Container-Sicherheit mit Trivy und Vulnerability-Scans für Images, Registries und Cluster
Ein praxisorientierter Leitfaden, wie du mit Trivy Container-Images, Registries und Kubernetes-Cluster automatisiert auf Schwachstellen prüfst und Sicherheitslücken früh schließt.
Einführung
Container haben die Anwendungsbereitstellung revolutioniert, bringen jedoch ihre ganz eigenen Angriffsflächen mit. Misskonfigurierte Images, veraltete OS-Pakete oder bösartige Abhängigkeiten können sich unbemerkt in deine Anwendungsumgebungen schleichen. Shift Left lautet deshalb das Gebot der Stunde: Schwachstellen erkennen, bevor Images in Produktion landen.
Mit Trivy, einem Open-Source-Scanner von Aqua Security, kannst du deine Container Images und OS-Pakete zuverlässig untersuchen. Trivy prüft dabei Container-Images (lokal oder in Registries), Dateisysteme & Archive, Kubernetes-Manifeste & -Cluster (via Trivy Operator) und IaC-Templates wie Terraform oder Helm Charts (mit Erweiterungen wie tfsec).
Damit deckt ein einziges Tool den gesamten Lebenszyklus ab von deinem Laptop bis hin zur produktiven Laufzeitumgebung.
Was ist Trivy?
Trivy kombiniert drei Scan-Ebenen:
- OS-Pakete (z. B.
apt,apk,rpm) - Abhängigkeiten deiner Applikationen (Node, Python, Go, Java …)
- Konfigurationsschwachstellen (Dockerfile, K8s, Terraform)
Die CVE-Datenbank aktualisiert Trivy out-of-the-box alle 12 Stunden, wahlweise aus den Aqua Vulnerability DB Mirrors oder Community-Feeds wie GitHub Security Advisory.
Die Besonderheiten sind dabei, dass der Scan durch lokales Caching blitzschnell durchgeführt werden kann und damit auch sehr gut in CI/CD-Pipelines integriert werden kann.
Praxisbeispiele
Viele Teams bevorzugen ein schlankes Bash‑Skript, das sich in jede CI‑Umgebung wie Jenkins, GitHub Actions, GitLab oder Azure DevOps integrieren lässt. Aus diesem Grund ist ein Anwendungsfall von Trivy der Scan von bereits existierenden Docker Images in deiner Container Registry.
Du könntest beispielsweise einen nächtlichen Job einrichten, der alle deine Container Images nutzt und diese Informationen anschließend über Grafana Pushgateway, Log Analytics Workspace oder Splunk zur Speicherung senden. Diese gewonnen Informationen kannst du dann ohne Probleme in Grafana Dashboards oder Azure Workbooks integrieren, um Dev-Teams und Product Owner über bestehende Sicherheitslücken zu informieren.
Du könntest alternativ auch bereits deployte Anwendungen in deiner Produktivumgebung nächtlich Scannen, um zu schauen, ob aktuell verwendete Anwendungen Sicherheitslücken besitzen. Um diesen Use Case abzubilden, könntest du dich über die Azure ClI authentifizieren und zum Beispiel über die az webapp Befehle die aktuell verwendeten Image Sha scrapen.
Basierend auf den gesammelten Image Sha kannst du anschließend custom Bash-Skripte erstellen, um einzelne Findings aus den jeweiligen Trivy Scans einzelner Images zu extrahieren. Diese gefilterten und aggregierten Daten kannst du anschließend an deinen Log Analytics Workspace oder an Prometheus senden, um es anschließend final in Dashboards darzustellen.
Der Vorteil ist damit direkt ersichtlich, du stellst die sicherheitsrelevanten Informationen automatisiert für alle deine Projektmitglieder stets auf dem aktuellsten Stand bereit.
Zusammenfassung
Ein einziges Tool wie Trivy kann dich viel Zeit und Kosten sparen, da du jederzeit über aktive Sicherheitslücken informiert wirst und deinem Team gleichzeitig eine Richtlinie zu einer sicheren Cloud-Strategie gibst.
Wenn du mehr über das Thema und die Umsetzung erfahren möchtest, kann ich dir diesen Link empfehlen.