Hoe beschermt u uw containers tegen indringers?

containers

Marc Vanmaele is CEO van TrustBuilder. Hij legt in dit artikel uit hoe organisaties de toegangsrechten voor containers en hun inhoud op schaal kunnen configureren.

Containers behoren vandaag de dag tot de meest populaire bedrijfstechnologieën - en het is gemakkelijk te begrijpen waarom. Door het mogelijk te maken dat toepassingen kunnen worden verpakt in gestandaardiseerde eenheden, samen met hun afhankelijkheden en geïsoleerd kunnen worden uitgevoerd, bieden containers een complete, draagbare runtime-omgeving voor software.

Gestandaardiseerde zeecontainers

Dat wil zeggen, net als de gestandaardiseerde zeecontainers waaruit de technologie zijn naam ontleent, maken containers het mogelijk om de inhoud - softwareapplicaties - naadloos van de ene (computer)omgeving naar de andere te verplaatsen. Dit vermindert drastisch de middelen die nodig zijn voor het draaien van applicaties op verschillende virtuele machines of het verplaatsen van software van de ene machine naar de andere. Containers kunnen op hun beurt organisaties in tal van sectoren helpen om digitale transformatie soepel en kosteneffectief te realiseren.

Geen wonder dus dat de grote aanbieders van cloud computing, waaronder Amazon Web Services, Google Cloud Platform en Microsoft Azure, de technologie allemaal hebben omarmd, terwijl 451 Research voorspelt dat de inkomsten uit de markt voor applicatiecontainers in 2021 meer dan 3,4 miljard dollar zullen bedragen, een verviervoudiging sinds 2017.

Maar terwijl containertechnologie een grote wendbaarheid en kosten­effectiviteit biedt, heeft het ook nieuwe lagen van complexiteit geïntroduceerd die organisaties die deze technologie implementeren, moeten beheren. Wanneer organisaties container­beheerders zoals Docker, Kubernetes en Openshift inzetten, brengen ze in wezen nieuwe derde partijen in hun IT-infrastructuur. En dit, in combinatie met het feit dat applicaties of diensten uit meerdere elementen kunnen bestaan en toegankelijk zijn voor gebruikers op een aantal apparaten, betekent dat het erg ingewikkeld kan worden om bij te houden wie toegang heeft tot wat - en wie toestemming heeft om wat te doen.

Het belang van identiteits- en toegangsbeheer

Dit is waar Identity and Access Management (IAM) tools een rol spelen. Ze bieden een gecentraliseerd middel voor organisaties om toegangsrechten centraal te beheren en, van groot belang, om identiteits- en toegangs­beheer op te schalen naar potentieel miljoenen gebruikers - cruciaal als we het hebben over de schaalbare groei en digitale transformatie die containers mogelijk maken.

IAM-tools bieden ook een robuuste beveiliging in termen van het verifiëren van identiteiten en het autoriseren van toegang tot applicaties die in containers worden uitgevoerd, omdat ze een dynamischer en flexibeler benadering van gebruikersverificatie bieden dan traditionele combinaties van gebruikersnaam en wachtwoord of zelfs multi-factor authenticatie. Ze werken door bij de controle van elk verzoek van een gebruiker rekening te houden met een reeks verschillende factoren, zoals de tijd dat de toegang wordt aangevraagd en hoe dat zich verhoudt tot eerdere gedragspatronen, het apparaat dat wordt gebruikt, enzovoorts. Deze informatie ontwikkelt gezamenlijk een rijk beeld van de context van elk individueel toegangsverzoek, waarbij slimme, context-gerelateerde beslissingen over het al dan niet toestaan of weigeren van toegang worden genomen. Bovendien leren dergelijke instrumenten van elk individueel verzoek, waardoor ze een echt intelligente optie zijn voor gebruikersverificatie.

