Heute möchte ich dir Container näherbringen.
Dabei beleuchten wir, was Container sind, weshalb man diese verwendet und welche Vor-und Nachteile diese mit sich bringen.
Für Verständniszwecke werden nicht alle Begriffe vertieft, falls Interesse da ist, kann dies in einem eigenen Beitrag beleuchtet werden.

Was sind Container?

Im letzten Beitrag haben wir das Thema virtuelle Maschinen angeschnitten, doch hier muss immer das Betriebssystem virtualisiert werden.
Das bedeutet, man hat nicht immer die gleiche Umgebung. Was ist also, wenn man die Anwendung (Applikation) nimmt und diese „virtualisiert“?

Dabei werden Bestandteile einer Anwendung in einen „Behälter“ gegeben.
Dieser Behälter kann dann immer wieder „schnell“ neu „ausgepackt“ werden, und das mit dem gleichen Zustand wie es „verpackt“ wurde.
Ähnlich wie reale Container funktionieren.

Man gibt etwas rein und nimmt es im gleichen Zustand wie es rein gegeben wurde wieder raus.
Container kann man als Weiterentwicklung von Virtualisierung ansehen, da du es auf die Basics hiervon aufbaust.

Deshalb verwendet man Container

Container haben viele Gründe.
Die beiden Wichtigsten sind, dass Anwendungsstacks (Applications stacks) schnell, einfach und immer gleich deployed (bereitgestellt) werden können.

Damit ist gemeint, dass ich einen Zusammenschluss von Anwendungen habe, die zusammenarbeiten müssen, um diese effizient aufsetzen zu können.
Gleichzeitig verwenden Container ein „eigenes“ Netzwerk, welches getrennt von der „Host“ Maschine ist.
Mit Host Maschine ist die Maschine gemeint, auf der du deine Container betreibst.
Grade Anwendungsentwickler, die oft und schnell eine neue Umgebung brauchen, haben hierdurch die Option unabhängig von Infrastruktur Technikern zu arbeiten.

Denn wenn die Entwicklung und Testumgebung bereits als Container Verbund verfügbar ist, kann der Entwickler sich eine Umgebung selbst aufbereiten.

Das ist grade für Unternehmen praktisch, da die Entwickler so effizienter arbeiten können und die Infrastruktur Techniker (auch gerne IT-Administrator oder System Engineer genannt) weniger ausgelastet werden und an ihren eigenen Projekten arbeiten können.
Doch nicht nur für Entwickler, sondern auch für Privatkunden und Unternehmen ist das interessant.
Einige Hersteller, wie z.B. Bitwarden, erlauben eine selbst betriebene Instanz des Password Managers.

Hierzu wird von Bitwarden die Installation über Container empfohlen und auch als einzige Installationsmöglichkeit supportet.
Denn wie bereits angemerkt, werden die Container Umgebungen vorbereitet paketiert und als Kunde erhält man sofort eine Installation wie vom Hersteller gedacht.

Bitwarden verwendet als Beispiel 11 verschiedene Container.
Dazu gehören auch ein Webserver und die Datenbank.
Also können ganze Dienste „containerisiert“ werden.
Hierzu wird von Bitwarden die Installation über Container empfohlen und auch als einzige Installationsmöglichkeit supportet.

Du kannst auch Container verwenden

Um Container zu verwenden, erfordert es nicht viel.
Du benötigst „nur“ einmal die eingeschaltete Funktion der Virtualisierung deiner Hardware und du musst dich für eine Container Basis entscheiden.

Den Container gibt es in einigen technischen Geschmacksrichtungen.
Die Bekanntesten sind Docker, Podman und LXC, dabei sei erwähnt, dass es noch einige mehr gibt.
Doch diese 3 sind soweit ich weiß, am meisten bekannt und verbreitet.

Container können auf fast allem betrieben werden, sei es auf einem PC, Laptop, Single Board Computer (SBC) ebenso auf einem Raspberry Pi oder auch auf Mini PCs.
Es gibt also keinen Grund es nicht auszuprobieren!
Ein beliebtes Projekt wie Bitwarden oder Pi-Hole sind auch als Container Installation verfügbar.

