Container Security Testing: Docker, Images und Laufzeitschutz

Image Security Testing

Container Image Testing bewertet die Herkunft des Basis-Images (vertrauenswürdige Registries vs. öffentliche Quellen), das Scannen auf bekannte CVEs (OS-Pakete, Anwendungsabhängigkeiten), die Signierung und Verifizierung von Images, eine möglichst schlanke Image-Konstruktion (unnötige Pakete vergrößern die Angriffsfläche) und Best Practices für Dockerfiles (Multi-Stage Builds, Non-Root-Benutzer, Read-Only-Layer).

Runtime Configuration Testing

Runtime Testing bewertet, ob Container als Non-Root-Benutzer ausgeführt werden, ob der Privileged Mode deaktiviert ist, ob Capability Dropping implementiert ist, ob Read-Only-Root-Dateisysteme erzwungen werden und ob Ressourcenbeschränkungen Denial-of-Service-Angriffe verhindern. Jede unnötige Berechtigung ist ein potenzieller Escape-Vektor.

Registry Security

Das Testing bewertet die Zugriffskontrollen der Registry, Image-Pull-Richtlinien, die Integration des Vulnerability Scanning und ob unsignierte oder ungescannte Images in der Produktion eingesetzt werden können.

Container Escape Vectors

Das Testing sucht nach Escape-Vektoren: Privilegierte Container, Host-Namespace-Sharing, beschreibbare Docker Socket Mounts, die Ausnutzung von Kernel-Schwachstellen und falsch konfigurierte seccomp/AppArmor-Profile. Container Escape ist der schwerwiegendste Befund im Bereich Container Security.

Testing with Penetrify

Das Container Security Testing von Penetrify deckt Image-Analyse, Runtime-Konfiguration, Registry Security und Escape Vector Testing ab – und bietet so die vollständige Container Security Assessment, die Compliance Frameworks erfordern.