Dynamische Integritätsüberwachung einer auf einem Gastrechner aus geführt en Container-Lauf zeitumgebung

Die Erfindung betri f ft Verfahren zur dynamischen Integritätsüberwachung einer auf einem Gastrechner ausgeführten Container-Lauf zeitumgebung, auf der mindestens ein Container ausgeführt und mittels einer Orchestrierungsvorrichtung verwaltet wird .

Containervirtualisierung ist eine Methode , bei der mehrere Instanzen eines Betriebssystems isoliert voneinander einen Betriebssystemkern eines Gastrechners nutzen können . Software Container, im Weiteren kurz Container genannt , stellen somit eine leichtgewichtige Art der Virtualisierung einer Lauf zeitumgebung auf einem Gastrechner, auch Hostsystem genannt , dar und kapseln eine in einem Container betriebene Software- Anwendung vom darunterliegenden Gastrechner ab . Software- Anwendungen werden mittlerweile in vielen Bereichen durch den Einsatz von Container-Technologie implementiert , beispielsweise in der Industrieautomation und der Prozesssteuerung, aber auch in Transportsystemen oder der Gebäudeautomatisierung .

Um einen Container auf dem Gastrechner starten zu können, wird ein Containerimage benötigt , welches neben der Anwendungssoftware auch die für die Anwendungssoftware erforderlichen Binärprogramme und Bibliotheken enthält . Aus dem Containerimage wird auf dem Gastrechner ein Container, genauer eine Containerinstanz , erstellt und auf der Lauf zeitumgebung des Gastrechners ausgeführt .

Eine orchestrierte Lauf zeitumgebung umfasst einen Orchestrie- rer und mindestens ein, meist eine Viel zahl von Gastrechner, auch als Knoten bezeichnet , die dem Orchestrierer zugeordnet sind . Der Orchestrierer startet , verwaltet und beendet Containerinstanzen auf den zugeordneten Gastrechnern . Typische orchestrierte Lauf zeitumgebungen sind hierbei Kubernetes- basierte Containerumgebungen, die entweder Cloud-basierte Container-as-a-Services-Umgebungen oder in einer Cloud betriebene virtuelle Instanzen als Knoten einer orchestrierten Lauf zeitumgebung verwalten .

Neben einer Verwendung von orchestrierten Lauf zeitumgebungen im IT-Umfeld werden diese auch im industriellen Internet of Things ( loT ) -Umfeld eingesetzt . Bei Geräten, die im industriellen Umfeld als Knoten einer orchestrierten Lauf zeitumgebung betrieben werden, ist es im Gegensatz zu dem oben beschriebenen typischen Kubernetes-S zenario nicht üblich, dass Containerinstanzen kurzlebig, typischerweise maximal 24 Stunden, auf dem Gerät betrieben werden, sondern über einen längeren Zeitraum, d . h . mehrere Tage bis Wochen, ohne Unterbrechung laufen . Erhält ein Angrei fer unberechtigten Zugri f f auf einen Knoten, kann dieser zusätzliche Software auf dem von der zentralen Orchestrierungseinheit verwalteten Knoten installieren oder diesen modi fi zieren . Insbesondere können in solchen Umgebungen unter anderem Containerinstanzen parallel zu den von der Orchestrierungskomponente verwalteten Instanzen gestartet werden ohne dass der Orchestrierer Kenntnis davon erlangt oder diesen Vorgang verhindern kann .

Bekannte Integritätsüberwachungssysteme können durch den Orchestrierer veranlasste dynamische Start- und Stopp-Vorgänge einzelner Containerinstanzen nicht optimal erkennen, sondern basieren auf einem statischen Regelwerk, das gegebenenfalls durch Abfrage von Orchestrierer-spezi f ischer Deployment- Inf ormationen erweitert werden . Zur Erstellung des statischen Regelwerks , müssen sämtliche Anwendungs fälle bekannt sein bzw . da dies selten der Fall ist , müssen die Regelwerke sehr groß zügig definiert werden .

Es ist somit eine Aufgabe der vorliegenden Erfindung, ein Verfahren zu schaf fen, welches automatisch und in Abhängigkeit einer vom Orchestrierer definierten Lauf zeitkonfiguration eine Integritätsüberwachung eines Knotens durchführen kann und somit auf dem Zielknoten einen Abgleich durchführen kann, ob Instanzen tatsächlich vom Orchestrierer gestartet wurden und die vom Orchestrieren vorgegebene Lauf zeitkonfiguration sämtlicher auf dem Knoten betriebener Instanzen identisch zu den Vorgaben des Orchestrierers sind .

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst . In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt .

Gemäß einem ersten Aspekt betri f ft die Erfindung ein Verfahren zur dynamischen Integritätsüberwachung einer auf einem Gastrechner ausgeführten Container-Lauf zeitumgebung, auf der mindestens ein Container ausgeführt und mittels einer Orchestrierungsvorrichtung verwaltet wird, umfassend die Schritte : in der Orchestrierungsvorrichtung,

- beim Starten einer Containerinstanz auf der Container- Lauf zeitumgebung durch die Orchestrierungsvorrichtung, Erstellen einer Instanz-spezi fischen Integritätsregel betreffend mindestens eine Ressource des Gastrechners , die zur Ausführung der Containerinstanz zugeteilt ist ,

- Hinzufügen der Instanz-spezi fischen Integritätsregel zu einer Gastrechner-spezi fischen Integritätsrichtlinie , die für j ede auf der Container-Lauf zeitumgebung des Gastrechners bereits ausgeführte Containerinstanz eine Instanz-spezi fische Integritätsregel umfasst und in der Orchestrierungsvorrichtung angeordnet ist ,

- Übermitteln der Gastrechner-spezi fischen Integritätsrichtlinie an den Gastrechner, im Gastrechner,

- Überprüfen der auf dem Gastrechner durch Containerinstanzen zugewiesene Ressourcen gegenüber der Gastrechner-spezi fischen Integritätsrichtlinie , und

- Ausgeben einer Alarmnachricht , wenn beim Überprüfen ein Verstoß gegen die Gastrechner-spezi fische Integritätsrichtlinie ermittelt wurde .

Die Instanz-spezi fische Integritätsregel umfasst eine oder eine Viel zahl von Integritätsregeln, die j eweils eine oder mehrere Ressourcen des Gastrechners betref fen, die der Con- tainerinstanz zugewiesen sind . Die Gastrechner-spezi fische Integritätsrichtlinie bezieht sich auf den kompletten Gastrechner, d . h . auf alle auf der Lauf zeitumgebung ausgeführten Containerinstanzen und die dazu verwalteten Ressourcen des Gastrechners . Die Gastrechner-spezi fische Integritätsrichtlinie wird für j eden von der Orchestrierungsvorrichtung verwalteten Gastrechner beispielsweise bei der Zuordnung des Gastrechners zur Orchestrierungseinheit oder beim ersten Start einer Containerinstanz auf dem Gastrechner erstellt . Die Gastrechner-spezi fische Integritätsrichtlinie wird bei j edem weiteren von der Orchestrierungsvorrichtung veranlassten Start einer Containerinstanz auf dem Gastrechner aktualisiert und somit dynamisch aktualisiert . Durch das Übermitteln und Überprüfen der Gastrechner-spezi fische Integritätsrichtlinie im Gastrechner können nicht von der Orchestrierungsvorrichtung gestartete Containerinstanzen oder von der Konfiguration der gestarteten Containerinstanz abweichende Ressourcen über die gesamte Lauf zeit der Containerinstanz identi fi ziert werden . Durch das Integrieren der Instanz-spezi fische Integritätsregel kann auch für den Gastrechner selbst eine Integri- tätsüberwachung durchführt geführt werden .

In einer vorteilhaften Aus führungs form umfasst das Verfahren die weiteren Schritte :

- Empfangen einer Mitteilung in der Orchestrierungsvorrichtung, wenn eine der Containerinstanzen auf dem Gastrechner beendet wird, und

- Übermitteln einer bezüglich der Mitteilung aktualisierten Gastrechner-spezi fischen Integritätsrichtlinie , an Gastrechner .

Die Gastrechner-spezi fische Integritätsrichtlinie wird somit nicht nur aktualisiert , wenn die Orchestrierungsvorrichtung ein Beenden der Containerinstanz veranlasst , sondern auch dann, wenn das Beenden durch den Gastrechner veranlasst wird oder aufgrund eines Absturzes beendet wird .

In einer vorteilhaften Aus führungs form wird die Gastrechnerspezi fische Integritätsrichtlinie aktualisiert , wenn ein Er- eignis in der Orchestrierungsvorrichtung erkannt wird, das die Zusammensetzung und/oder Konfiguration der Container” Instanzen auf dem Gastrechner verändert , und die aktualisierten Gastrechner-spezi fische Integritätsrichtlinie wird an den Gastrechner übermittelt .

Somit wird die Gastrechner-spezi fische Integritätsrichtlinie bei einer Änderung der Zusammensetzung, d . h . welche und wie viele Containerinstanzen, aber auch bei einer Änderung der Konfiguration, bspw . der zugewiesenen Ressourcen, der auf dem Gastrechner laufenden Container- Instanzen durch die Orchestrierungsvorrichtung angepasst .

In einer vorteilhaften Aus führungs form ist das Ereignis mindestens eine der folgenden Aktionen : ein Aus fallen einer Containerinstanz auf dem Gastrechner, ein Starten einer neuen Containerinstanz auf dem Gastrechner, eine Aktualisierung der Containerinstanz entsprechend einem geänderten Containerimage , Erkennung eines Applikationsabsturzes und Neustart von betrof fenen Containerinstanzen auf dem Gastrechner .

In einer vorteilhaften Aus führungs form wird die Instanzspezi fische Integritätsregel abhängig von Information zu einem Containerimage , aus dem die Containerinstanz aufgebaut wird, erstellt .

Durch die Instanz-spezi fische Integritätsregel kann für den Gastrechner selbst eine Integritätssicherung durchgeführt werden . Die Instanz-spezi fische Integritätsregel abhängig von Information zum Containerimage hat den Vorteil , dass diese für weitere Containerinstanzen vom gleichen Containerimage lediglich dupli ziert und wiederverwendet werden kann .

In einer vorteilhaften Aus führungs form wird die Instanzspezi fische Integritätsregel abhängig von Information aus einer Bereitstellungsinformation, die die Konfiguration der Containerinstanz beim Start der Containerinstanz auf der j eweiligen Container-Lauf zeitumgebung vorgibt , erstellt . Dies ist insbesondere dann vorteilhaft , wenn die Konfiguration der innerhalb des Containerimages definierten Dienstes oder das Ziel von Schreiboperationen außerhalb des Containerimages und insbesondere über Bereitstellungs-spezi f ische Variablen oder Konfigurationsdateien definiert werden . Ein konkretes Beispiel stellt die Bereitstellung eines Werbservers dar, der innerhalb einer mikrosegmentierten Applikation mehrfach in unterschiedlichen Kontexten eingesetzt wird . Z . B . gibt es Containerinstanzen für die Frontend-Komponente , die nach außen exponiert werden und nicht-exponierte Containerinstanzen im Backend, die für die Gesamtapplikation Informationen zuliefern und beispielsweise Perf ormance-Daten einer Steuerungsanlage bereitstellen, die im Frontend angezeigt werden .

In einer vorteilhaften Aus führungs form wird die Gastrechnerspezi fische Integritätsrichtlinie und/oder die einzelnen darin enthaltenen Instanz-spezi fischen Integritätsregeln mittels einer digitalen Signatur der Orchestrierungsvorrichtung geschützt .

Der Gastrechner kennt den zugehörigen öf fentlichen Schlüssel der Orchestrierungsvorrichtung und kann somit die Integrität der Richtlinie bzw . Regeln sowie die signierende Vorrichtung, d . h . die Orchestrierungseinheit überprüfen . Eine durch einen Angrei fer modi fi zierte Richtlinie oder Regel kann somit identi fi ziert werden . Die signierende Orchestrierungseinheit kann validiert werden .

In einer vorteilhaften Aus führungs form betri f ft das Überprüfen der Gastrechner-spezi fische Integritätsrichtlinie die den Containerinstanzen zugewiesenen Ressourcen eines Dateisystems und/oder Netzwerkverbindungsressourcen und/oder Prozessressourcen und/oder aus führbare Programmdateien .

Somit werden alle für die Aus führung der Containerinstanzen auf dem Gastrechner benötigten Ressourcenarten überprüft . In einer vorteilhaften Aus führungs form wird das Überprüfen zumindest eines Teils der Gastrechner-spezi f ischen Integri- tätsrichtlinien außerhalb des Gastrechners durchgeführt .

Dies ermöglicht eine einfache Überprüfung von aus dem Gastrechner ausgelagerten Ressourcen, die von den Containerinstanzen genutzt werden, beispielsweise ausgelagert Speicherkapazitäten .

In einer vorteilhaften Aus führungs form wird die Alarmnachricht an eine zentrale Alarmierungsvorrichtung weitergeleitet , und Alarmaktionen werden entsprechend einer Alarmierungsrichtlinie von der Alarmierungsvorrichtung aus führt .

Somit können Alarmaktionen einheitlich für alle angebundenen Gastrechner einfach festgelegt und bereitgestellt werden .

In einer vorteilhaften Aus führungs form weist die Gastrechnerspezi fischen Integritätsrichtlinie eine vorgegebene maximale Gültigkeitsdauer auf und/oder die Gastrechner-spezi fischen Integritätsrichtlinie wird in zyklischen Zeitabständen aktualisiert .

Somit kann verhindert werden, dass alte Gastrechnerspezi fische Integritätsrichtlinien von einem Angrei fer gesichert und weitere Aktualisierungen durch einen Angrei fer unterbunden werden können .

Gemäß einem zweiten Aspekt betri f ft die Erfindung ein System zur dynamischen Integritätsüberwachung einer auf einem Gastrechner ausgeführten Container-Lauf zeitumgebung, auf der mindestens eine Containerinstanz ausgeführt und mittels einer Orchestrierungsvorrichtung verwaltet wird, umfassend den Gastrechner, umfassend eine Container-Lauf zeitumgebung, sowie

- eine Empfangseinheit , die derart ausgebildet ist , eine Gastrechner-spezi fischen Integritätsrichtlinie zu empfangen,

- eine Integritätserkennungseinheit , die derart ausgebildet ist , mindestens einer Containerinstanz zugewiesene Ressourcen gegenüber der Gastrechner-spezifischen Integritätsrichtlinie zu überprüfen, und

- eine Ausgabeeinheit, die derart ausgebildet ist, eine Alarmnachricht auszugeben, wenn beim Überprüfen ein Verstoß gegen die Gastrechner-spezifischen Integritätsrichtlinie ermittelt wurde, und die Orchestrierungsvorrichtung, umfassend eine Integritätseinheit, die derart ausgebildet ist,

- beim Starten einer Containerinstanz auf der Container- Laufzeitumgebung durch die Orchestrierungsvorrichtung eine Instanz-spezifische Integritätsregel betreffend mindestens eine Ressource des Gastrechners, die zur Ausführung der Containerinstanz zugeteilt ist, zu erstellen, und

- die Instanz-spezifische Integritätsregel zu einer Gastrechner-spezifischen Integritätsrichtlinie, die für jede auf der Container-Laufzeitumgebung des Gastrechners bereits ausgeführte Containerinstanz eine Instanz-spezifische Integritätsregel umfasst und in der Orchestrierungsvorrichtung angeordnet ist, hinzuzufügen, und eine Ausgabeeinheit, die derart ausgebildet ist, die Gastrechner-spezifischen Integritätsrichtlinie an den Gastrechner zu übermitteln.

Gemäß einem dritten Aspekt betrifft die Erfindung einen Gastrechner, umfassend eine Container-Laufzeitumgebung, sowie

- eine Empfangseinheit, die derart ausgebildet ist, eine Gastrechner-spezifische Integritätsrichtlinie zu empfangen,

- eine Integritätserkennungseinheit, die derart ausgebildet ist, mindestens einer Containerinstanz zugewiesene Ressourcen gegenüber der Gastrechner-spezifischen Integritätsrichtlinie zu überprüfen, und

- eine Ausgabeeinheit, die derart ausgebildet ist, eine Alarmnachricht auszugeben, wenn beim Überprüfen ein Verstoß gegen die Gastrechner-spezifischen Integritätsrichtlinie ermittelt wurde.

Gemäß einem vierten Aspekt betrifft die Erfindung eine Orchestrierungsvorrichtung, umfassend eine Integritätseinheit, die derart ausgebildet ist, - beim Starten einer Containerinstanz auf der Container- Lauf zeitumgebung durch die Orchestrierungsvorrichtung eine Instanz-spezi fischen Integritätsregel betref fend mindestens eine Ressource des Gastrechners, die zur Aus führung der Containerinstanz zugeteilt ist , zu erstellen, und

- die Instanz-spezi fische Integritätsregel zu einer Gastrechner-spezi fischen Integritätsrichtlinie , die für j ede auf der Container-Lauf zeitumgebung des Gastrechners bereits ausgeführte Containerinstanz eine Instanz-spezi fische Integritätsregel umfasst und in der Orchestrierungsvorrichtung angeordnet ist , hinzuzufügen, und eine Orchestrierungsschnittstelle , die derart ausgebildet ist , die Gastrechner-spezi fische Integritätsrichtlinie an den Gastrechner zu übermitteln .

Das System sowie der Gastrechner und die Orchestrierungsvorrichtung sind derart ausgebildet das beschriebene Verfahren aus zuführen .

Das System sowie die Orchestrierungsvorrichtung und der Gastrechner weisen die gleichen Vorteile wie das Verfahren auf .

Ein fünfter Aspekt der Erfindung betri f ft ein Computerprogrammprodukt , umfassend ein nicht flüchtiges computerlesbares Medium, das direkt in einen Speicher eines digitalen Computers ladbar ist , umfassend Programmcodeteile , die bei Aus führung der Programmcodeteile durch den digitalen Computer diesen veranlassen, die Schritte des Verfahrens durchzuführen .

Sofern es in der nachfolgenden Beschreibung nicht anders angegeben ist , beziehen sich die Begri f fe „starten" , „erstellen" , „hinzufügen" , „übermitteln" , „überprüfen" , „Ausgeben" und dergleichen, vorzugsweise auf Handlungen und/oder Prozesse und/oder Verarbeitungsschritte , die Daten verändern und/oder erzeugen und/oder die Daten in andere Daten überfüh- ren, wobei die Daten insbesondere als physikalische Größen dargestellt werden oder vorliegen können, beispielsweise als elektrische Impulse . Das System und darin optional enthaltene Komponenten, wie beispielsweise die Orchestrierungsvorrichtung und der Gastrechner und dergleichen kann bzw . können einen oder mehrere Prozessoren, umfassen . Bei einem Prozessor kann es sich insbesondere um einen Hauptprozessor ( engl . Central Processing Unit , CPU) , einen Mikroprozessor oder einen Mikrokontroller, beispielsweise eine anwendungsspezi fische integrierte Schaltung oder einen digitalen Signalprozessor, möglicherweise in Kombination mit einer Speichereinheit zum Speichern von Programmbefehlen, etc . handeln .

Ein Computerprogrammprodukt , wie z . B . ein Computerprogrammmittel , kann beispielsweise als Speichermedium, wie zum Beispiel einer Speicherkarte , USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden .

Aus führungsbeispiele des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Vorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert . Es zeigen :

Fig . 1 ein Aus führungsbeispiel des erfindungsgemäßen Verfahrens als Flussdiagramm;

Fig . 2 eine Aus führungsbeispiel eines erfindungsgemäßen Systems in schematischer Darstellung;

Fig . 3 eine Aus führungsbeispiel einer erfindungsgemäßen Orchestrierungsvorrichtung in schematischer Darstellung; und

Fig . 4 eine Aus führungsbeispiel eines erfindungsgemäßen Gastrechners in schematischer Darstellung .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugs zeichen versehen . Bekannte bestehende Integritätsüberwachungssysteme können durch den Orchestrieren veranlasste dynamische Start- und Stopp-Vorgänge einzelner Containerinstanzen nicht optimal erkennen, sondern basieren auf einem statischen Regelwerk, das gegebenenfalls durch Abfrage von Orchestrierer-spezi f ischen Deployment- Informationen erweitert werden . Mit diesen Verfahren werden die Operationen oder Dateisystemänderungen auf den orchestrierten Knoten überwacht , arbeiten allerdings unabhängig von der vorgegebenen Lauf zeitkonfiguration des Orchestrierens . Bestehende , nicht vom Orchestrieren gestartete Instanzen können somit nur erkannt werden, wenn eine Anomalieerkennungskomponente zur Lauf zeit Zugri f f auf beispielsweise Metadaten des Orchestrierens erhält . Wird die Verbindung zwischen dem Orchestrierer und dem Knoten unterbrochen oder ist der Angrei fer in der Lage , eine identische Deployment- Information für eine Containerinstanz , ohne den Orchestrierer zu erzeugen, kann dies mit den bestehenden Verfahren nicht erkannt werden . Gleiches gilt für einen eventuellen Li zensierungs-Anwendungs fall , bei dem beispielsweise sichergestellt werden soll , dass Container für eine Anwendungen ausschließlich über den Orchestrierer installiert werden sollen, nicht j edoch manuell auf dem Gerät installiert werden soll .

