Security Scanning ein neues Feature erhalten, mit dem sich Anwendungs-Container nach bekannten Sicherheitslücken durchsuchen lassen. Das hinter dem Service stehende Unternehmen – Docker Inc. – weist das neue Werkzeug als baldige zentrale Komponente des Docker Datacenter aus, einer Software für das Betreiben des Container Management Service innerhalb von Unternehmen.
Kunden sind mit dem neuen Service offenbar in der Lage, einerseits Schwachstellen von Beginn an zu vermeiden oder andererseits einen die Zeit verkürzenden Patch-Management-Prozess anzustoßen, sollte doch eine Sicherheitslücke entdeckt worden sein. Zur Suche nach Fehlern greift der Service auf das Material von "Common Vulnerabilities and Exposures"-Datenbanken (CVE) zurück. Anscheinend ist es einfach möglich, das neue Feature mit den eigenen Sicherheitsrichtlinien zu verzahnen und in den jeweiligen Security-Workflow zu integrieren. Auch haben Entwickler die Möglichkeit, das Werkzeug in die eigene Continuous Delivery Pipeline einzubauen., sodass es automatisch bei neu deployten Containern anschlägt.
Historie und Konkurrenz
Docker Security Scanning wurde im Rahmen des auf der DockerCon EU im November 2015 vorgestellten Project Nautilus über das vergangene halbe Jahr anscheinend bei ausgewählten Docker-Kunden ausgiebig getestet – die Rede ist von 400 Millionen Containern. Nun ist der Service uneingeschränkt verfügbar. Zum Ausprobieren wird eine kostenlose Testversion angeboten.
Docker Security Scanning ist mit Clair, einem Projekt des Linux-Distributors CoreOS vergleichbar, auf das erst diese Woche auf dem CoreOS Fest in Berlin erneut aufmerksam gemacht wurde. So soll das Kommandozeilen-Werkzeug hyperclair die Integration der Sicherheitsüberprüfung von Clair in die Produktionsprozesse à la Continuous Integration beziehungsweise Continuous Delivery erleichtern.
Docker und Container heute
Mit Docker und vergleichbaren Techniken lassen sich Anwendungen samt ihrer Abhängigkeiten in sogenannten Containern verpacken, in denen sie sich später leicht weitergeben und ausführen lassen. Im Vergleich zu virtuellen Maschinen sind die Container sparsamer im Umgang mit Ressourcen und können schneller starten. Nachdem die gerade mal drei Jahre alten Docker-Container sehr schnell das Interesse vieler Entwickler geweckt hatten, liegt mittlerweile das Bestreben darin, auch den Anforderungen der restlichen Unternehmens-IT entsprechen zu können – so auch bei der Security. (ane)