Attribute aká Vor-&-Nachteile von Container

Natürlich wie immer gibt es beides, wobei ich den Begriff Attribute bevorzuge.
Wir kennen es jede Stärke kann im falschen Kontext eine Schwäche sein.
Eine Schwäche wiederrum im richtigen Kontext als Stärke.

Nachteile

Zu den Nachteilen von Containern zählen, wie bei der Virtualisierung, dass diese nicht die gleiche Performance liefern, wie, als würde die Anwendung direkt auf einem Rechner laufen.

Das liegt an verschiedenen Faktoren, wie bei der „klassischen“ Virtualisierung, einer ist das immer erst auf Hardwareebene die Instruktionen abgearbeitet werden müssen und dann erst in den Container übergeben werden können.
Anmerkung: Man kann auch Container in einer VM verwenden, das nennt man dann Nested Virtualization.

Container Verbünde/Stacks können „schnell“ unübersichtlich werden.
Grade wenn man viele Container verwendet, muss eine Ordnung vorhanden sein.
Dies ist für Menschen allgemein nicht einfach umsetzbar, daher wird bei einer größeren Anzahl von Containern empfohlen eine „Verwaltung/Orchestration“ einzubinden.
Dieser kann nicht nur Übersicht liefern, sondern bietet meistens eine grafische Oberfläche, wodurch man auch weniger auf der Kommtandozeile Unterwegs sein muss.

Solange Container aus einem bekannten und vertrauenswürdigen Repository (kurz Repo), also ein Verzeichnis, verwendet wird, kann man davon ausgehen, dass die Container nicht schädlich sind.
Doch man kann auch „unbekannte“ oder „nicht signierte/kontrollierte“ Repos verwenden.
Das kann verschiedenste Gründe haben und birgt wie immer die Vertrauensfrage.
Daher ist hier zu empfehlen, grade am Anfang, nur offizielle Repositories zu verwenden, die von der Containertechnologie empfohlenen werden.

Ein weiterer Nachteil ist, dass Container dazu treiben, trotz ihrer Isolierung, die Sicherheit zu vernachlässigen.

Das geschieht grade deswegen, weil Container zwar isoliert laufen, doch entweder mit anderen Containern kommunizieren oder auch durch ein Komplimentieren der Host Maschine angegriffen werden können.

Auch werden Anwendungen im ersten Schritt auf Effizienz ausgelegt und nicht auf Sicherheit, was problematisch werden kann.
Grade wenn man nicht weiß, wie Container abgesichert werden können oder wenn die Anwendung auch als Stand Alone bzw. als nicht Container Installation angeboten werden.

Wichtig ist auch das Container „flüchtig“ sind, das heißt, dass im Standard beim „Herunterfahren“ von einem Container nicht nur der Container verworfen wird, sondern auch alle Daten die IM Container angefallen sind. Das können Dateien sein oder auch Konfigurationen.
Denn Container kommen in einem „Ready to Config“ Zustand, was bedeutet initial muss die Config selbst vorgenommen werden, was meist durch Interaktive Container Skripte oder grafische Oberflächen bewerkstelligt wird.

Man kann jedoch mit zusätzlichen Konfigurationen so genannte „persistent Mounts“ Punkte definieren.
Hier werden Daten aus dem Container mit einer Speicherlokation auf dem Host gespiegelt.
Bei Docker gibt es zusätzlich zu „persistent Mounts“ sogenannte Docker Volumens.

Vorteile

Wie bereits mehrmals erwähnt sind Container schnell und einfach aufgesetzt, wodurch der Betrieb effizient aufgenommen werden kann.
Das macht es grade für „Einsteiger“ und Entwickler einfacher Infrastrukturen zu betrieben.
Grade hierdurch sind auch „Updates“ einfacher, denn ich kann den Container verwerfen und die neuste Version des Container Image beziehen und diese ausspielen.
Habe ich noch „persistent Mounts“ definiert, wird automatisch z.B. meine Konfiguration eingespielt, oder auch meine abgelegten Daten. Der Wartungs- und Verwaltungsaufwand für die Anwendung selbst ist somit gesunken.

