Skip to content

Drucksache: windows.developer Magazin 3.2015 - Docker-Sicherheit im Überblick

Im windows.developer 3.15 ist ein Artikel über die Sicherheit von Docker erschienen.

Docker isoliert Anwendungen in Container. Aber ist das auch sicher? Manche meinen, nein - und bringen eine Alternative an den Start. Sollte man also um Docker einen Bogen machen, wenn einem die Sicherheit der eigenen Systeme am Herzen liegt? Oder ist das alles übertrieben?

Bevor man die Frage "Wie sicher ist Docker?" beantworten kann, muss man die Frage "Was ist Docker?" beantworten, oder genauer: Was erwarten man von Docker?.

Wenn Sie Docker wie ursprünglich vorgesehen als flexible Buildumgebung verwenden, in der sie die Anwendung auch testen und sogar ausrollen können, werden Sie damit keine Sicherheitsprobleme haben. Ob die Anwendung am Ende im Container oder direkt auf dem Produktivsystem installiert wird, ist dann unerheblich.

Wenn Sie Docker aber als Schutzmaßnahme verwenden, haben Sie früher oder später ein Problem. Egal ob sie es nutzen, um möglicherweise nicht vertrauenswürdige Images auf einem Server auszuführen, der weitere, womöglich kritische Anwendungen mit sensitiven Daten enthält, oder um unterschiedlich vertrauenswürdige Anwendungen auf dem gleichen Server zu betreiben, in beiden Fällen spielen Sie mit dem Feuer.

Natürlich ist es einfach, eine Anwendung als Docker-Image auf das Produktivsystem zu laden, dort testweise auszuführen und rückstandslos wieder zu löschen, wenn es die eigenen Anforderungen nicht erfüllt. Wenn das Image dann aber bösartigen Code enthält, sind sie danach zwar die heruntergeladene Anwendung los, nicht aber den davon auf dem Server eingeschleusten Schadcode.

Und natürlich sind Container "leichtgewichtiger" als eine vollständige Virtualisierung, wenn Sie die Anwendungen mehrere Kunden auf einem Server betreiben wollen. Das kann auch gut gehen, wenn Docker ausreichend abgesichert ist, muss es aber nicht. Vor allem nicht, wenn wirklich eine Anwendung kompromittiert wird. Von absichtlich bösartigen Anwendungen ganz zu schweigen. Und sie kennen doch das Gesetz vom netten Herren Murphy, nicht war? Das sorgt schon dafür, dass das schief geht.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks