F

Wie lassen sich Docker-Container mit dem Amazon EC2 Container Service absichern?

Docker sieht sich immer wieder großen Sicherheitsbedenken ausgesetzt. Amazons EC2 Container Service kann hier Abhilfe schaffen.

Wie kann Amazons AWS EC2 Container Service zu einer besseren Sicherheit von Docker-Containern beitragen? Gibt es...

zusätzliche Sicherheitsmaßnahmen, die man zur Docker-Virtualisierung noch ergreifen sollte?

Die Container-Virtualisierung mit Docker ist eine Alternative zu Hypervisor-basierten virtuellen Maschinen, mit denen eine wesentlich einfachere Migration der Anwendungen über verschiedene Plattformen hinweg möglich wird. Das ist vor allem für DevOps-Prozesse eine große Erleichterung, wo Applikationen zum Beispiel auf einer Plattform wie Mac OS entwickelt werden, und anschließend auf eine produktive Linux-Umgebung verschoben werden. Dabei tauchen allerdings regelmäßig Sicherheitsbedenken auf.

Der AWS (Amazon Web Services) EC2 (Elastic Compute Cloud) Container Service ist ein Cluster-Management-System, mit dem sich die Nutzung von Docker auf AWS-Instanzen wesentlich vereinfachen lässt. Da die containerisierten Applikationen letztlich auf EC2-Instanzen laufen, stehen Administratoren all die Security-Funktionen zur Verfügung, die auch für andere Services in AWS vorhanden sind. Vor allem mit Blick auf die in verschiedenen Punkten mangelnde Sicherheit der aktuellen Docker-Version stellt dies einen gewissen Vorteil dar.

Docker-Prozesse haben zur Ausführung Root-Rechte auf dem Dateisystem, was letztendlich zu einer Kompromittierung anderer Container auf dem gleichen Server führen könnte. In Zukunft dürfte Docker darauf reagieren und Docker-Prozesse nur noch mit eingeschränkten Rechten ausstatten. Bis es soweit ist, können AWS-Nutzer die Sicherheitsfunktionen des EC2 Container Service nutzen, um Docker-Applikationen besser abzusichern.

AWS Virtual Private Cloud (VPC) isoliert Compute- und Netzwerk-Ressourcen innerhalb der AWS-Cloud. Administratoren können so ganz nach Bedarf verschiedene virtuelle Private Clouds erstellen. Innerhalb der VPCs können anschließend Subnetze erstellt, IP-Adressen definiert und Routing-Tabellen oder Gateways konfiguriert werden. Zudem lassen sich weitere Sicherheitsmechanismen wie Security Groups aufsetzen, um den Zugriff weiter einzuschränken.

Docker kann aber auch einfach auf dedizierten Instanzen ausgeführt werden. Diese Instanzen laufen dann in einer virtuellen Private Cloud auf Hardware, die nur von einem einzelnen Kunden genutzt wird. Hierfür werden aber natürlich auch zusätzliche Gebühren fällig.

Security Groups dagegen können genutzt werden, um Regeln für den ein- und ausgehenden Netzwerk-Traffic zu definieren. Zusätzlich können Instanzen auch IAM-Rollen (Identity and Access Management) zugewiesen werden. Auf diese Weise lassen sich die Zugriffsrechte der Instanzen überwachen. Weiter müssen Access Keys nicht automatisch von einzelnen Rollen an Instanzen weitergegeben werden, was das Risiko der Offenlegung von Access und Secret Keys verringern kann.

Der AWS EC2 Container Service mag dabei helfen, den Management-Overhead für Unternehmen zu reduzieren, die eine große Anzahl an Docker-Instanzen in der AWS-Cloud betreiben. Die Notwendigkeit, Instanzen, Subnetze und virtuelle Private Cloud sorgfältig zu konfigurieren und abzusichern, entfällt damit aber natürlich nicht.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close