Grade weil Container isoliert sind, ist das Thema Debugging (Fehlersuche) vereinfacht, da man schneller herausfindet welche Komponente der Anwendung einen Fehler hat.
Dadurch können effizienter Lösungen und „Fixes“ eingespielt werden.
Auch ist es praktisch das hierdurch nicht direkt die gesamte Anwendung Probleme hat, sondern nur ein Teil.
Es kommt natürlich darauf an welchem Teil, dennoch ist es praktisch, wenn z.B. mein API Schnittstelle Container Probleme hat, ich dennoch auf den Webserver zugreifen kann.

Skalierbarkeit ist bei Servern und Anwendungen immer ein Thema und Container sind äußerst skalierbar.
Damit ist gemeint, wenn meine Anwendung anfänglich gut performant und mit der Zeit dem Andrang von Anfragen nicht gewachsen ist, kann eine weiterer Container (Stack) erstellt werden der mit dem vorherigen Container zusammen im Verbund arbeitet.

Der wohl signifikanteste Vorteil ist, dass Container Plattform unabhängig sind.
Bedeutet, wenn meine Anwendung als Container vorhanden ist, kann diese unabhängig vom Betriebssystem angeboten werden.
Lediglich die Containertechnologie muss unterstützt werden, jedoch muss die Anwendung nicht für mehrere Plattformen umgeschrieben werden.
Somit sinkt natürlich der Aufwand der Entwicklung.

Meine Meinung

Aus meiner Sicht bergen Container ein großes Potenzial, weshalb ich es als Schritt in Richtung Zukunft sehe.
Dadurch werden Virtuelle Maschinen jedoch nicht ersetzt, sondern ergänzt aus meiner Sicht.
Denn nicht jede Anwendung lässt sich als Container anbieten und das kann verschiedenste Gründe haben.

Auch das Umgebungen durch Container immer „gleich“ auf Anwendungsebene sind, finde ich klasse. Denn somit ist die Fehlerquote automatisch gesenkt, weshalb viele Unternehmen oder auch Privatpersonen in den Genuss von Anwendungen kommen können, ohne zu tief in die Materie der Anwendung zugehen.
Die Tatsache, dass ein Raspberry Pi in der Lage ist, je nach Anwendungen, 6 Container oder mehr gleichzeitig laufen lassen kann ist faszinierend.

The post Die Evolution der Virtualisierung: Warum Container die Zukunft sind first appeared on Dominik's Blog.

Das Ziel dieses Beitrages ist es zu verdeutlichen, wieso jeder einen Password Manager braucht.

Dabei sprechen wir darüber, was ein Password Manager ist und wieso sowohl Cloud als auch Lokale Password Manager geeignet sind.

Am Ende werde ich auch meine persönliche Meinung hierzu abgeben.

Was ist ein Password Manager?

Ein Password Manager ist, wie es der Name erahnen lässt, eine Software die für dich deine Passwörter speichert.

Denn wie alle wissen und auch hoffentlich tun, soll man das gleiche Passwort nicht auf mehreren Plattformen gleichzeitig verwenden.

Der Grund ist klar, mit einem einzigen Passwort kann man dann auf X Plattformen zugreifen und dir schaden.

Ein Password Manager fungiert wie folgt:

In diesem legst du Einträge ab, teilweise automatisiert oder auch manuell.

Diese Einträge beinhalten deinen Benutzernamen und das Passwort zu diesem Benutzer.

Damit jetzt nicht jeder auf diese Datenbank Zugriff hat, wird diese mit einem möglichst komplexen und langen Passwort abgesichert.

Somit hast du einen großen Vorteil, du brauchst dir nur ein einziges Passwort merken und kannst dir für jede andere Plattform ein eigenes Passwort ausdenken oder auch generieren lassen.

