Unsere Kernaufgabe bei Alice&Bob besteht darin, Kunden dabei zu helfen, die sicherste, schnellste und erfolgreichste Cloud-Reise anzutreten, die es gibt. Aus diesem Grund untersuchen wir ständig die besten Möglichkeiten, Anwendungs-Workloads zu sichern. Heute stehen unsere Kunden vor der Herausforderung, das höchste Maß an traditioneller IT-Sicherheit zu bieten und gleichzeitig die Vorteile revolutionärer neuer Technologien und Architekturen zu nutzen, die durch die Leistungsfähigkeit der Cloud ermöglicht werden.

Wir sind fest davon überzeugt, dass eine tiefgreifende Verteidigung der beste Ansatz ist, um diese Herausforderungen zu meistern. Während man sich bei der traditionellen Rechenzentrumssicherheit auf Perimetersicherheit verlassen hat, kann (und muss) ein Cloud-nativer Ansatz Sicherheit in jedem Aspekt Ihres Cloud- und Anwendungslebenszyklus bieten. Daher kommen Kunden oft mit der Frage zu uns: Wie können wir hochmoderne Serverless- und Container-Workloads bereitstellen und gleichzeitig unsere Sicherheitsanforderungen einhalten (und übertreffen)?

Regelmäßige Leser unseres Blogs kennen unser Mantra „Menschen, Prozesse und Tools“, um eine umfassende Cloud-Sicherheitsstrategie bereitzustellen. Deshalb möchten wir Ihnen heute unseren neuen Partner vorstellen: Aqua Security (Aqua). Aqua ist das größte reine Cloud-native-Sicherheitsunternehmen und bietet einen Sicherheits-Toolgürtel, der Ihren gesamten DevOps-Anwendungslebenszyklus schützt, sei es für Kubernetes, Serverless-Funktionen wie Lambda oder VMs. (Lesen Sie unbedingt auch unsere anderen Blogbeiträge zum Security Champions Program, in denen es um Menschen und Prozesse geht.)

Bevor wir jedoch beginnen, möchten wir ein wenig zusätzlichen Kontext liefern.

Eine kurze Geschichte der Container

Sofern Sie nicht hinter dem Mond leben, werden Sie wahrscheinlich den Aufstieg der Containertechnologien in den letzten acht Jahren oder so bemerkt haben, beginnend mit der Veröffentlichung von Docker im Jahr 2013. Docker hat Container jedoch nicht erfunden, und in der Zeit, seit es die Möglichkeiten containerisierter Workloads einem größeren Publikum zugänglich gemacht hat, sind mehrere konkurrierende Container-Runtimes entstanden.

Es wurde sofort klar, dass Container zwar sehr praktisch sind, um den gesamten Lebenszyklus einer einzelnen Anwendung zu verwalten, die Organisation einer Containerflotte zur Bereitstellung einer Microservice-Architektur jedoch nicht wesentlich praktischer ist als die Verwendung herkömmlicher VMs. Niemand sollte oder hat in Erwägung gezogen, nur um Container zu verwenden, zu monolithischen Architekturen zurückzukehren.

Und siehe da: die Morgendämmerung der Container-Orchestratoren

Es gab eine kurze Zeit, in der mehrere Orchestratoren darum wetteiferten, die Benutzerfreundlichkeit von Containeranwendungen auf Clustern beliebiger Größe bereitzustellen. Docker selbst entwickelte „Swarm“ und „Docker-Compose“, Apache integrierte die Container-Orchestrierung in sein Mesos-Projekt und Google veröffentlichte Kubernetes als Open-Source-Version seines internen Orchestrators Borg. Heute ist Kubernetes der klare Gewinner unter den Orchestratoren und seine Entwicklung wurde an die Cloud Native Computing Foundation übertragen. Mit einer engagierten Organisation im Rücken reifen Container und ihr Ökosystem schnell, dennoch handelt es sich immer noch um eine hochmoderne Technologie, und viele Fallstricke müssen noch überwunden werden.

Kubernetes der nächsten Stufe

Jeder, der versucht hat, Kubernetes in der Produktion auszuführen, hat schnell festgestellt, dass der sichere Betrieb ziemlich schwierig ist. Egal, ob es sich um Vanilla Kubernetes oder verwaltetes Kubernetes wie EKS auf AWS handelt, jeder, der versucht hat, eine umfassende Sicherheitsstrategie zu implementieren, hat schnell erkannt, dass dies noch in den Kinderschuhen steckt.

Obwohl AWS viele ausgefeilte Sicherheitstools bietet, bietet Aqua innerhalb eines Kubernetes-Clusters dasselbe Sicherheitsniveau wie AWS für seine nativen Cloud-Dienste.

