Die globalen Auswirkungen von Red Hat auf die Sicherheit von Linux

Red Hat basiert auf Open Source, einer globalen, dezentralisierten und transparenten Community internationaler Engineers, für die Sicherheit an erster Stelle steht. Red Hat Enterprise Linux (RHEL) ist das bewährte Betriebssystem, das von mehr als 90 % der Fortune 500-Unternehmen und Kunden in mehr als 174 Ländern verwendet wird. Dieses Vertrauen ist vor allem der Zuverlässigkeit und Stabilität von RHEL sowie der langen Geschichte von Red Hat als aktiv an Open Source-Projekten mitwirkendes Unternehmen zu verdanken. 

Es gibt einen entscheidenden Faktor, der im Vergleich zum Linux-Betriebssystem jedoch oft vernachlässigt wird, und zwar der Ruf, im Vergleich zu anderen Betriebssystemen bessere Sicherheit zu bieten. Trotz dieses Rufs sind nicht alle Linux-Distributionen in Bezug auf die Sicherheit gleich. Im Laufe der Jahre hat Red Hat erheblich investiert, um RHEL-Nutzenden die erforderlichen Funktionen zur Verfügung zu stellen, damit sie die strengen, für sie geltenden Sicherheitsanforderungen erfüllen und Best Practices für die Sicherheit so effizient wie möglich nutzen können. In diesem Artikel stellen wir einige dieser Sicherheitsinvestitionen und deren Auswirkungen auf Nutzende in 3 Schwerpunktbereichen vor: Forschung/Roadmap, Deployment/Praxis und Sicherheitssupport nach dem Kauf. 

Forschung und Roadmap

Unterschiedliche Compliance-Anforderungen auf der ganzen Welt

Mit über 100 Niederlassungen in mehr als 40 Ländern weiß das Team von Red Hat, dass es eine Vielzahl an Compliance-Richtlinien gibt, die von Land zu Land unterschiedlich sind. Ein wichtiger Teil der Phase RHEL-Forschung und -Roadmap besteht darin, zu untersuchen, welche Anforderungen Nutzende heute und in Zukunft haben.

Da beispielsweise immer mehr Daten in die Cloud verschoben werden, KI immer häufiger eingesetzt wird und Zugriff auf verschiedene Datensätze erfordert, tauchen immer wieder neue Bedenken hinsichtlich der Datenhoheit auf. Wir unterstützen Kunden in vielen verschiedenen Branchen und Ländern und kennen die Kontroll-, Governance- und Zertifizierungsanforderungen, die für viele Nutzende gelten. Wenn Sie mehr über die spezifischen Vorschriften auf der ganzen Welt erfahren möchten, finden Sie auf unserer Website eine Aufschlüsselung der Validierungen und Zertifizierungen zur Cybersicherheit unserer Produkte und Dienstleistungen auf den globalen Märkten, die sich mit der Einführung neuer Vorschriften ständig weiterentwickelt.

Die Bedrohungslage im Blick behalten

Das Produktteam schaut kontinuierlich in die Zukunft, um potenzielle Gefahren zu erkennen. Basierend auf einer ursprünglich vom Militär entwickelten Vorgehensweise erstellen Mitglieder des Produktteams ein sogenanntes SBAR-Dokument, wenn sie eine zukünftige Bedrohung oder ein zukünftiges Problem identifizieren. Die Abkürzung SBAR steht für „Situation, Background, Assessment, Recommendation“ (Situation, Hintergrund, Bewertung, Empfehlung).

Wie der Titel schon sagt, wird in diesem Dokument dargelegt, was zukünftige Bedrohungen sind und was sie für unsere Kunden und das Produkt bedeuten. Außerdem werden die Machbarkeit und die Methoden erläutert, die Red Hat ergreifen sollte. Getreu dem Open Source-Prinzip des Unternehmens werden SBAR-Dokumente an das gesamte Personal von Red Hat weitergegeben, um zusätzliche Informationen zu sammeln und gemeinsam eine passende Empfehlung auszuarbeiten. Beispielsweise gab es auf der Grundlage eines Jahre zuvor verfassten SBAR-Dokuments bereits einen internen Plan, der im April 2022 erstellt wurde und zeigte, wie das Produktteam die zukünftige Herausforderung der Post-Quanten-Kryptographie angehen wollte. 

