Sicherheit für Docker-Container

Codemeter von Wibu Systems kontrolliert die vergebenen Lizenzen

Anzeige
Der isolierte Betrieb von Applikationen in Container-Systemen wie Docker wird immer beliebter, da diese Container einfach verwendet und vervielfältigt werden können. Hersteller von Software haben deshalb ein Interesse daran, auch in Containern laufende Applikationen sicher zu lizenzieren. Wie sich das scheinbar einfache Vervielfältigen von Containern mit Codemeter und dem Wunsch nach korrekter Lizenzierung verträgt und was man dazu wissen sollte, darüber informiert der folgende Beitrag der Wibu-Systems AG.

Inhaltsverzeichnis

1. Container-Technik ist immer beliebter
2. Blick auf die Nachteile
3. Containern mit Codemeter schützen
4. Protection Only
5. Lizenzierung am Host
6. Lizenzierung über Netzwerk

Das Prinzip, Software in einem Container zu betreiben, ist nicht neu. Die zugrundeliegenden Funktionen sind unter dem Betriebssystem Linux schon länger vorhanden. Mit der Entwicklung und Bereitstellung einer gut handhabbaren Container-Technologie durch das Docker-Projekt sind Container für viele verwendbar geworden. Docker hat es geschafft, die kritische Grenze zu überschreiten und sich zum führenden Anbieter für Container-Technologie zu mausern. Spätestens, seitdem Microsoft die Container-Technologie von Docker in den Windows Server 2016 und Windows 10 integriert hat, ist klar, dass Docker zum De-facto-Standard geworden ist.

Container-Technik ist immer beliebter

Die Vorteile des Betriebs von Applikationen im Container sind vielfältig. Im Prinzip sind Container kleine virtuelle Maschinen (VM) ohne eigenes Betriebssystem. Die Container teilen sich mit dem vorhandenen Host-Betriebssystem den Betriebssystem-Kernel und die wichtigen Systemdateien. Dadurch ist ein Container wesentlich schlanker als eine VM, die die gleichen Dienste bereitstellt, und Applikationen können somit kostengünstiger betrieben werden. Neben dem geringeren Ressourcenverbrauch sind auch weniger Systeme zu pflegen (Updates, Security-Patches, etc.).

Container müssen also beim Starten nicht erst Betriebssystem, Ressourcen und Bibliotheken laden, sondern können direkt auf Komponenten und Daten der Betriebsumgebung zugreifen. Auch lassen sich weitere Container wesentlich schneller bereitstellen, da keinerlei Betriebssystem installiert werden muss. Durch die Automatisierung der Erstellung von Containern kann man darüber hinaus einfach skalieren. Diese Eigenschaften sorgen dafür, dass Container immer beliebter werden.

Blick auf die Nachteile

Bei aller Euphorie sollte man aber auch einen Blick auf die Nachteile werfen. Die Isolierung der einzelnen Container, sowohl dem Host gegenüber als auch untereinander, bleibt deutlich hinter den Möglichkeiten der herkömmlichen Virtualisierungstechnologien zurück. Da sich die in den Containern enthaltenen Prozesse alle die selben Systembibliotheken und den selben Kernel teilen, können Kompatibilitätsprobleme die Folge sein. Auch Sicherheitslücken oder Softwarefehler können bei der Verwendung von Containern zu einem echten Problem werden und das System in seiner Gesamtheit in Mitleidenschaft ziehen.

Wie verhält sich Codemeter in diesem Umfeld und was müssen Softwarehersteller und Lizenzgeber beachten? Wie können Container verwendet werden und wie kann der Softwareanbieter die Kontrolle über die vergebenen Lizenzen behalten? Schon nach den vorangegangenen theoretischen Betrachtungen wird deutlich, dass sich eine in einem Container erstellte und gebundene Lizenz gut vervielfältigen lässt. Eine Instanz vom Codemeter-Lizenzserver in einem Container unterscheidet sich quasi nicht von der in einem anderen Container – die Bindung bleibt identisch. Um mehrere Instanzen des Codemeter-Lizenzservers in verschiedenen Containern auf einem Host zu betreiben, musste man bisher allerdings einige Veränderungen vornehmen. Das Codemeter 6.90 bringt unter anderem in zwei Bereichen Änderungen, die sich auf den Betrieb mit Containern auswirken.