Die grundlegende Idee der Erfindung besteht darin, dass eine Orchestrierungsvorrichtung bzw . ein Management-System eines oder mehrerer Knoten neben der Orchestrierung der auf den Knoten zu betreibenden Container- Instanz zusätzlich zur Bereitstellungsinformation dynamisch in Abhängigkeit der von der Orchestrierungsvorrichtung vorgegebenen Lauf zeitkonfiguration geräte-spezi f ische Integritätsrichtlinien erstellt und für diese optional mit Hil fe einer Signatur eine Integritätssicherung durchführt . Im Weiteren wird ein von der Orchestrierungsvorrichtung verwalteter Knoten als Gastrechner bezeichnet .

Anhand des Flussdiagramms in Fig . 1 wird nun das erfindungsgemäße Verfahren zur dynamischen Integritätsüberwachung einer auf einem Gastrechner ausgeführten Container- Lauf zeitumgebung, auf der mindestens ein Container ausgeführt und mittels der Orchestrierungsvorrichtung verwaltet wird, genauer beschrieben . Dazu wird eine Gastrechner-spezi f ische Integritätsrichtlinie in Abhängigkeit der einzelnen auf dem Gerät bzw . auf der Container-Lauf zeitumgebung des Gastrechner ausgeführten Containerinstanzen erstellt . Die Gastrechnerspezi fische Integritätsrichtlinie umfasst einen statischen Teil , der Integritätsregeln für das Gesamtbetriebssystem des Gastrechners enthält , und der um die Instanz-spezi fische Aspekte erweitert wird . Durch den statischen Teil der Gastrechner-spezi fischen Integritätsrichtlinie wird für den Gastrechner selbst bzw . für das Betriebssystem des Gastrechners eine Integritätsüberwachung durchgeführt .

Für einzelne Containerinstanzen werden zunächst isoliert Instanz-spezi fische Integritätsregeln definiert . Dazu werden von der Orchestrierungsvorrichtung folgende Schritte ausgeführt . Im ersten Verfahrensschritt S 1 wird Beim Starten einer Containerinstanz auf der Container-Lauf zeitumgebung durch die Orchestrierungsvorrichtung eine Instanz-spezi fischen Integritätsregel betref fend mindestens eine Ressource des Gastrechners , die zur Aus führung der Containerinstanz zugeteilt ist , erstellt .

Die Instanz-spezi fische Integritätsregel wird abhängig von Information zu einem Containerimage , aus dem die Containerinstanz auf gebaut wird, erstellt . Diese Information zu dem Containerimage kann beispielsweise aus Meta- Informationen zum Containerimage ermittelt werden . Alternativ oder zusätzlich kann die Instanz-spezi fische Integritätsregel abhängig von Information aus einer Bereitstellungsinformation, die die Konfiguration der Containerinstanz beim Start der Containerinstanz auf der j eweiligen Container-Lauf zeitumgebung vorgibt , erstellt werden . Die auf die Bereitstellungsinformation beruhende Variante ist vorzuziehen, sofern beispielsweise ein Ziel von Schreiboperationen oder eine Konfiguration von innerhalb des Containerimages definierten Services außerhalb des Containerimages und insbesondere über Bereitstellungsspezi fische Variablen oder Konfigurationsdateien definiert werden . In beiden Varianten können mehrere Instanz- spezi fische Integritätsregeln mit Hil fe von einer oder mehreren digitalen Signaturen der Orchestrierungsvorrichtung miteinander verbunden werden . Die Gastrechner-spezi fische Integ- ritätsrichtlinie wird mittels einer digitalen Signatur der Orchestrierungsvorrichtung geschützt .

Anschließend wird die mindestens eine Instanz-spezi fische In- tegritätsregel zu einer Gastrechner-spezi fischen Integritätsrichtlinie hinzugefügt , siehe Schritt S2 . Die Gastrechnerspezi fischen Integritätsrichtlinie ist in der Orchestrierungsvorrichtung angeordnet und umfasst für j ede auf der Container-Lauf zeitumgebung des Gastrechners bereits ausgeführte Containerinstanz mindestens eine Instanz-spezi fische Integritätsregel . Gastrechner-spezi fischen Integritätsrichtlinie wird beispielsweise bei einer Zuordnung eines Gastrechners zur Orchestrierungsvorrichtung oder beim Starten einer ersten Containerinstanz auf dem Gastrechner in der Orchestrierungsvorrichtung erzeugt . Die Gastrechner-spezi fische Integritätsrichtlinie wird von der Orchestrierungsvorrichtung an den Gastrechner übermittelt , siehe S3 und die Container .

