Essential Guide

Funktionen und Features von Windows 10

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.
F

Wie sicher sind Hyper-V-Container in Windows Server 2016?

Container-Engines können wegen unzureichender Isolation ein komplettes Root-System kompromittieren. Hyper-V-Container bieten etwas mehr Sicherheit.

Container-Engines wie Docker können aufgrund der mangelnden Isolation das gesamte Root-Betriebssystem kompromittieren...

– welche Möglichkeiten zur Absicherung von Hyper-V-Containern bietet Windows Server 2016?

Die Vorteile der Container-Virtualisierung – geringe Ressourcenanforderungen, schnellere Verteilung, enorme Skalierbarkeit – haben in signifikanter Weise die Aufmerksamkeit der IT-Branche auf sich gezogen. Doch gerade die am weitesten verbreitete Container-Engine, die Linux-basierte Plattform Docker, hat mit schwerwiegenden Sicherheitsproblemen zu kämpfen.

Dockers Sicherheitsprobleme erwachsen aus dessen unzureichender Isolation zwischen einzelnen Container-Instanzen. Vereinfacht ausgedrückt teilen sich alle Container-Instanzen dieselben Betriebssystem-Kernel, -Bibliotheken und -Dateien. Gelingt es einem Angreifer, aus einem Container auf Betriebssystemebene auszubrechen, so kann er das zugrundeliegende Betriebssystem kompromittieren und damit auch sämtliche darauf ablaufenden Container.

Sobald ein Container läuft, kann er auch bereits mit dem Host-Kernel kommunizieren. Nachteilig ist das, weil Linux wesentlichen Kernel-Subsystemen und -Geräten keine eigenen Namensräume zu deren Separation und Schutz anbietet. Daraus ergibt sich, dass die Möglichkeit zur Kommunikation mit Kernel oder Geräten gleichzeitig die Möglichkeit zur Kompromittierung des gesamten Systems mit sich bringt.

Docker hat zwar inzwischen Sicherheitsverbesserungen zugesagt, aber bis diese implementiert sind, können Hyper-V-Container unter Windows Server 2016 mit folgenden Methoden sicherer gemacht werden:

  1. Begrenzen Sie Container auf Workloads, die Sie selbst kennen oder denen sie aus bekannter Quelle entsprechendes Vertrauen entgegenbringen. Lassen Sie keine zufälligen Workloads wie interessante Tools, die Sie gefunden haben, oder andere Spielereien laufen.
  2. Testen Sie Linux-Patches und -Sicherheitsupdates umfassend und spielen Sie diese umgehend auf. Vertrauenswürdige Betriebssystemhersteller wie Red Hat können zudem bei der Identifizierung und Eliminierung von Schwachstellen helfen.
  3. Statten Sie Container ausschließlich dann mit Root-Zugriff aus, wenn dies zwingend erforderlich ist, und ziehen Sie diese Rechte unmittelbar danach wieder zurück. Betrachten Sie Root-Privilegien in Containern grundsätzlich genauso kritisch wie Root-Zugriff außerhalb des Containers.

Hyper-V-Container in Windows Server 2016 nutzen Hyper-V, um zuerst eine virtuelle Maschine für die Isolation zu erzeugen. Ist diese VM dann verfügbar, kann Linux als Betriebssystem und eine Engine wie Docker zur Containerunterstützung installiert werden. Dabei handelt es sich um eine Art Nested Virtualization: Sind der Container und das darunterliegende Betriebssystem kompromittiert, so sollte das gesamte Sicherheitsproblem innerhalb der Hyper-V-VM abgekapselt bleiben.

Das Container-Konzept gibt es seit Langem, doch die Docker-Engine hat das Interesse an der Technologie erst neu entfacht. Microsoft hofft mit dem kommenden Windows Server 2016 darauf, bestehende Container-Anwender zum Wechsel von Linux-Bereitstellungen hin zu Windows-Umgebungen bewegen zu können, indem Container nativ per Nested Virtualization unterstützt werden.

Windows Server 2016 verspricht außerdem ein zielgerichtetes Management und die verbesserte Isolation von Container-Instanzen, mit deren Hilfe Unternehmen das Deployment von Containern einleiten und ausweiten können. IT-Abteilungen werden im Rahmen von Preview-Versionen von Windows Server 2016 schon bald Zugriff auf Hyper-V-Container haben und damit experimentieren können. Damit lassen sich dann weitere Einblicke in die Verwendung von Containern unter Windows Server und Docker gewinnen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Funktionen und Features von Windows 10

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close