Containern mit Codemeter schützen

Der erste Bereich umfasst die erlaubten Varianten von CmActLicenses innerhalb von Containern. Mit der Codemeter Version 6.90 ist der Betrieb und die Aktivierung in Containern grundsätzlich verboten – mit zwei Ausnahmen: Die erste Ausnahme sind Lizenzen, die sowohl ohne konkrete Bindung an die Hardware des Systems (NoneBind) als auch für mehrfachen Import (Reimport) erstellt wurden. Solche Lizenzen dienen rein als Basis für die Entschlüsselung von Applikationen, aber ohne Lizenzbeschränkung; diese Anwendung wird gerne als Protection Only bezeichnet. In Zukunft wird dieser Anwendungsfall durch die Verwendung von CodeMeter Protection Suite mit IP Protection abgedeckt. Da diese Art der CmActLicenses keinerlei Lizenzbeschränkung enthält, besteht auch keine Betrugsgefahr, wenn eine solche Lizenz in vielen Containern gleichzeitig betrieben wird. Die zweite Ausnahme sind vom Lizenzgeber explizit genehmigte CmActLicenses. Softwarehersteller können über eine neue Option eine CmActLicense so konfigurieren, dass diese auch in einem Container aktiviert werden darf. Die zugehörige Kommandozeilenoption in CmBoxPgm ist „lopt:container“; sie ist ausschließlich für Universal Firm Code anwendbar.

Der zweite Bereich betrifft das veränderte Verhalten der Bindung an die Netzwerkschnittstellen. Damit so wenig Angriffsmöglichkeiten wie möglich geboten werden – das hat gar nichts mit Containern zu tun, sondern gilt generell –bindet der Codemeter Lizenzserver nur noch dann an den Port 22350, wenn dieser Codemeter Lizenzserver für den Betrieb als Codemeter Server im Netzwerk konfiguriert wurde. In der Grundkonfiguration bindet sich der Codemeter Lizenzserver daher nur an den Localhost-Adapter. Damit empfängt er im Falle eines Betriebs in einem (Docker-) Container Anfragen von darin laufenden Applikationen und kann diese dann entweder durch eine im Container vorhandene Lizenz beantworten oder kann als Client gegenüber einem anderen Codemeter Lizenzserver im Netzwerk die Anfragen weiterleiten.

Protection Only

Somit lassen sich verschiedene Anwendungsfälle gut mit CodeMeter umsetzen. Derzeit ist allen diesen Fällen gemein, dass dazu der Container im Bridged-Modus betrieben werden muss, entsprechend der Standardeinstellung.

Die Lizenz, die nur als Basis für die Entschlüsselung und Verwendung der Applikation dient, kann im Container aktiviert werden. Der Container kann einfach skaliert werden und die Applikation in vielen Instanzen gleichzeitig laufen.

Lizenzierung am Host

Die Lizenz zur Begrenzung und Kontrolle der bestimmungsgemäßen Verwendung wird am Host aktiviert, z.B. als Codemeter Smartbind-Lizenz. In den einzelnen Containern läuft jeweils ein Codemeter Lizenzserver im Client-Modus. Er empfängt die Anfragen der Applikationen aus diesem Container und leitet diese an den Codemeter Lizenzserver am Host weiter. Dazu wird in der Serversuchliste im Container fest die IP-Adresse des Hosts im Docker-Netzwerk eingetragen. Diese ist im Kontext der Container dauerhaft fest, z.B. 172.17.0.1.

Lizenzierung über Netzwerk

Dieser Fall unterscheidet sich nur bezüglich des Serverortes von der Lizenzierung am Host. Voraussetzung ist ein im Netzwerk laufender Codemeter Lizenzserver, der die erworbene Lizenz bereitstellt. In den einzelnen Containern läuft jeweils ein Codemeter Lizenzserver im Client-Modus. Er empfängt die Anfragen der Applikationen aus diesem Container und leitet diese an den Codemeter Lizenzserver im Netzwerk weiter. ge

www.wibu.com

www.wibu.com

Weitere Details zur elektronischen Auslieferung von Lizenzen

http://hier.pro/pGP43

embedded world: Halle 4, Stand 320

Wibu-Systems AG
Rueppurrer Strasse 52-54
76137 Karlsruhe
Tel.: +49 721 931720
E-Mail: sales@wibu.com
Website: www.wibu.com

Anzeige

Festo: Digitalisierung

Smartenance

Die Digitalstrategie von Festo im Überblick

Schlagzeilen

Video aktuell

Oliver Vogel, Team Leader Commercial Engineering bei Rockwell Automation GmbH erläutert das Besondere an Engineeringtools und welchen Vorteil Maschinenbauer davon haben

Aktuelle Ausgabe

Titelbild elektro AUTOMATION 11
Ausgabe
11.2019
LESEN
ARCHIV
ABO

Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Automation Award

Automation Award 2019
Die Besucher der SPS wählen während der Messe Ihre Favoriten! Nominierte Produkte…

Videos

Hier finden Sie alle aktuellen Videos

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de