Die meisten Password Manager kommen nämlich mit einem Password Generator daher, wodurch du dir auch kein Passwort mehr ausdenken musst.

Ebenfalls lassen sich die Password Manager mit einem MFA (Mehrfaktor) zusätzlich absichern, das ist ratsam da grade durch die Empfindlichkeit der Daten, diese besonders schützenswert sind.

Cloud vs lokal

Es gibt grundsätzlich zwei Varrianten von Password Manager.

Einmal die, welche in der Cloud gehostet werden und die welche man lokal betreiben kann.

Es gibt auch Mischmodelle, welche dir beides ermöglichen.

Cloud

Password Manager aus der Cloud sind äußerst bekannt und sind sowohl Fluch als auch Segen.

Denn wenn diese in der Cloud sind, stehen diese auch im Internet, zwar abgesichert durch deinen Benutzernamen, Kennwort und hoffentlich einen zweiten Faktor, dennoch sind diese erstmal immer angreifbar.

Gleichzeitig ist man davon abhängig, dass der Anbieter seine Infrastruktur im Griff hat, dass bedeutet, dass diese gesichert ist, man also Maßnahmen ergriffen hat, die es einem Hacker nicht ermöglichen, Zugriff zu erlangen, sollte ein Mitarbeiter des Unternehmens gehackt werden.

Prägnantes Beispiel hier Lastpass (Link zum Beitrag).

Dennoch muss man sagen, die ständige Verfügbarkeit hat auch Vorteile, denn wir benötigen meistens unsere Passwörter auch on the go bedeutet nicht nur zu Hause, am PC sondern auch unterwegs am Laptop oder Smartphone.

Hinzu kommt, dass viele Benutzter zwar einen Passwort Manager verwenden sollten, jedoch mit der Verantwortung und Pflege überfordert sind.

Daher sind Cloud Anbieter ein guter Weg als Einstieg oder als Möglichkeit mit wenig Aufwand viel Wirkung zu erzielen.

Lokal aka OnPremise

Lokale Passwort Manager muss man nochmal in zwei eigene Kategorien aufteilen, des gibt lokale Password Manager, die mit einem Server Client Prinzip arbeiten und die, welche lediglich eine verschlüsselte Datei ablegen.

Doch wir bleiben bei der vereinfachten Ansicht, um den Beitrag kompakt und informativ zu halten.

Diese Variante birgt unter anderem den Vorteil, dass diese entweder gar nicht aus dem Internet erreichbar, oder nur durch von einem selbst auferlegten Sicherheitsmaßnahmen erreichbar ist.

Ein Beispiel wäre nur erreichbar per VPN Zugriff.

Allerdings, wie man auch bereits rausließt, hat man mehr Verantwortung und Aufwände mit einem solchen Passwort Manager da diese von einem selbst verwaltet und abgesichert werden müssen.

Somit kann ein Passwort Manager eine kritische Sicherheitslücke haben und weil man nicht daran denkt, wird diese weiterhin offen sein, weil man das System nicht updatet.

Meine persönliche Empfehlungen

Cloud

Proton Pass

ProtonPass ist von Proton, und daher Teil der Proton Privacy Suite.

ProtonPass überzeugt nicht nur, weil es ein guter Passwort Manager ist, sondern weil ProtonPass mit der Community weiterentwickelt wird.

Dabei nimmt Proton das Feedback der Community ernst und hat bereits eine Feature Roadmap veröffentlicht.

Proton Pass Roadmap

Hinzu kommt das Proton Pass eine kostenlose Version anbietet, welche im Gegensatz zu manch anderen Anbietern, unimlited Devices erlaubt.

Bedeutet, du kannst mit deinem Account so viele Geräte verbinden wie du magst, ohne dass du den Sync deiner Passwörter von einem Device entfernst.

Manche Passoword Manager wollen für dieses Feautre Geld sehen.

Daher Daumen hoch von mir.

