Docker Security

Docker-Container haben die Anwendungsentwicklung revolutioniert und bieten eine flexible und portable Lösung für die Softwareerstellung, -testung und -verteilung. Mit der zunehmenden Verbreitung von Docker-Containern sind jedoch auch verschiedene Sicherheitsherausforderungen aufgetreten.
Container sind anfällig für Angriffe wie Manipulation, unbefugte Änderungen und Man-in-the-Middle-Angriffe (MITM). Daher wird das Signieren von Containern unerlässlich, um ihre Integrität zu gewährleisten und sie vor diesen Bedrohungen zu schützen. Das Management kryptographischer Schlüssel, die für das Signieren und Verschlüsseln von Docker notwendig sind, stellt ein weiteres erhebliches Risiko dar, wenn es nicht ordnungsgemäss gehandhabt wird.

In regulierten Branchen müssen Organisationen zudem strenge Sicherheitsstandards einhalten, um die Integrität ihrer containerisierten Anwendungen zu gewährleisten und die Software-Lieferkette zu schützen. Diese Herausforderungen machen es für Unternehmen entscheidend, robuste Sicherheitsmassnahmen für Docker-Images zu ergreifen.

Lösung

Verbessern Sie Ihre Docker-Sicherheit mit der Bildsignierung und -verschlüsselung von Securosys. Durch die Integration von Securosys Primus HSM (HSM vor Ort oder CloudsHSM) und dem Transaction Security Broker (TSB) fügen Sie eine zusätzliche Sicherheitsebene hinzu, die Ihre Docker-Images vor Manipulation, Diebstahl und Änderungen schützt.

Unsere Lösung kombiniert die Bildsignierung und -verschlüsselung mit Securosys Primus HSMs und TSB, um sicherzustellen, dass die Images authentifiziert, vertrauenswürdig und konform mit Branchenvorschriften wie NIST, OCI, CIS und WebTrust sind. Sie schützt auch Signatur- und Verschlüsselungsschlüssel mit Securosys Primus HSMs, sodass diese während des gesamten Image-Lebenszyklus niemals offengelegt werden. TSB fügt zudem einen gestaffelten Genehmigungsprozess hinzu, der mehrere Stakeholder einbezieht und eine sichere Kontrolle und Transparenz beim Bildmanagement gewährleistet.

Nutzen Sie Securosys Primus HSM, um Ihre Docker-Images vor unbefugten Änderungen und Manipulation zu schützen.

Erfüllen Sie regulatorische Anforderungen (NIST, OCI, CIS, WebTrust) für die Bildsicherheit.

Integrieren Sie Securosys-Sicherheitslösungen problemlos in Ihre bestehenden Docker-Workflows.

Wie funktioniert es?

Securosys Docker Security integriert sich nahtlos in Ihre bestehenden Docker-Workflows und bietet einen robusten Bildschutz durch zwei Hauptmechanismen: Bildsignierung und Bildverschlüsselung, unterstützt von Securosys Primus HSM, CloudHSM und TSB.

Docker Image Signierung

Schritt 1: Bild-Hashing: Der Prozess beginnt mit dem Hashing des Docker-Images unter Verwendung eines sicheren kryptografischen Algorithmus, um einen eindeutigen digitalen Fingerabdruck zu erstellen.

Schritt 2: Bild signieren: Das Securosys Docker Signing Plugin integriert sich in Docker’s Notation (Notary v2), um das gehashte Image sicher mit privaten Schlüsseln zu signieren, die innerhalb des Securosys Primus HSM gespeichert sind. Diese privaten Schlüssel verlassen niemals das Hardware-Sicherheitsmodul und bleiben daher vor Diebstahl oder Missbrauch geschützt.

Schritt 3: Signatur verifizieren: Das signierte Docker-Image wird dann in ein Registry hochgeladen. Wenn ein Deployment-Team das Image herunterlädt, wird die Signatur überprüft, um die Integrität und Authentizität des Images vor der Ausführung sicherzustellen.

Docker Image Verschlüsselung

Schritt 1: Bild verschlüsseln: Mit dem Skopeo-Dienstprogramm und dem Securosys Docker Encryption Plugin wird das Docker-Image verschlüsselt. Die Verschlüsselungsschlüssel werden sicher im Securosys Primus HSM gespeichert und verwaltet, sodass sie niemals ausserhalb der Hardware offengelegt werden.

Schritt 2: Speichern und Verteilen: Das verschlüsselte Image wird sicher in einem Container-Repository gespeichert und vor unbefugtem Zugriff und möglichen Datenverletzungen geschützt.

Schritt 3: Bild entschlüsseln: Bei der Bereitstellung verwendet das Team denselben im HSM gespeicherten Schlüssel, um das Image zu entschlüsseln. Der Prozess wird durch das Securosys-Plugin erleichtert, das sicherstellt, dass die Schlüssel nur bei Bedarf sicher abgerufen werden.

Während dieses gesamten Prozesses bietet der Transaction Security Broker (TSB) von Securosys zusätzliche Kontrollschichten, die es Ihnen ermöglichen, Richtlinien für Multi-Party-Genehmigungen, Quoren und Workflow-Orchestrierungen zu definieren und durchzusetzen, sodass ein sicherer und konformer Betrieb von der Entwicklung bis zur Bereitstellung gewährleistet ist.

TSB-Integration

Der Transaction Security Broker ermöglicht fortschrittliche Richtlinienkontrolle und Autorisierungs-Workflows für Signierung und Verschlüsselung.

Mehrschichtige Genehmigung

Implementieren Sie Multi-Party-Signaturgenehmigungen mit der Smart Key Attributes (SKA)-Funktion von Securosys.

Flexible Bereitstellung

Securosys-Lösungen unterstützen sowohl On-Premises- als auch cloudbasierte HSM-Implementierungen.

Organisationen in stark regulierten Branchen (Finanzen, Gesundheitswesen, Regierung) können durch das Signieren und Verschlüsseln ihrer Docker-Container die Compliance sicherstellen.

Sichern Sie die gesamte Software-Lieferkette, indem Sie die Bildsignierung und -verschlüsselung in Ihre CI/CD-Pipeline integrieren.

In Szenarien, in denen mehrere Stakeholder die Freigabe von Software genehmigen müssen, ermöglichen Securosys SKA und TSB reibungslose und sichere Multi-Autorisierungsprozesse.

Für Unternehmen, die containerisierte Anwendungen in der Cloud betreiben, sorgt Securosys dafür, dass die Verschlüsselungsschlüssel und Images auch in einer gemeinsamen oder Multi-Cloud-Umgebung geschützt sind.