Wir bei Alice&Bob werden häufig von Kunden angesprochen, die ihnen helfen möchten, diese Lücke zu schließen. Während traditionelle und AWS-native Workloads das umfangreiche Angebot an AWS-Sicherheitsdiensten nutzen können, liegt die Sicherung von Workloads in EKS/Kubernetes ganz in Ihrer Verantwortung. Obwohl wir immer eifrig und offen für neue Herausforderungen und modernste Technik sind, ist die Implementierung eines eigenen Sicherheitsrahmens in einem Greenfield-Projekt für jedes Unternehmen, das Industriestandards und Zertifizierungen unterliegt, ein schwieriges Unterfangen. Aus diesen Gründen sind wir sehr stolz, diese Partnerschaft bekannt zu geben.

Wir stellen vor: Aqua

Aqua ist die perfekte Lösung, um die Lücke zwischen der umfassenden Sicherheitserfahrung von Cloud-nativen AWS-Diensten und der Containerwelt zu schließen und sowohl innerhalb als auch außerhalb Ihres Kubernetes-Clusters das gleiche Sicherheitsniveau zu bieten. Aqua ermöglicht es Alice&Bob, Ihnen alle Ihre Sicherheitsanforderungen in jedem Schritt Ihres containerisierten Anwendungslebenszyklus zu erfüllen, eng integriert in Ihr AWS-Setup und Ihre Toolchain, da Aqua ein von AWS zertifizierter Partner für fortschrittliche Technologie ist.

„Als Advanced APN-Mitglied und Container Competency-Technologiepartner bietet Aqua hochintegrierte Sicherheitskontrollen für Cloud-native Anwendungen auf AWS und unterstützt verwaltete Containerdienste wie Amazon ECS für Containerorchestrierung, Amazon EKS für Kubernetes-basierte Bereitstellungen, AWS Fargate für On-Demand-Containerskalierung, AWS Lambda für serverlose Funktionen und Amazon ECR zum Speichern und Verwalten von Container-Images.“

https://www.aquasec.com/solutions/aws-container-security/

Um Ihnen eine Vorstellung davon zu geben, was Aqua zu bieten hat, möchten wir einige seiner Funktionen hervorheben, die Ihnen die nächste Stufe der Kubernetes-Sicherheit bieten.

Superkraft Nr. 1: Scannen und Sicherstellen von Image-Schwachstellen

Aqua verhindert, dass nicht autorisierte Images in Ihrer AWS-Umgebung ausgeführt werden. Es scannt kontinuierlich in Amazon ECR gespeicherte Images, um sicherzustellen, dass DevOps-Teams keine Schwachstellen, falschen Konfigurationen oder Geheimnisse in Container-Images einbringen. Erhalten Sie umsetzbare Empfehlungen zur Behebung von Sicherheitsproblemen.

Superkraft Nr. 2: Cloud-VM-Sicherheit und -Compliance

Aqua schützt Workloads, die auf Amazon EC2-Instanzen laufen, und stellt sicher, dass sie richtig gehärtet sind. Suchen Sie nach Schwachstellen und Malware, wenden Sie File Integrity Monitoring (FIM) an, überprüfen Sie die Konfiguration anhand des CIS Benchmark für Linux und überwachen Sie Benutzerzugriff und -aktivität. Erstellen Sie einen Audit-Trail auf Befehlsebene für Compliance und Forensik.

Superkraft Nr. 3: Risikobewertung und -minderung für serverlose Funktionen

Aqua scannt kontinuierlich Lambda-Funktionen in AWS-Konten, um sicherzustellen, dass Entwickler keine Schwachstellen in den Funktionscode einbringen, Zugriffsschlüssel in Umgebungsvariablen belassen oder zu freizügige Rollen erstellen. Definieren Sie Sicherheitsrichtlinien für AWS-Lambda-Funktionen und warnen Sie vor der Ausführung von Aufgaben, die gegen die Richtlinien verstoßen, oder verhindern Sie diese.

Superkraft Nr. 4: Schützen Sie Anwendungen zur Laufzeit

Aqua verhindert, dass ungeprüfte Container in Ihren Amazon ECS-, EKS- und Fargate-Umgebungen ausgeführt werden. Erstellen Sie automatisch Sicherheitsrichtlinien basierend auf dem Containerverhalten und stellen Sie sicher, dass Container nur das tun, was sie im Anwendungskontext tun sollen. Erkennen und verhindern Sie Aktivitäten, die gegen die Richtlinie verstoßen, und verteidigen Sie sich gegen containerspezifische Angriffsvektoren.

Superkraft Nr. 5 (zu guter Letzt): Tiefe Integration in Ihre Umgebung

Die letzte Superkraft, die wir erwähnen möchten, ist, dass Aqua sich in nahezu jedes nennenswerte CI/CD-, SIEM-, Überwachungs- und Collaboration-Tool integrieren lässt. Daher wird Aqua schnell zu einem zuverlässigen Begleiter Ihrer Cloud-Reise.

All dies ist nur ein kleiner Teil der Funktionen, die Aqua bietet, und wir sind stolz, sie auf unserer Seite zu haben. Gemeinsam werden wir die Art und Weise revolutionieren, wie Kunden ihre Anwendungen bereitstellen, sichern und steuern, und Ihnen ein leistungsstarkes Tool bieten, kombiniert mit dem Fachwissen von A&B.

‍