Hinzu kommt, dass ProtonPass nicht nur Passwörter speichern kann, sondern Mail Aliase dabei sind.
Sogar in der kostenlose Fassung 10 Stück.
Mail Aliase erlauben die eine Mailadresse zu erstellen, die Mails an deine Mailadresse weiterleitet.

Der Vorteil ist also, dass du nicht immer jedem deine Mail Adresse geben musst.

Falls du den Alias nicht mehr brauchst, weil du registriert bist, kannst du den Alias deaktivieren oder löschen und erhältst keinen Spam.

Du kannst also mit ProtonPass deine Mailadressen schützen.

Falls Mail Aliase dich interessieren, sag gerne Bescheid dann machen wir hierzu einen eigenen Beitrag.

Auch ist ein 2FA Authenticator in Proton Pass in der bezahlten Version bereits integriert, bedeutet, ProtonPass übernimmt den 2ten Faktor für dich, sofern du diesen nutzt.

ProtonPass will ein Identiry Manager sein, der deine Identität schützt.

Bitwarden

Dieser Passwort Manager ist wohl den meisten bekannt und ebenfalls kostenlos verfügbar.

Bitwarden bietet ähnlich wie Proton Pass einen Password Manager mit unlimited Geräten an, und das bereits in der kostenlose Variante.

In der bezahlten Version kommen Sicherheitsfeatures und ein Authenticator (MFA) dazu.

Auch ein Emergency Zugriff kann in der bezahlten Version erstellt werden, für den Fall, dass du dich aussperrst, dafür definitiv Daumen hoch.

Bitwarden hat auch dieses Jahr (2023) ein Rechenzentrum in der EU aufgebaut, damit Unternehmen DSGVO-Konform Bitwarden nutzen können.

Dabei liefert Proton den Enterprise Kunden (kann auch privat gebucht werden) die Option Bitwarden selbst zu hosten.

Bitwarden kommt zwar nicht mit Mail Aliasen daher, möchte jedoch ebenfalls ein umfassender Idenity Manager sein, da nicht nur ein Passwort Generator on Board ist, sondern auch ein Benutzernamen Generator integriert ist.

Die Security Reports liefern Einblicke ob der eigene Account in einem Datenleak betroffen ist oder nicht.

Daher bietet Bitwarden ebenfalls viele Funktionen, die man jedem empfehlen kann.

Lokal

Vaultwarden

Vaultwarden ist ein sogenannter „Fork“ von Bitwarden.

Dieses Projekt ist unabhängig von Bitwarden, daher ist hier der Support über das Vaultwarden Github zu konsultieren.

Ein Vorteil ist, dass Vaultwarden mit den Clients und Addons von Bitwarden kompatibel ist
Das wird dadurch erreicht, das Bitwarden Open-Source ist und die Macher von Vaultwarden diesen Code genommen und ihre eigenen Änderungen vorgenommen haben.

Dabei wird Vaultwarden, ähnlich wie die Enterprise Version von Bitwarden mittels Docker Containern realisiert. Der Vorteil ist, dass die Container die Anwendungen so bereitstellen wie die Entwickler diese auch getestet haben. Wenn ein Dienst als ausfällt, kann dediziert auf den jeweiligen Container geschaut werden.

Passbolt

Passbolt ist ein Passwort Manager der eine kostenlose Variante zum selbst hosten anbietet.

Dabei wird ebenfalls Docker genutzt um die Installation so einfach wie möglich zu gestalten.

Interessant ist hier, dass Passbolt ein etablierter Hersteller ist, der ein gutes Produkt anbietet welches man verwenden kann.

Zusätzliche Sicherheitsmaßnahmen

Double Blind Verfahren

Das zu deutsch „Doppelt Blind Verfahren“ ist ein Vorgehen bei dem man dafür sorgt, dass man selbst und der Passwort Manager jeweils nicht das vollständige Passwort kennt.

Denn die Frage die sich stellt ist ja, wenn der Passwort Manager gehackt wird, was mache ich dann?
Muss ich dann alle Passwörter ändern?

Kurz gesagt, ja, das musst du!

