Zurück zur Übersicht

Begriff

Container Security

Security Kubernetes S3
2 Quellen 1 Lernpfad 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Container (Docker) sind wie Tupperdosen für Software. Viele denken: "Was in der Dose ist, kann nicht raus." Falsch. Container sind keine echten Virtual Machines. Sie teilen sich den gleichen Kernel (das Herz) mit dem Host-Betriebssystem. Wenn ein Hacker aus der Dose ausbricht ("Container Breakout"), gehört ihm der ganze Server inkl. aller anderen Dosen. Container Security schützt davor.

  1. Image Scanning: Prüfen, ob die Dose schon beim Einpacken verfault war (Viren im Image).
  2. Runtime Protection: Überwachen, ob jemand versucht, ein Loch in die Dose zu bohren.

Merksatz: Die Praxis des Schützens von Container-Anwendungen (vom Image-Build bis zur Laufzeit) vor Schwachstellen, Malware und unbefugtem Zugriff.


Quick-Check

  1. Sind VMs sicherer?
    Ja. Eine VM hat ihren eigenen Kernel. Ein Ausbruch ist viel schwerer ("Hypervisor Escape"). Dafür sind VMs langsamer und fetter. Techniken wie "gVisor" oder "Kata Containers" versuchen, VMs so leicht wie Container zu machen (Sandboxing).
  2. Was sind Privileged Container?
    docker run --privileged. Das ist wie "Sicherheit ausschalten". Der Container darf fast alles, was der Host darf (Hardwarezugriff). Niemals ohne extrem guten Grund nutzen!
  3. Reicht eine Firewall?
    Nein. Innerhalb von Kubernetes (East-West Traffic) hilft die klassische Firewall kaum. Man braucht Network Policies oder Service Mesh.