Aufgrund der zunehmenden Nutzung von Containern in cloudnativen Umgebungen erfreuen sich Werkzeuge für die automatisierte Echtzeiteinsicht immer größerer Beliebtheit. Damit lassen sich nämlich sämtliche Aktivitäten schnell und übersichtlich überprüfen. Aus Sicherheitsgründen empfiehlt es sich, den Container- Zugriff auf Host- sowie Netzwerkressourcen zu beschränken. Dadurch lassen sich die Ausnutzung von Sicherheitslücken oder Angriffe auf aktive Container verhindern.

Derartige Maßnahmen nehmen Sie in Ihrem Fall mit dem AWS Security Hub vor. Sie müssen diesen in der gewünschten AWS-Region aktivieren, dann sind automatisierte Compliance-Überprüfungen für Container-Images aus dem Amazon ECR-Image-Repository (Elastic Container Registry) möglich und in EKS-Clustern bereitstellbar. Der Dienst generiert einen automatischen Security- Hub-Befund, wenn ein anfälliges Image mit kritischen oder hohen CVEs (Common Vulnerabilities and Exposures) in ECR veröffentlicht wird. Mithilfe des Security-Hub können Sie dann Probleme beheben und Images zulassen oder blockieren. Die Einrichtung funktioniert folgendermaßen: Öffnen Sie zunächst Cloud- Formation in der AWS-Managementkonsole und starten Sie die Vorlage "aws-ecrcontinuouscompliance- v1.yml" [Link-Code https://github.com/aws-samples/aws-securityhub-remediations/tree/main/aws-ecr-continuouscompliance/cft]. Dieses Template erledigt folgende Schritte bereits automatisch, Sie müssen also dafür keinerlei Parameter einstellen:

- Die Regel für Amazon CloudWatch Events (EventBridge) wird basierend auf einem ECR-Ereignis für einen abgeschlossenen Image-Scan ausgelöst.

- AWS Lambda bezieht Details aus dem ECR-Event "Completed Image Scan" und sendet den Befund per AWSSecurity- Finding-Format an den Security- Hub.

- Der Security-Hub erstellt eine entsprechende Regel, die durch eine benutzerdefinierte Aktion ausgelöst wird. Außerdem wird Lambda als Ziel für diese Aktion des Security-Hub bereitgestellt. Wenn das Event für den Image-Scan nun eine Schwachstelle (kritisch oder hoch) aufweist, verweigert AWS Lambda den Zugriff durch eine ECR-Repository- Richtlinie.

Nach der Aktivierung des Templates verfügen Sie über ein cloudnatives Werkzeug in AWS für die Compliance bei Container- Images. Die Identifikation und Behebung von Schwachstellen gescannter Images wird dabei mit Amazon ECR und dem Security-Hub automatisiert. Dies führt zur Bereitstellung von ausschließlich genehmigten Images in den EKS-Clustern. Außerdem ermöglicht sie eine zentralisierte Sichtung und die Behebung von Schwachstellen in diesen Container- Images mithilfe des Security-Hub.

Outlook hält bei aktivierter erweiterter Protokollierung Informationen über verschiedene Vorgänge fest, etwa

-Kalendertransaktionen (Automatische Verarbeitung des Posteingangs, Veröffentlichen der Frei-/Gebucht-Zeiten, Erinnerungen, et cetera)

- Offline-Adressbuchaktionen

- Kommunikation mit Exchange-, POP3-, SMTP- und IMAP-Servern

Die entsprechenden Protokolle liegen in den Ordnern "%localappdata% \ Temp \ Outlook-Protokoll" beziehungsweise "%localappdata% \ Temp \ Outlook Logging". Gerade Kalenderprobleme oder Fehler mit POP3/IMAP-Servern können Sie so gut nachvollziehen. Welche Logs im Detail geschrieben werden, entnehmen Sie einer speziellen Webseite von Microsoft [Link-Code https://support.microsoft.com/de-de/office/welche-funktion-hat-die-option-protokollierung-aktivieren-problembehandlung-0fdc446d-d1d4-42c7-bd73-74ffd4034af5?ui=de-de&rs=de-de&ad=de]. Seit Outlook 2010 können Sie in den Outlook-Optionen unter "Erweitert / Weitere" den Punkt "Protokollierung der Problemhandlung" aktivieren. Unter Outlook 2007 finden Sie den Punkt unter "Tools / Optionen / Andere / Erweiterte Optionen". Um nicht unnötige Protokolle zu schreiben, deaktivieren Sie die Funktion nach der Nutzung wieder.

Neben der Neuinstallation der OPNsense Business Edition – beginnend mit der Version 21.4 hat Hersteller Deciso hier ein eigenes installierbares Image spendiert – ist es auch möglich, von der Community Edition zu wechseln. Melden Sie sich dazu zunächst beim Webinterface von OPNsense an und gehen Sie dann ins "System / Firmware"-Menü. Da sich die Release-Struktur der Firewall geändert hat, kann es sein, dass Sie für das Upgrade zunächst auf eine ältere Version zurückwechseln müssen – in unserem Beispiel von 21.1.5 auf 21.1.4. Dies geschieht aber automatisch, dazu weiter unten mehr.

