Was ist Kubernetes Container Security?

Kubernetes Container Security ist:

ein ganzheitlicher Ansatz, durch den Kubernetes-Pods, -Images, -Laufzeiten, -Hosts und die Infrastruktur an sich geschützt werden.

Kubernetes Container Security

Kubernetes ist ein verbreitetes Open-Source-Tool für die Orchestrierung von Containern, das den Container-Markt im Sturm erobert. Ein Tool wie Kubernetes für die Orchestrierung von Containern einsetzen zu können, ist entscheidend für Organisationen, da sie andernfalls keine Container-basierten Anwendungen in der Produktion ausführen könnten. Container über die Befehlszeile in großem Umfang manuell bereitzustellen und zu managen, wäre logistisch nahezu unmöglich.

Die Automatisierung von Aufgaben wie Bereitstellung, Skalierung und allgemeinem Management Container-basierter Anwendungen bietet eine Menge Vorteile. Das Tool kann aber zu großen Sicherheitslücken führen, wenn keine geeigneten Maßnahmen ergriffen werden.

Kubernetes managt die Sicherheit nicht

Nach aktuellen Berichten managen 86 % der Organisationen einen unterschiedlich großen Teil ihrer Container-Workloads mit Kubernetes. Sicherheit bleibt jedoch ein großes Problem. Mehr als die Hälfte der Teilnehmer gaben an, dass ihr Unternehmen nicht angemessen in die Sicherheit der Container investiert hat. Wenn keine geeignete Strategie existiert, führt dies schnell zu Verzögerungen bei der Einführung von Kubernetes oder zu schwerwiegenden Sicherheitslücken.

Abgesehen von Grundfunktionen wie der Durchsetzung einer rollenbasierten Zugriffssteuerung bietet Kubernetes keine Möglichkeit, Anwendungen vor Schwachstellen zu schützen. Daher müssen Sie auf zusätzliche Programme oder externe Anbieter zurückgreifen, um sicherzustellen, dass geeignete Sicherheitssysteme vorhanden sind.

Aspekte, die zu beachten sind

Ein paar Aspekte sollten Sie beim Schutz Ihrer Kubernetes-Container berücksichtigen: 

  • Standardkonfigurationen 
  • Container-Laufzeit 
  • Images 
  • Host-Sicherheit 
  • Pod-zu-Pod-Kommunikation

 

Standardkonfigurationen

Was ist Kubernetes Container Security? Alle Kubernetes-Standardkonfigurationen müssen vor der Verwendung geprüft werden, um das Risiko zu minimieren, dass ein Angriff in einem Pod auf andere Pods überspringen kann.

Auch wenn Kubernetes ein spezifisches Framework etwa für die Zugriffssteuerung besitzt, ist die Mehrzahl dieser Funktionen standardmäßig in der Regel nicht aktiviert. Möglicherweise sind diese Arten von Steuerungen auch nicht für die Durchsetzung von Richtlinien konfiguriert, nach denen lediglich die mindestens notwendigen Berechtigungen gewährt werden. Anwender könnten also vollständigen Zugriff auf Informationen erhalten, die sie nicht benötigen. Potenziell sensible Daten auf diese Weise offenzulegen ist sehr riskant, da vertrauliche Informationen für böswillige Anwender zugänglich werden.

Container-Runtime

Eine Container-Runtime ist eine spezielle Anwendung, die Container ausführt. Es ist wichtig zu verstehen, dass Kubernetes keine Funktionen zum Schutz vor Laufzeitangriffen besitzt. Die Lösung kann erfolgreiche Angriffe auch nicht im Nachhinein erkennen.

Wird in einem laufenden Container eine aktive Sicherheitsverletzung oder eine neue Schwachstelle entdeckt, muss der gesamte Container außer Betrieb genommen und anschließend eine neue, nicht kompromittierte Version gestartet werden. Die Neukonfiguration der betroffenen Komponente sollte auf den Informationen basieren, mithilfe derer die Ursache des Sicherheitsproblems beseitigt wurde.

Images

Images können zu einer höheren Anfälligkeit von Containern beitragen. Schlecht konfigurierte Images verschaffen Angreifern einfachen Zugang zum Netzwerk. Außerdem können Images, die spezifische Authentifizierungsschlüssel enthalten, Cyberkriminelle bei weiteren Angriffen unterstützen.

Die Entdeckung von bösartigem Code innerhalb eines Container-Images setzt Scans auf Schwachstellen in Registrys und in der Produktion voraus. Diese Möglichkeit bietet Kubernetes nicht.

Host-Sicherheit

Standardmäßig führt Kubernetes Container auf den Servern aus, die der Lösung zugewiesen sind. Da das Orchestrierungstool keine Berührungspunkte mit der Sicherheit dieser Server hat, müssen andere Prozesse dazu dienen, sie auf Sicherheitsprobleme zu überwachen.

Viele Unternehmen setzen auf herkömmliche Lösungen für die Host-Sicherheit, um Exploits von Systemressourcen zu entdecken. Wenn der Host jedoch ebenfalls kompromittiert wird, kann dies verheerende Folgen haben. Die Host-Systeme müssen auf Sicherheitsverletzungen und verdächtige Aktivitäten überwacht werden, damit bösartige Angriffe abgewehrt werden können.

Pod-zu-Pod-Kommunikation

Standardmäßig wendet Kubernetes keine Netzwerkrichtlinien auf die einzelnen Pods an. Das bedeutet, dass jeder Pod mit jedem anderen Pod in der Kubernetes-Umgebung kommunizieren kann. Es hat zwar Vorteile, wenn Container und Pods innerhalb von Bereitstellungen miteinander kommunizieren, da dies zu korrekten Abläufen beiträgt. Dieses Verhalten kann jedoch schnell zu einem Vorteil für Cyberkriminelle werden, die nur einen einzigen Container erfolgreich angreifen müssen und sich anschließend lateral durch die Umgebung bewegen können.

Die Verknüpfung einer Netzwerkrichtlinie mit einem Pod hat die gleiche Wirkung wie Firewall-Regeln und Kontrollen: Der Pod kann nur mit definierten Ressourcen kommunizieren.

Schutz von Kubernetes-Containern

Da die meisten Organisationen Kubernetes einsetzen, ist der Schutz von Kubernetes-Containern essenziell, wenn es um den Schutz von Netzwerken und Anwendungen vor Sicherheitsverletzungen und bösartigen Angriffen geht. Durch die erfolgreiche Integration von Sicherheit in jede einzelne Phase des Lebenszyklus von Kubernetes-Containern können sich Unternehmen darauf verlassen, dass sie geeignete Maßnahmen ergreifen.

Container Security – Themen