Sichere Praktiken für den Softwareentwicklungs-Lifecycle (SDLC)

Die Softwaresicherheit muss von Anfang an in die Entwicklung integriert werden. Red Hat verfolgt einen Ansatz, der sich direkt an den Richtlinien des National Institute of Standards and Technology (NIST) Secure Software Development Framework (NIST SSDF SP-800-218) sowie den Leitlinien des Open Web Application Security Project (OWASP) und verschiedenen ISO-Standards orientiert. Die Beschäftigten bei Red Hat Product Security kennen nicht nur die Erwartungen rund um den sicheren Softwaremanagement-Lifecycle (SSML) von Red Hat, sondern sind auch mit der Befolgung der Pläne und Prozesse vertraut, die zur Unterstützung dieser Praktiken entwickelt wurden. Weitere Details zu den verschiedenen Aspekten des Frameworks finden Sie im Knowledgebase-Artikel, der von unserem Produktsicherheitsteam verfasst wurde. 

Mehr Augen bedeuten weniger Risiko

Viele Anbieter beteiligen sich an schreibgeschütztem Open Source, bei dem sie die einzigen Mitwirkenden am Open Source-Projekt sind. Dafür gibt es unzählige Beispiele sowohl bei Start-ups als auch bei großen Technologieunternehmen. Sie nutzen Open Source als Marketinginstrument, um die Akzeptanz ihrer Technologie zu steigern, respektieren aber nicht dessen wahre Stärke: Innovation. Diese Unternehmen möchten, dass Sie ihre Open Source-Software verwenden, aber Patches und Beiträge sind nicht gerne gesehen, es sei denn, es handelt sich um Dokumentation oder Benutzergruppen. Sie möchten Ihren Code nicht. Sie müssen die vollständige Kontrolle über die Projekte haben, damit sie mit den kommerziellen Projekten, die sie mit dieser Open Source-Technologie erstellt haben, Gewinne erzielen können.

Wir bei Red Hat sind überzeugt, dass die wahre Stärke von Open Source in der communitybasierten Open Source-Entwicklung liegt, bei der der Code in einem kollaborativen Prozess mit einer globalen Gruppe von Mitwirkenden erstellt wird. Auf diese Weise werden die besten Ideen ausgewählt und gefördert. Gleichzeitig wird die altehrwürdige Tradition unterstützt, die Linus Torvalds einmal so formulierte: „with enough eyes, all bugs are shallow“ (mit genügend Augen sind alle Fehler leicht zu finden). Wenn es eine stabile Community von Mitwirkenden gibt und ein Teilnehmender sich unangemessen verhält, können die anderen Teilnehmenden das Problem dem Rest der Community melden. Alle Personen im Raum beobachten sich gegenseitig. Kann das Problem nicht gelöst werden, so können die Teilnehmenden eine Kopie des Codes verwenden und damit eine eigene, konkurrierende Version des Projekts starten. 

Im Hinblick auf die Sicherheit sinkt aufgrund des offenen, transparenten und kollaborativen Charakters der communitybasierten Open Source-Entwicklung letztendlich das Risiko, dass gefährliche Schwachstellen im Code auftreten. Wenn alle sich gegenseitig im Auge behalten und den Code im Blick haben, ist es viel schwieriger, schädliche Elemente einzuschleusen – ob absichtlich oder versehentlich.