Gehen Sie zum Reiter "Settings". Sie haben den Subscription Key für die Business Edition in der Regel per E-Mail erhalten. Ändern Sie die Einstellungen wie im Bild rechts oben ersichtlich und geben Sie Ihren Lizenzschlüssel an. Klicken Sie anschließend auf "Save" und dann im Reiter "Status" auf "Check for updates". Es erscheint nun ein Release-Hinweis zur OPNsense Version 21.4. Klicken Sie das Fenster mit dem "X" im rechten oberen Eck weg. Nun befinden Sie sich im Reiter "Updates". Sie erkennen an dieser Stelle, dass das Paket "base" von 21.1.5 auf 21.1.4 zurückgerollt und unter anderem das Paket "opnsense-business" installiert wird. Klicken Sie auf "Update" und auf "OK". Der Upgradevorgang startet. In unserem Fall haben Sie nun Version 21.4 installiert, was auch im Dashboard von OPNsense ersichtlich ist. In der Regel ist kein Neustart erforderlich. Es stellt übrigens zu keiner Zeit ein Problem dar, über den umgekehrten Weg von der Business Edition zurück zur Community Edition zu wechseln.

Viele weitere Tipps und Tricks zum Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter https://www.thomaskrenn.com/de/wiki/Hauptseite/ .

Vor allem bei Installationen mit einer hohen Anzahl an ressourcenintensiven Sensoren, meist im Zusammenspiel mit sehr kurzen Abfrageintervallen, kann es bei PRTG Network Monitor mitunter zu Leistungseinbußen kommen. Das lässt sich recht einfach mit einem Rechenbeispiel erklären. Angenommen, eine Installation nutzt 7500 Sensoren auf einem Server, mit einem Abfrageintervall von unter 60 Sekunden, führt das zu mehreren Hundert Sensorabfragen pro Sekunde. Sind darunter auch ressourcenintensive Sensoren, die etwa API-Calls ausführen, wirkt sich dies unweigerlich negativ auf die Systemleistung aus.

Die Beachtung einiger einfacher Regeln kann hier Abhilfe schaffen. Ab 10.000 Sensoren und mehr empfiehlt es sich meist, einen weiteren Server im Netzwerk einzusetzen. Eine PRTG-Probe sollte 2500 Sensoren nicht überschreiten. Der Hersteller Paessler empfiehlt außerdem, auf jeder PRTG-Probe nicht mehr als 200 der ressourcenintensiven WMI-Sensoren einzusetzen. Zu viele Kanäle innerhalb eines Sensors können ebenfalls zu Leistungsengpässen führen, da alle Kanäle eines Sensors gleichzeitig gescannt werden. Auch die Erhöhung des Abfrageintervalls von Sensoren hilft, Leistungsspitzen abzuflachen.

Eine übersichtliche Zusammenfassung inklusive Erläuterung dieser und noch vieler weiterer Tipps zur Erhöhung der Leistung von PRTG-Installationen finden Sie im Paessler-Blog. [Link-Code https://support.microsoft.com/de-de/office/welche-funktion-hat-die-option-protokollierung-aktivieren-problembehandlung-0fdc446d-d1d4-42c7-bd73-74ffd4034af5?ui=de-de&rs=de-de&ad=de].

Viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG finden Sie in der Paessler Knowledge Base unter https://kb.paessler.com/ .

Der Zugriff auf lokale Dateien von einem Remotedesktop oder einer Remote-Anwendung aus kann ein unbefriedigendes Benutzererlebnis bieten, vor allem über eine Verbindung mit geringer Qualität. Mit der Funktion "Accelerated File Retrieval" von Parallels Remote Application Server (RAS) können Sie die Datei-Eingabe/ Ausgabe-(E/A)-Operationen über eine RDP-Sitzung jedoch deutlich verbessern. Diese bietet eine höhere Geschwindigkeit und Stabilität als Standard- RDP beim Zugriff auf lokale Dateien und Ordner – selbst bei schlechter Netzwerk- Konnektivität.

Die beschleunigte Dateiübertragung ist standardmäßig für Remotedesktop- Sitzungshost (RDSH), virtuelle Desktopinfrastruktur (VDI), Windows Virtual Desktop (WVD) und Remote PC-Workloads aktiviert. Die Funktion setzt jedoch voraus, dass die Laufwerksumleitung in der Benutzersitzung aktiviert ist. Dies konfigurieren Sie über die RAS-Richtlinien von Parallels: Navigieren Sie in der RASKonsole zu "Richtlinien / Aufgaben / Hinzufügen", um eine neue Richtlinie zu konfigurieren. Sie befinden sich jetzt im Fenster "Richtlinieneigenschaften". Geben Sie einen Namen und eine Beschreibung ein, bevor Sie die Benutzer auswählen, auf die Sie die Richtlinie anwenden möchten. Im linken Bereich des Bildschirms finden Sie den Abschnitt "Lokale Geräte und Ressourcen". Prüfen Sie, ob die Festplattenlaufwerke eingeschaltet sind. Aktivieren Sie die Option "Laufwerkumleitung zulassen" und ergänzen Sie die anderen Optionen entsprechend Ihren Bedürfnissen. Bestätigen Sie abschließend mit "OK". Die Funktion zur beschleunigten Dateiübertragung sollte ab jetzt dabei helfen, optimale Abrufzeiten für Dateien zu gewährleisten.