Cruciaal

Dit is een cruciaal punt, aangezien containers steeds populairder worden en daardoor steeds vaker het doelwit van cybercriminaliteit worden. Pas in april werd bekend dat het containerplatform Docker een breuk in zijn Hub-database had ondervonden en daarbij de persoonlijke informatie van ongeveer 190.000 gebruikers had blootgelegd. Docker Hub is ‘het standaard cloud-gebaseerde register waar Docker-implementaties zoeken naar afbeeldingen en wordt gebruikt door duizenden ontwikkelaars en bedrijven over de hele wereld.

Docker reageerde goed op de hack en onthulde de details van de inbreuk kort nadat deze werd ontdekt in een e-mail die naar zowel klanten als gebruikers werd gestuurd, waarbij het bedrijf de tokens voor de accounts die mogelijk waren blootgesteld, introk en gebruikers vroeg om hun wachtwoorden onmiddellijk te wijzigen. Het incident moet echter nog steeds een waarschuwingsteken zijn voor organisaties die met containers werken en hen eraan herinneren dat zij de veiligheid en identiteitscontrole op de voorgrond moeten plaatsen.

Het kiezen van de juiste oplossing

Hoe kunnen organisaties die gebruik maken van containertechnologie dan de beste IAM-tool kiezen om de toegangs­rechten vandaag de dag, en op lange termijn, te schalen?

Een belangrijk gebied om in gedachten te houden is hoe het voorgestelde IAM-instrument de naleving van de regelgeving, met name de naleving van de GDPR, bereikt en vergemakkelijkt. De beste IAM-software zou gebruikers die proberen in te loggen op beschermde toepassingen moeten uitnodigen om hun gegevens te laten registreren en volgen in overeenstemming met het GDPR, om het audit- en rapportageproces te vergemakkelijken. Deze vorm van automatisering is van essentieel belang bij het opschalen van de toegangs­rechten in overeenstemming met de snelle groei van de organisatie. De rapportage kan vereenvoudigd worden door gebeurtenissen te genereren die de gebruikersactiviteit zoals authenticatie, autorisatie, uitloggen en sessie-updates groeperen, zodat ze kunnen worden geëxtraheerd via selecteerbare workflows die deze auditing-gebeurtenissen kunnen verwerken en opslaan. Dit maakt de gegevens toegankelijker voor audits en gemakkelijker te interpreteren binnen de gebruikersanalyse activiteiten.

Beheren van beleid

Het beheren van beleid voor veel gebruikers is voor veel organisaties een uitdaging op zich, en de beste manier om beleid te begrijpen en de effectiviteit ervan te waarborgen is door het te visualiseren. De volgende generatie IAM-oplossingen bieden manieren om beleid te visualiseren, zoals met grafische interfaces en workflows die intuïtief, flexibel en gemakkelijk toegankelijk en te bedienen zijn voor gebruikers. Ondertussen moeten deze aspecten als gevoelig worden behandeld, net als de gegevens in de repository zelf. De grafische weergaven moeten veilig zijn, en alleen beschikbaar voor de beleidsmakers, omdat het voor potentiële aanvallers te gemakkelijk zou zijn om onze software te decompileren en gerichte aanvallen te bouwen als ze op grote schaal beschikbaar waren om te bekijken.

De IAM-provider zou strikte controle moeten bieden over de gebruikers die toegang hebben tot de software. Hoewel de Docker Hub u de mogelijkheid biedt om een ‘private’ repository te draaien, is het toch raadzaam om te voorkomen dat de persoonlijke gegevens van de gebruiker op de Docker Hub repository worden gepubliceerd. Dit is belangrijk om te voorkomen dat u wordt blootgesteld aan inbreuken op de beveiliging en om met Docker om te gaan met privacy (GDPR).

Containertechnologie biedt een enorm potentieel voor organisaties die een soepele, snelle en kosteneffectieve digitale transformatie willen bereiken. Het moet echter in evenwicht zijn met een robuuste en gestroomlijnde benadering van gebruikers- en toegangsverificatie, een aanpak die snel en kosteneffectief kan schalen, zonder dat dit ten koste gaat van de prestaties. Uw containers moeten hand in hand gaan met IAM-oplossingen.