Deployment und Praxis

Mehr Sicherheit zur Build-Zeit

Red Hat integriert mehrere Schichten von Sicherheitsmechanismen in seine Produkte, darunter Standard-Sicherheitskonfigurationen, Zugriffskontrollen nach dem Least Privilege-Prinzip und strenge Codeüberprüfungen. Eine der Funktionen, für die sich Nutzende häufig interessieren, ist die Möglichkeit zur Nutzung von Sicherheitsprofilen mit Standardkonfigurationen. Durch die Auswahl einer Sicherheits-Baseline können Administrationsteams die Automatisierung zur Build-Zeit nutzen, um zu überprüfen, ob die Konfiguration den Best Practices für Compliance und Sicherheit entspricht. So wird die Effizienz erhöht und gleichzeitig das Risiko und die Möglichkeit menschlicher Fehler bei Aufgaben verringert, die sonst nach dem Build manuell ausgeführt werden müssten. 

Sicherheit mit Effizienz kombinieren

Im Jahr 2024 führte Red Hat den Image-Modus ein, eine neue Deployment-Methode für RHEL, die die Plattform als Container Image bereitstellt. Der Image-Modus verwendet einen containernativen Ansatz für die Entwicklung, Bereitstellung und Verwaltung des Betriebssystems. Er bietet einen einzigen Workflow zur Verwaltung der gesamten IT-Umgebung – von den Anwendungen bis hin zum zugrunde liegenden Betriebssystem – und das mit denselben Tools und Techniken. Für Sicherheitsteams bedeutet das, dass sie jetzt Tools zur Container-Sicherheit verwenden können, mit denen sie bereits vertraut sind – von Scanning und Validierung über Kryptografie und Zertifizierung bis hin zu den Basiselementen des Betriebssystems. Dadurch werden ihre Aufgaben viel einfacher lösbar.

Nutzenden Einblicke in die Sicherheit geben

Da täglich neue Bedrohungen auftauchen und die Anforderungen an IT-Teams ständig steigen, wurde Red Hat Insights entwickelt. Es unterstützt unsere Kunden dabei, Probleme eigenständig zu identifizieren und zu melden, Risiken hinsichtlich ihrer Auswirkungen auf das Unternehmen zu priorisieren und sogar die nächste Maßnahme in der Automatisierungs-Toolchain auszulösen. Insights beinhaltet Tools zur Sicherheitsanalyse, mit denen Sie Risiken effektiver managen können. In einer zentralen Oberfläche können Sie Ihre Systeme auf CVEs (Common Vulnerabilities and Exposures) scannen, Scan-Informationen sammeln und auf Anleitungen zur Fehlerbehebung zugreifen. 

Mit Insights können Sie außerdem Maßnahmen anhand des Schweregrads, des Risikotyps und der Auswirkungen der Änderung priorisieren. Sie können proaktiver handeln, indem Sie die Einhaltung gesetzlicher Vorschriften mit OpenSCAP-Richtlinien überprüfen, nicht konforme Systeme einfacher korrigieren und Compliance-Berichte einfacher generieren. Darüber hinaus können Sie mit Insights aktive Malware-Signaturen in den Systemen Ihrer Hybrid Cloud-Umgebung erkennen.

Sicherheitssupport nach dem Kauf

Red Hat ist ein zuverlässiger, globaler Sicherheitspartner

Sicherheit ist für Red Hat ein zentrales Thema, und wir arbeiten im Rahmen branchengeführter, koordinierter Programme zur verantwortlichen Offenlegung (Responsible Disclosure). Wir beteiligen uns seit langem an diesen Organisationen und arbeiten mit globalen und nationalen Partnern beim Austausch von Sicherheitsdaten und in weiteren Bereichen zusammen.

Als eines der wenigen Unternehmen weltweit, das eine besondere Rolle als CVE-Root-Teilnehmer (Common Vulnerabilities and Exposures) innehat, arbeitet Red Hat gemeinsam mit CVE.org daran, öffentlich bekannt gewordene Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren. Neben der Root-Rolle hat Red Hat auch die Position einer CVE Numbering Authority (CNA). Das bedeutet, dass wir durch das CVE-Programm autorisiert sind, Schwachstellen CVE-Nummern zuzuweisen und CVE-Datensätze zu veröffentlichen.