Bei der Erstellung des dynamischen Teils der Gastrechnerspezi fischen Integritätsrichtlinie wird durch die Orchestrierungsvorrichtung sichergestellt , dass sich die durch das Containerimage und/oder durch die Bereitstellungsinformation vorgegebenen Instanz-spezi fischen Integritätsregeln ausschließlich auf die in der Containerinstanz bzw . in der Bereitstellungsinformation definierten Ressourcen beziehen und nicht Bedingungen für den Gastrechner selbst oder die Ressourcen anderer Deployments , d . h . Applikationen, die durch Containerinstanzen auf dem gleichen Gastrechner ausgeführt werden, beziehen . Grund hierfür ist , dass der Ersteller eines Integritätsregelwerk nur für seine eigene Applikation Integritätsregeln bzw . -richtlinien erstellen können sollte . Dies kann erreicht werden, indem überprüft wird, ob die mit dem Deployment verbundenen Integritätsregeln sich ausschließlich auf Ressourcen des Deployments beziehen oder auf das Image bzw . die daraus erzeugte Instanz selbst beziehen . Der Gastrechner überprüft die Ressourcen, die den auf dem Gastrechner ausgeführten Containerinstanzen zugewiesen sind, gegenüber der Gastrechner-spezi f ischen Integritätsrichtlinie , siehe Schritt S4 . Stimmen die zugewiesenen Ressourcen nicht mit den Vorgaben aus der Gastrechner-spezi fischen Integri- tätsrichtlinie überein, wird eine Alarmnachricht ausgegeben, siehe Schritt S5 . Stimmen die zugewiesenen Ressourcen mit den Vorgaben aus der Gastrechner-spezi fischen Integritätsrichtlinie überein, wird die Überprüfung ohne weitere Aktion beendet , siehe Schritt S 6 . Optional kann die Überprüfung, der Zeitpunkt der Überprüfung und das Überprüfungsergebnis protokolliert und abgespeichert werden . Die ermöglicht eine zeitliche Einordnung einer Abweichung zwischen tatsächlich zugewiesenen Ressourcen und Gastrechner-spezi fischen Integritätsrichtlinie .

Um eine Gastrechner-spezi fische Integritätsüberwachungsricht- line in Abhängigkeit der aktuell für eine Anwendung ausgeführten Containerinstanzen erstellen zu können, aktualisiert die Orchestrierungsvorrichtung bei j eder den Gastrechner betref fenden Änderung die Gastrechner-spezi fische Integritäts- richtline . Dazu wird in der Orchestrierungsvorrichtung eine Mitteilung vom Gastrechner empfangen, wenn eine der Containerinstanzen auf dem Gastrechner beendet wird . Daraufhin wird in der Orchestrierungsvorrichtung die Gastrechnerspezi fischen Integritätsrichtlinie entsprechend der Mitteilung aktualisiert und an den Gastrechner übermittelt .

Wird eine der Containerinstanz beendet oder fällt diese aus , sendet der Gastrechner aktiv die Mitteilung an die Orchestrierungsvorrichtung . Alternativ oder zusätzlich sendet die Orchestrierungsvorrichtung eine Abfrage über den Status an den Gastrechner . Verwaltet die Orchestrierungsvorrichtung mehrere Gastrechner so führt die Orchestrierungsvorrichtung die beschriebenen Schritte mit j edem der verwalteten Gastrechner aus . Ein erkannter Aus fall einer oder mehrerer der Containerinstanzen hat zur Folge , dass die Orchestrierungsvorrichtung die Instanz-spezi fischen Integritätsregeln für die nicht mehr existierenden Containerinstanzen aus der Gast- rechner-spezi fischen Integritätsrichtlinie entfernt und eine aktualisierte neue Gastrechner-spezi fische Integritätsricht- line erzeugt und an den Gastrechner übermittelt .

Die Gastrechner-spezi fische Integritätsrichtlinie wird immer dann aktualisiert , wenn ein Ereignis , das die Zusammensetzung und/oder die Konfiguration der Containerinstanzen auf dem Gastrechner verändert , in der Orchestrierungsvorrichtung erkannt wird, und die aktualisierte Gastrechner-spezi fische In- tegritätsrichtlinie an den Gastrechner übermittelt wird . Relevante Ereignisse die zu einer Aktualisierung der Gastrechner-spezi fischen Integritätsrichtlinie führen sind hierbei das Starten mindestens einer neuen Containerinstanzen, beispielsweise durch Up-/Downscaling zur Bereitstellung größerer Ressourcen für eine Anwendung, das Einspielen mindestens eines aktualisierten Containerimages durch Anpassung der Bereitstellungskonfiguration an der Orchestrierungsvorrichtung, sofern diese Bereitstellung Änderungen auf den gewünschten Gastrechner hat , eine Erkennung von Applikationsabstürzen und deren Neustart durch die Orchestrierungsvorrichtung, gegebenenfalls auf einem anderen Gastrechner gemäß Scheduling- Policy .

Bei einer Integritätssicherung sollte die dynamisch generierte Gastrechner-spezi fische Integritätsrichtlinie auch eine maximale Gültigkeitsdauer aufweisen und diese nicht nur ereignisbezogen aktualisiert werden . Die Gastrechnerspezi fischen Integritätsrichtlinie weist eine vorgegebene maximale Gültigkeitsdauer auf . Alternativ und/oder zusätzlich wird die Gastrechner-spezi fischen Integritätsrichtlinie in zyklischen Zeitabständen aktualisiert .