Auch die Frage ob es ein ziemlicher Angriffssektor ist, einen Passwort Manager zu verwenden der „nur“ mit einem langen und komplexen mit Passwort gesichert ist, muss ich mit JA beantworten.

Daher verwende ich in meinem persönlichen Passwort Manager das Double Blind Verfahren.

Das bedeutet wie schon erwähnt, dass weder ich noch mein Passwort Manager das volle Passwort kennen. Sondern jeder nur einen Teil davon.

Damit funktioniert die Autofill und Enter Funktion nicht mehr.

Doch erstmal vorab die Erklärung.

Bei Double Blind nutzt du ein Passwort, dass am besten von deinem Passwort Manager zufallsgeneriert wurde und speicherst dieses ab.

Doch das ist nicht dein endgültiges Passwort, stattdessen fügst du an einer Stelle in deinem Passwort einen sogenannten „Unique Key“ ein.

Dieser Unique Key ist eine Zeichenfolge die DU dir ausdenkst.

Dabei kannst du die Stelle, wo du diesen Key in dem Passwort einfügst, frei bestimmen.

Wichtig ist nur, dass du hier nicht zu viel variierst, dass hierdurch zusätzliche Komplexität entsteht.

Ein Beispiel könnte folgendes sein:

X= Passwortzeichen

Unique Key = Dein ausgedachter Key

XXXXUnique KeyXXXXXXX

Und das kannst du dann bei jedem Passwort so machen.

Du kannst deinen Unique Key auch Vorne oder immer zum Schluss an das Passwort setzen.

Wichtig ist nur, dass du dir das merken kannst.

Hinzu kommt, dass dies meist dazu führt das du an das Zeichenlimit der meisten Webseiten gerätst.

Nutze MFA

Ich kann dies nicht genug betonen, bei einem Passwort Manager solltest du IMMER eine MFA Authentifizierung verwenden! Im besten Fall einen Hardware Key wie einen Yubikey alternativ einen OTP.

Der MFA schützt deinen Passwort Manager zusätzlich ab, da neben deinem Master Kennwort immer der MFA noch mit angegeben werden muss.

Speichere dein MFA nicht in deinem Password Manager

Zumindestens den MFA für den Password Manager musst du sowieso außerhalb von diesem aufbewahren, da du dich sonst ausperren würdest.

Doch ich rate dringenst dazu deinen MFA in keinen Passwort Manager einzufügen.

Da durch das Komplimentieren einen Passwort Managers sonst auch deine MFA’s gefährdet sind.

Meine persönliche Meinung

Hier muss ich wie immer sagen es kommt darauf an, ob du die Verantwortung für das selber hosten haben möchtest und auch gerecht wirst.

Einem privat Anwender rate ich zu einem Password Manager wie ProtonPass oder Bitwarden, da diese zum einen, einen kostenlosen Tarif anbieten und sehr einfach zu benutzen sind.

Denn beim selbst hosten, muss du dir immer Gedanken machen, wie ist das System von außen erreichbar?

Wie synchronisiere ich es, wenn ich nicht zu Hause bin?

Das fällt bei „Cloud“ Anbietern weg. Daher behaupte ich, das Privatpersonen generell besser einen Cloudanbieter nutzen sollten um auch keine zu großen Barrieren vor sich haben.

Technisch versierte wollen gerne selbst hosten und können das auch machen, doch möchte ich hier erwähnen, dass es auch keine Schande ist etwas Fertiges zu nutzen.

Frei nach der Frage „Make or Buy?“

Daher kurz um meine Empfehlung:
Für Privatpersonen defintiv einen Anbieter aus der „Cloud“ wie ProtonPass oder Bitwarden.

In Unternehmen ist das selbst hosten sehr wichtig, hier sind Bitwarden, Passbolt und Netwirx Password Secure äußerst interessant.

Alles dazwischen ist es eine Präferenz Frage.

Welche Variante nutzt du?

The post Jeder braucht einen Password Manager first appeared on Dominik's Blog.