Für unsere Nutzenden bedeutet das, dass sie sich bei der Benachrichtigung über einen neuen CVE darauf verlassen können, dass ein Team von Sicherheitsprofis, die hervorragend mit RHEL vertraut sind, aktiv an der Schwachstellenbewertung beteiligt war. Als Produkte von Red Hat von diesen Schwachstellen betroffen waren, hatte das Team bereits damit begonnen, die notwendigen Schritte zur Fehlerbehebung zu prüfen.

Schließlich ist Red Hat im Dienste der Open Source Communities, auf die wir angewiesen sind und mit denen wir zusammenarbeiten, auch eine sogenannte CNA of Last Resort. Das heißt, wir können CVEs zuweisen und sie für Schwachstellen veröffentlichen, die Open Source-Projekte betreffen, die nicht von anderen CNAs abgedeckt werden.

Transparenz in Bezug auf Sicherheit, Schwachstellen und Fehlerbehebung

Obwohl unser Fokus natürlich auf RHEL liegt, veröffentlicht Red Hat in Bezug auf die Sicherheit aktiv Sicherheitsinformationen und Schwachstellen. Transparenz ist Teil unserer DNA, und Teil der Vision unseres Produktsicherheitsteams ist es, hochwertige Informationen bereitzustellen, die zur Minderung von Sicherheits- und Datenschutzrisiken erforderlich sind, sowie den Zugang zu diesen Informationen zu ermöglichen.

Dies gilt nicht nur für unsere Kunden, sondern auch für die Zusammenarbeit mit der Community bei der Entwicklung von Patches und Strategien zur Risikominderung für alle Linux-Nutzenden. Als Community ist es für uns alle wichtig, den Ruf von Linux als eines der sichersten Betriebssysteme der Welt aufrechtzuerhalten. Wie bereits erwähnt, gilt dies auch für unseren Code. Unser Code ist quelloffen. Es steht jedem frei, unseren Code zu inspizieren, zu prüfen, zu überarbeiten und Beiträge dazu zu leisten.

Wir beteiligen uns gemeinsam mit Peers und Kollegen auf der ganzen Welt an der Entwicklung von Open Source-Sicherheitspraktiken. Diese bieten ein Basis-Framework, auf das die globale Industrie aufbauen kann. Diese Praxis ist nicht neu. In den letzten 30 Jahren haben wir dies durch unsere Unterstützung bei der Entwicklung von OpenSCAP, unsere Mitgliedschaft in Organisationen wie OpenSSF und CoSAI sowie unsere Beiträge zu OSV.dev unter Beweis gestellt. 

Ausblick auf die nächsten 30 Jahre

Obwohl Red Hat vielleicht nicht als Sicherheitsunternehmen im herkömmlichen Sinne betrachtet wird, konzentriert sich Red Hat seit Jahrzehnten auf Sicherheit als Basis und Grundvoraussetzung. Die Welt ist heute eine andere als im Jahre 1993, als Marc Ewing die Linux-Distribution Red Hat Linux entwickelte. Niemand kann genau vorhersagen, wie die nächsten 30 Jahre aussehen werden, aber wir können sicher sein, dass wir uns auch weiterhin stark auf globale Sicherheitsanforderungen konzentrieren müssen. 

Wir werden weiterhin:

• die notwendigen Roadmaps recherchieren und entwickeln, damit unsere Produkte die Sicherheitsanforderungen unserer Kunden auf der ganzen Welt erfüllen
• unsere Produkte so entwickeln, dass die Anwendung von Sicherheit zur Build-Zeit vereinfacht wird, um die Effizienz zu erhöhen und gleichzeitig Risiken zu mindern
• unsere Basis und die globale Linux-Community bei der Behebung von Bedrohungen durch unsere aktive Teilnahme an sicherheitsorientierten Initiativen wie dem CVE-Programm unterstützen

Linux und der Schutz unserer Community sind uns sehr wichtig. Wir freuen uns auf die Zusammenarbeit mit Ihnen. 

Bleiben Sie auf dem Laufenden über die Open Source-Sicherheit, indem Sie unseren Blog-Feed abonnieren.