Fig . 2 zeigt ein Anwendungsbeispiel des Verfahrens in einem erfindungsgemäßen System 10 umfassend eine Orchestrierungsvorrichtung 11 und einen Gastrechner 12 . Das System 10 kann weitere Gastrechner, hier Gastrechner 13 umfassen, die von der Orchestrierungsvorrichtung 11 verwaltet werden . Die Orchestrierungsvorrichtung 11 erstellt und aktualisiert für j eden einzelnen dieser Gastrechner 12 , 13 eine Gastrechner- spezi fische Integritätsrichtlinie , beispielsweise die Gastrechner-spezi fische Integritätsrichtlinie 15 für Gastrechner 12 und die Gastrechner-spezi fische Integritätsrichtlinie 17 für Gastrechner 13 . Die Gastrechner-spezi fische Integritätsrichtlinie 15 umfasst für j ede auf dem Gastrechner 12 ausgeführte Containerinstanz 18 eine Instanz-spezi fische Integritätsregel 16 .

Anhand des Systems 10 wird das Einspielen einer Containerinstanz durch einen Benutzer 19 beschrieben . Nachdem die Orchestrierungsvorrichtung 11 den Gastrechner 12 für eine Ausführung der Containerinstanz ausgewählt wurde , erhält die Orchestrierungsvorrichtung 11 von der Container- Lauf zeitumgebung auf dem Gastrechner 12 eine Instanzkennung der zu überwachenden Containerinstanz 18 und erstellt aus der Bereitstellungsinformation der Containerinstanz 18 die damit verbundene Instanz-spezi fische Integritätsregel 16 und/oder aus der Containerimage-Signatur die damit verbundene Instanzspezi fische Integritätsregel 16 einen dynamischen Teil der Gastrechner-spezi fische Integritätsrichtlinie 15 . Die Instanzkennung kann von der Orchestrierungsvorrichtung noch durch einen den Gastrechner kennzeichnenden Kenner ergänzt werden . Der dynamische Teil sowie ein statischer Teil mit In- tegritätsregeln für das Betriebssystem des Gastrechners bilden die Gastrechner-spezi fischen Integritätsrichtlinie , die mit einem kryptographischen Schlüssel der Orchestrierungsvorrichtung 11 signiert wird . Anschließend wird die Gastrechnerspezi fische Integritätsrichtlinie 15 an den Gastrechner 12 übermittelt . Im nächsten Schritt wird beispielsweise Containerinstanz 18 gestartet .

Durch die Instanz-spezi fische Zuordnung, d . h . die verbundene Instanz-spezi fische Integritätsregel 16 wird erreicht , dass eine Alarmierung durchgeführt werden kann, sobald außerhalb der Orchestrierungsvorrichtung 11 gestartete Containerinstanzen erkannt werden .

Das Überprüfen der Gastrechner-spezi fischen Integritätsrichtlinie 15 betri f ft die den Containerinstanz en 18 zugewiesenen Ressourcen eines Dateisystems und/oder Netzwerkverbindungsressourcen und/oder Prozessressourcen des Gastrechners 12 . Ausgeführt wird ein solches Verfahren beispielsweise durch eine „Catch-All"-Regel , bei der Prozesse sämtlicher unbekannter Containerinstanzen per Default einen Alarm auslösen .

Anhand der Geräte-spezi f ische Integritätsrichtlinie 15 kann somit die Integrität des Dateisystems des Gastrechners 12 geprüft werden . Wird dessen Integrität zyklisch ermittelt , wird üblicherweise eine Referenzdatenbank für die zu überwachenden Dateien und Verzeichnisse sowie deren Metadaten ermittelt . Alternativ können Integritätsverletzungen direkt mit Hil fe entsprechender dynamisch generierter Auditregeln oder eBPF- Programme ( extended Berkeley Packet Filter ) ermittelt werden . Sofern eine Erkennung über Referenzdatenbanken durchgeführt wird, müssen für j ede nicht-exklusive Dateisystemressource sowohl innerhalb der Containerinstanz 18 als auch außerhalb des Containerinstanz 18 die Integritätsüberwachung deaktiviert werden . Wird eine Ressource nicht mehr genutzt , da eine Containerinstanz 18 gelöscht wird, die Containerinstanz 18 aus fällt oder geplant beendet wird, wird der Status der Containerinstanz entweder direkt durch eine aktive Mitteilung durch den Gastrechner 12 oder durch zyklische Überwachung des Gastrechners 12 durch den Orchestrierungsvorrichtung 11 mitgeteilt . Die Orchestrierungsvorrichtung 11 kann für die beendete Containerinstanz definierten Einträge der Integritätsdatenbank neu berechnen und muss nicht die Referenzdatenbank komplett errechnen .

Die Überprüfung von Integritätsregeln für Prozesse können sowohl innerhalb der Prozessnamensräume einzelner Containerinstanzen als auch auf dem darunterliegenden Gastrechner gestartete Prozesse bezüglich Integrität überwacht werden . Um die Integritätsüberwachung Containerinstanz-bezogen und Gast- rechner-bezogen durchführen zu können, muss die Integritätsüberwachung erkennen, ob ein Prozess zu einer Containerinstanz gehört . Dies erfolgt mithil fe von mindestens einem eBPF-Programm oder mindestens einem Kernel-Modul , welche die erzeugten Systemaufrufe ( system calls ) sowie deren Übergabeparameter ermitteln .

