Sicheres Kubernetes

Minuten Lesezeit

Du hast wahrscheinlich schon einmal von Kubernetes gehört. Es handelt sich um eine Open-Source-Plattform zur Orchestrierung von Containern, die die Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen automatisiert.
Doch hast du jemals über die Sicherheitsimplikationen einer solchen Plattform nachgedacht?

Viele User neigen dazu, die Verantwortung für Risikomanagement und Sicherheit an eine Plattform wie Kubernetes abzugeben. Allerdings kann Kubernetes keine Zauberei vollbringen und ist nur so gut wie sein schwächstes Glied. Hier kommt der User wieder ins Spiel: Wenn ich anfällige Container-Images für Kubernetes bereitstelle, kann es diese Schwachstellen nicht auf magische Weise beheben und deren Ausnutzung verhindern. Wird zusätzlich zu einem anfälligen Image die Kommunikation zwischen Containern nicht ordnungsgemäß abgesichert, entsteht plötzlich ein Einfallstor für einen Angreifer, der so die gesamte Anwendung übernehmen kann. In die gleiche Richtung geht die Verwendung angemessener Zugangskontrollen: Ohne vernünftig konfigurierte Zugriffskontrollen ist es für einen Angreifer ein Leichtes, Zugang zur Anwendung zu erhalten.

Wie du sehen kannst, handelt es sich bei vielen dieser Risiken erneut um Probleme mit der Konfiguration. Um diese zu vermeiden, kannst du einige bewährte Verfahren befolgen:

  • Verwendung von Zugriff mit minimalem Recht
  • Verwendung sicherer Container-Images
  • „Härtung“ der Kubernetes-Infrastruktur
  • Implementierung von angemessener Netzwerksegmentierung
  • Sorgfältige Überwachung von Kubernetes-Protokollen und -Ereignissen
  • Und falls doch einmal etwas passieren sollte: Ein angemessener Krisenreaktionsplan

Um diese Best Practices besser zu verstehen, können sich Teams zertifizieren lassen, beispielweise von der Cloud Native Computing Foundation zum „Certified Kubernetes Security Specialist“. Zusätzlich zur Befolgung dieser bewährten Praktiken kann die Verwendung eines Sicherheitstools hilfreich sein. Es gibt sowohl Open-Source-Tools (z.B. kube-bench, kube-hunter) als auch kommerzielle (z.B. Twistlock, Aqua Security), die Dir dabei helfen, Fehlkonfigurationen und Risiken in Deinem Kubernetes-Cluster zu identifizieren.

Insgesamt gibt es einige Risiken bei der Verwendung von Kubernetes – das Risiko lässt sich aber minimieren, wenn die Plattform ordnungsgemäß konfiguriert und sicher betrieben wird. Wenn Du überprüfen möchtest, ob Dein Kubernetes-Cluster sicher konfiguriert ist oder wenn Du gerade erst mit Kubernetes beginnst und von Anfang an alles richtig machen möchtest, melde dich gerne bei tobias.krichel@soprasteria.com.

Search