Das Open-Source-Framework Kubesploit ist in Golang geschrieben und baut auf das Merlin-Projekt auf, einem plattformübergreifenden Post-Exploitation- HTTP/2 Command & Control- Server und -Agent. Merlin bietet die Möglichkeit, neue Module dynamisch hinzuzufügen, die es ermöglichen, relevante Module für Kubernetes zu erstellen. CyberArk wollte neue Module dynamisch laden, um sie im Agenten auszuführen und den Agenten leichtgewichtig und flexibel zu halten, daher hat das Team einen Go-Interpreter namens "Yaegi" zu Kubesploit hinzugefügt.

Mit dieser Fähigkeit ist es möglich, neue Golang-Module "on the fly" zu schreiben und sie auszuführen, während der Agent noch läuft. Die Unterstützung der Ausführung von Golang-Code kann das Schreiben von komplexen Anwendungen ermöglichen und bereits in Go geschriebene Exploits integrieren. Zudem wurden neue Module entwickelt, die sich auf Angriffsvektoren für containerisierte Umgebungen beziehen. Dazu zählen zum Beispiel der Ausbruch aus einem Container auf den Host, Kubelet- Angriffe, Scannen nach bekannten Schwachstellen im Cluster sowie Scans von Diensten und Ports. In Zukunft sollen noch weitere Module hinzukommen sowie Beiträge für neue Komponenten im Zusammenhang mit Kubernetes und containerisierten Umgebungen im Allgemeinen unterstützt werden.

Link-Code https://github.com/cyberark/kubesploit

Airship kombiniert verschiedene Open- Source-Tools zur deklarativen Automatisierung der Cloudbereitstellung. In Version 2.0 bietet die Software zudem erweiterte Funktionen für das Dokumentenmanagement und einen verbesserten Upgrade-Prozess mit cloudnativen Tools. Zudem erlaubt es IT-Verantwortlichen, für Workloads auf Bare-Metal als auch auf Public Clouds denselben Verwaltungs- Workflow zu verwenden. Im Kern wandelt das Tool deklarative YAML-Dateien in eine sofort einsatzbereite offene Infrastruktur um. Daneben kümmert es sich um Bare-Metal-Provisioning, Sicherheits- und Netzwerkrichtlinien und das Lifecycle-Management.

Mit der Airship-2.0-Befehlszeilenschnittstelle airshipctl können Admins YAML-Dokumente organisieren und bereitstellen, die eine Airship-2.0-Region mit sogenannten Phasen (logische Gruppen von Funktionalität, die die Bausteine einer Site sind) beschreiben. Airshipctl rendert die Phasen mit Kustomize, einem Werkzeug aus der Kubernetes-Community. Durch die Verwendung von Kustomize mit airshipctl lässt sich der YAMLFootprint klein halten, wobei zusätzliche Werkzeuge die Datenduplizierung reduzieren. Beim Airship-Upgrade-Prozess sind IT-Verantwortliche in der Lage, Upgrades mit Airshipctl zu steuern und Kubernetes den Rest erledigen zu lassen. Schließlich erstreckt sich die bereits angesprochene Nutzung von Workflows für Bare-Metal und öffentliche Clouds auf die Administration in Microsoft Azure, Google Cloud Platform, AWS und OpenStack.

Link-Code:hhttps://github.com/airshipit/airshipctl/releases/tag/v2.0.0

C-Advisor bereitet die Perfomance- und Auslastungsdaten der Container-Landschaft in einem sich aktualisierenden Webinterface auf. Dies zeigt Ergebnisse für den ganzen Host oder für einzelne Container an. Erstere umfassen die CPUAuslastung, den Speicherverbrauch, den Netzwerkverkehr sowie den belegten Plattenplatz. Das ermöglicht einen schnellen Überblick darüber, wie ausgelastet der Host und in welchem Zustand die Container sind.

Wie erwähnt aktualisiert das Tool die Daten in Echtzeit und kann diese visualisieren. Standardmäßig speichert die Software diese Daten jedoch nicht. Dafür bietet Google die Möglichkeit, die Performancedaten in eine Influx DB zu schreiben. Diese hält die Daten für spätere Auswertungen bereit. Das erledigt allerdings nicht mehr C-Advisor, sondern dafür kommen andere Tools zum Zug, etwa Grafana. Die Kombination aus Influx DB und Grafana erlaubt zudem den Einsatz von C-Advisor für eine große Menge an Hosts. Daneben konsolidiert es die Anzeige der Daten in Graphen oder Dashboards und bringt diese als Übersicht auf den Schirm. So behält der Admin die Docker-Landschaft stets im Blick.

Link-Code: https://github.com/google/cadvisor/releases/tag/v0.26.0