Konferenzbeitrag

IT-Grundschutz für die Container-Virtualisierung mit dem neuen BSI-Baustein SYS. 1.6

Mit Hilfe der Container-Virtualisierung lassen sich Anwendungen flexibel in die Cloud auslagern, administrieren, zwischen Rechenzentren migrieren, etc. Dafür baut die Containervirtualisierung auf eine komplexe IT-Landschaft auf, in der Hardware, Betriebssystem und Anwendungen von verschiedenen Parteien bereitgestellt und genutzt werden. Der IT-Sicherheit kommt daher eine große Bedeutung zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem ITGrundschutz eine Methode zur Umsetzung von angemessenen Schutzmaßnahmen im IT-Umfeld zur Verfügung. Es gibt jedoch wenig Erfahrung mit der Absicherung der Container-Virtualisierung gemäß IT-Grundschutz: Das Grundschutz-Kompendium und die Standards zur Risikoanalyse wurden erst im November 2017 in überarbeiteter Form neu eingeführt, und der Baustein SYS. 1.6 zur Container-Virtualisierung wurde erst im Mai 2018 als Community Draft veröffentlicht. In dieser Arbeit untersuchen wir, wie gut sich der aktuelle IT-Grundschutz auf einen Web-Shop anwenden lässt, der mittels Docker virtualisiert wurde. Wir gehen dabei insbesondere auf die Gefährdungsanalyse, Docker-spezifische Gefährdungen sowie entsprechende Maßnahmen zur Abwendung dieser Gefährdungen ein. Darüber hinaus diskutieren wir, wie sich unsere Erkenntnisse über das Docker-Szenario hinaus auf Container-Technologie verallgemeinern lassen.Wir haben festgestellt, dass der Baustein SYS. 1.6 das Grundschutz-Kompendiums eine umfassende Hilfestellung zur Absicherung von Containern bietet. Wir haben jedoch zwei zusätzliche Gefährdungen identifiziert.