Bei den Cloud Creators entwickeln wir nicht nur Cloud-Anwendungen für unsere Kunden, sondern übernehmen auf Wunsch auch den Betrieb und die kontinuierliche Wartung von Software und Infrastruktur. Damit dies zuverlässig gelingt, müssen wir über bekanntwerdende Sicherheitslücken in eingesetzten Paketen und Softwarebibliotheken von Drittanbietern möglichst schnell Bescheid wissen. Für regelmäßige Sicherheits-Scans setzen wir dabei auf das Open Source Tool “Trivy”.
Trivy als Qualitätsschranke
Trivy ist ein Open Source Sicherheits-Scanner, der sich sehr gut in den Entwicklungsprozess einbinden lässt. Er schlägt Alarm, falls Softwarepakete mit bekannten Sicherheitslücken zum Einsatz kommen, oder versehentlich sensible Daten, wie API-Schlüssel, beispielsweise in Software-Images veröffentlicht würden. Als fester Teil unserer CI/CD-Pipelines ist Trivy bei den Cloud Creators eine harte Qualitätsschranke: Tauchen kritische Sicherheitslücken oder Daten-Leaks auf, schlägt der Auslieferungsprozess automatisch so lange fehl, bis die entsprechenden Mängel behoben sind. Wie das für uns aussieht, zeigt der folgende Ausschnitt aus den Logs einer unserer CI/CD-Jobs:
Was unsere Entwickler schon mal einige Nerven kosten kann, erhöht direkt die Qualität unserer Produkte für den Kunden. Aber was passiert, wenn Sicherheitslücken erst später bekannt werden?
Regelmäßige Scans beim Betrieb durch Cloud Creators
Dass im Laufe der Zeit immer wieder Sicherheitslücken in verbreiteter Software bekannt werden ist ein bekanntes Problem, das nicht nur denjenigen bekannt sein dürfte, die entsprechende Feeds von BSI, CISA und Co abonniert haben. Je nach Bedrohungslage ist es dann wichtig, möglichst schnell zu reagieren, temporäre Workarounds zu finden oder Updates einzuspielen. Voraussetzung dafür ist jedoch, überhaupt zu wissen, dass man betroffen ist. Dafür führen wir regelmäßig automatisierte Scans der ausgelieferten und verwendeten Software durch. Alle Scan Ergebnisse fließen dann in unser zentrales Logging-System, wo wir sie jeder Zeit im Blick haben und sie ggf. automatisch Alarm auslösen. So können wir unsere Kunden schnell informieren und bei Bedarf angemessen handeln.
Wie das Scan-Ergebnis eines veralteten Container Images in unserem Monitoring System aussehen kann, zeigt die folgende Abbildung:
Offensichtlich wurden im Laufe der Zeit neue Sicherheitslücken bekannt, obwohl das Image bei der ursprünglichen Bereitstellung auf aktuellem Stand war. Das gezeigte Image wurde von uns schon vor geraumer Zeit ausgemustert bzw. entsprechend aktualisiert und nur zu Demonstrationszwecken noch einmal gescannt. Es zeigt aber deutlich, dass auch Container Images nicht über einen längeren Zeitraum wartungsfrei betrieben werden sollten.
Benötigen Sie Unterstützung bei der Überwachung Ihrer Infrastruktur oder beim Betrieb Ihrer Anwendung? Dann sprechen Sie mit uns!