Red Hat, Container und die Sicherheit

Ist Open Source sicher? Diese Frage stellt sich immer wieder. Die Tatsache, dass Red Hat in Sachen Container-Technologien eigene Wege geht, hat jedoch viel genau damit zu tun.

Die Sicherheit von Open Source steht immer wieder auf dem Prüfstand. Sogleich ist man versucht, das Sicherheitsniveau von Open-Source-Technologien mit denen von proprietärer Software zu vergleichen. Doch trotz, oder vielleicht gerade weil der Code offen ist, bieten quelloffene Produkte ein vergleichsweise hohes Maß an Sicherheit.

Red Hat, derzeit Marktführer bei Enterprise-Open-Source-Produkten, ist zusätzlich bemüht, die eigenen Produkte, die nicht selten als Basis kritischer Umgebungen dienen, möglichst gut gegen ungewollte Zugriffe zu sichern. 100-prozentige Sicherheit wird man aber weder in der Open-Source-Welt noch bei proprietären Produkten finden.

Ein Anbieter wie Red Hat unterliegt jedoch anderen Zwängen als ein experimentelles Projekt. Kritiker des “roten Riesens” sprechen bereits von einem Microsoft des Open Source. Dieser Vorwurf kam unter anderem im Zusammenhang mit dem OpenStack-Spezialisten Mirantis auf.

Jan Wildeboer, Evangelist bei Red Hat (Bild: Martin Schindler)
“Alles, was man mehr als einmal macht, wird irgendwann automatisiert werden”. Das gilt laut Jan Wildeboer, Evangelist bei Red Hat, auch für die sichere Bereitstellung von Containern. (Bild: Martin Schindler)

Trotz solcher Querelen setzten sich Open-Source-Technologien immer weiter durch. Und das hängt nicht zuletzt auch mit den massiven Veränderungen zusammen, vor der die IT-Branche steht: “Wir bewegen uns immer mehr in einer rein software-basierten Welt, Hardware wird immer mehr an den Rand gedrängt”, erklärte Jan Wildeboer, EMEA Evangelist von Red Hat, kürzlich vor Journalisten in München. Mehr Software bedeutet aus seiner Sicht auch immer mehr Open Source. Der Grund dafür liege darin, dass 80 Prozent des IT-Stacks aus Wettbewerbsperspektive völlig irrelevant sind. Lediglich 20 Prozent der gesamten Infrastruktur seien für den Bereich verantwortlich, in dem die Differenzierung gegenüber den Marktbegleitern stattfindet.

“Und der Vorteil ist hier, über diese ’80 Prozent’ kann man mit anderen reden”, erklärt Wildeboer. Hier können sich auch Konkurrenten austauschen, damit sieht der Red-Hat-Mitarbeiter Open-Source auch als Entwicklungswerkzeug als gesetzt an. Zudem sei es für viele Unternehmen oft die einzige Möglichkeit, um Entwickler auch zu halten.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Ein wichtiger Beitrag für die Sicherheit habe tatsächlich die NSA geleistet, berichtet Wildeboer, die zusammen mit Red Hat SE Linux entwickelt habe. SE steht für Security Enhanced. Inzwischen seien aber viele Features aus SE Linux in Red Hat Enterprise Linux enthalten und sorgten hier für ein Plus an Sicherheit. Außerdem, so betont Wildeboer, müsse Red Hat aufgrund des offenen Codes, sobald ein Bug gefunden werde reagieren. Hier investiere Red Hat sehr stark in die entsprechenden Infrastrukturen.

Ein weiterer Schritt für mehr Sicherheit liegt in der Entwicklung neuer Technologien. Als Beispiel nennt Wildeboer das Thema Container. Derzeit wird diese Technologie, die im Mainframe-Bereich seit Jahren eingesetzt wird, meist mit Docker gleichgesetzt.

Red Hat sorgt mit neuen Funktionen in der Registry für eine bequemere Verwaltung von Container-Images. (Bild: Red Hat)
Red Hat sorgt mit neuen Funktionen in der Registry für eine bequemere Verwaltung von Container-Images. (Bild: Red Hat)

“Aber wenn wir bei Docker sind, dann sind wir nicht zufrieden, gerade was das Thema Sicherheit angeht”, unterstreicht Wildeboer. Red Hat liege daher in einer Art Streit mit Docker. Es gebe verschiedene Punkte, bei denen Docker bislang keine Antwort geben könne.

“Wer agil reagieren will, braucht entsprechende Methoden, um Anwendungen zu erstellen”, erklärt Matthias Pfützner, Solution Architect Cloud bei Red Hat. Zwar plane Red Hat nicht, in die Anwendungsentwicklung zu gehen, man wolle sich aber als Anbieter für die Bereitstellung von Tools positionieren.

"Matthias Pfützner, Solution Architect Cloud von Red Hat (Bild: M. Schindler)
“Red Hat will keine Anwendungen bereit stellen, sondern Tools und Methoden um diese effizient zu entwickeln”, erklärt Matthias Pfützner, Solution Architect Cloud von Red Hat. (Bild: M. Schindler)

Doch genau dafür seien eine neue Herangehensweise und ein vollständiger Build-Prozess mit Analyse sowie Tools für CI/CD, also Continous Integration und Continous Development, erforderlich. “Ein Container ist hier erst mal nur ein Austauschformat” so Pfützner weiter. “Und wir haben uns gefragt, wie können wir Container sicherer machen?”

Einer der Unterschiede zu Docker sei bei OpenShift ein vertrauenswürdiges Repository, über das beispielsweise genau festgelegt werden kann, welche Version von MongoDB verwendet wird und woher diese stammt. Zudem könne man in der Red-Hat-Implementierung auch Rechte für einzelne Container vergeben. Red Hat listet die Unterschiede von Red Hat Atomic und Docker jedoch detailliert auf.

Daher sei man bei Red Hat auch zu dem Schluss gekommen: “Es muss nicht zwangsläufig Docker sein.” Die vollständige standardisierte Bereitstellung eines Containers sei jedoch noch nicht erreicht. Allerdings setzte Red Hat derzeit große Hoffnungen auf das Management-Projekt Kubernetes und auch auf die gemeinsame Entwicklung zusammen mit Kunden.

Als Beispiel nennt Wildeboer hier den Reisespezialisten Amadeus. Red Hat habe zusammen mit dem Anwender eigene Lösungen für Container entwickelt und der bezieht jetzt diesen Code von Red Hat. “Die klassische Trennung von Kunde und Anbieter löst sich immer mehr auf”, schließt Wildeboer.