Anhand von Integritätsregeln für Netzwerkverbindungen kann für j ede Instanz überwacht werden, welche Netzwerkverbindungen erwartet werden und bei Verstößen der Richtlinie einen Alarm auslösen . Auch hier kann die Erfassung über entsprechende eBPF-Programme oder Kernel-Module erfolgen, die spezielle System Calls erfassen und deren Übergabeparameter analysieren .

Sobald eine Integritätsverletzung auf dem Gastrechner 12 festgestellt wird, wird eine Alarmnachricht erzeugt , die an eine Alarmierungsvorrichtung 14 , die bevorzugt zentral angeordnet ist und Alarmnachrichten von mehreren Gastrechner 12 , 13 oder auch für mehrere Orchestrierungsvorrichtungen 11 bearbeitet , übermittelt wird . In der Alarmierungsvorrichtung werden Alarmaktionen entsprechend einer Alarmierungsrichtlinie aus führt und an die Orchestrierungsvorrichtung 11 weitergeleitet . Abhängig von den Alarmaktionen in der Alarmierungs- richtline wird final eine Operation auf dem Orchestrierungsvorrichtung 11 durchgeführt . Beispielsweise wird der Gastrechner 12 für Containerinstanzen eines vorgegebenen Containertyps aus einem Scheduling ausgeschlossen .

Fig . 3 zeigt eine Aus führungs form einer erfindungsgemäßen Orchestrierungsvorrichtung 20 . Die Orchestrierungsvorrichtung 20 umfasst eine Benutzerschnittstelle 21 , über die eine Containerinstanz von einem Benutzer empfangen wird . Die Orchestrierungsvorrichtung 20 umfasst eine Orchestrierungsschnittstelle 22 , über die die Gastrechner-spezi fische Integritätsrichtlinie an einen von der Orchestrierungsvorrichtung 20 verwalteten Gastrechner übermittelt wird . Die Orchestrierungsvorrichtung 20 umfasst des Weiteren eine Speichereinheit 24 , in der die Gastrechner-spezi fische Integritätsrichtlinien der verwalteten und integritätsüberwachten Gastrechner gespeichert sind . Die Orchestrierungsvorrichtung 20 umfasst eine Integritätseinheit , in der Instanz-spezi fische Integritätsregeln für j ede Containerinstanz erstellt und in die Gastrechner-spezi fische Integritätsrichtlinie eingefügt werden .

Fig . 4 zeigt einen Gastrechner 30 . Der Gastrechner 33 umfasst eine Eingabeeinheit , die derart ausgebildet ist , eine Gerätespezi fischen Integritätsrichtlinie von einer Orchestrierungsvorrichtung zu empfangen . Der Gastrechner umfasst eine Integ- ritätserkennungseinheit 33 zur Überprüfung und Erkennung von Integritätsverletzungen und zur Generierung einer Alarmnachricht . Für einzelne Aspekte , wie der Dateisystemintegritätsüberwachung kann auf einer vom Gastrechner getrennten, ausgelagerten Vorrichtung eine Referenzdatenbank ausgebildet sein, die den gesicherten Gastrechner von dort aus über erteilte Kommandos überwachen .

Die Integritätserkennungseinheit 32 ist derart ausgebildet Alarmnachrichten zu generieren und über eine Ausgabeeinheit 21 an eine zentrale Alarmierungsvorrichtung weiterzuleiten .

Sofern die Geräte-spezi f ischen Integritätsrichtlinie mittels einer Signatur integritätsgesichert ist , kann die auf dem Gastrechner betriebene Integritätserkennungseinheit 33 überprüfen, ob die Geräte-spezi f ischen Integritätsrichtlinie kompromittiert wurde . Sofern die Integritätserkennungseinheit 33 eine kompromittierte Geräte-spezi f ischen Integritätsrichtlinie erkennt , wird ebenfalls eine Alarmierung ausgelöst . Ab diesem Zeitpunkt wird auch der gesamte Gastrechner 30 als kompromittiert betrachtet .

Die Geräte-spezi f ische Integritätsrichtlinie wird somit für die verwalteten Gastrechner dynamisch bei j eder Konfigurationsänderung bezüglich laufender Containerinstanzen durch die Orchestrierungsvorrichtung angepasst und bezieht sich auf den kompletten Gastrechner . Durch die Gastrechner-spezi fische dynamische Erstellung der Integritätsrichtlinie kann die Orchestrierungsvorrichtung erkennen, wenn neben den von ihr definierten Containerinstanzen auch außerhalb der Orchestrierungsvorrichtung verwaltete Containerinstanzen betrieben werden . Als kompromittiert erkannte Gastrechner können durch ei- ne Alarmierungsrichtline von der Orchestrierungsvorrichtung für das Scheduling definierter oder sämtlicher Containerinstanzen ausgeschlossen werden . Alle Verfahrensschritte können durch die entsprechenden Geräte implementiert werden, die zum Aus führen des j eweiligen Verfahrensschrittes geeignet sind . Alle Funktionen, die von gegenständlichen Merkmalen ausgeführt werden können, können ein Verfahrensschritt des Verfahrens sein . Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden . Die Erfindung ist nicht auf die beschriebenen Aus führungsbeispiele beschränkt .