Fünf Best Practices für die Absicherung von Kubernetes-Umgebungen

Das Thema Sicherheit ist derzeit eine der größten Herausforderungen für Kubernetes-Anwender. Das Whitepaper von SUSE fasst die wichtigsten Best Practices zusammen, mit denen Unternehmen ihre Container-Infrastruktur vor Gefahren schützen können. Eine ganzheitliche Security-Strategie für Kubernetes sollte dabei vor allem fünf Maßnahmen umfassen.

Kubernetes hat sich in den letzten Jahren als Standardtechnologie für die Orchestrierung von containerisierten Services, Anwendungen und Workloads etabliert. Laut dem Annual Survey 2022 der Cloud Native Computing Foundation (CNCF) setzen 64 Prozent der befragten Unternehmen Kubernetes bereits produktiv ein, weitere 25 Prozent befinden sich aktuell in der Pilotierungs- oder Evaluierungsphase.

Die Studie zeigt aber auch, dass Sicherheitsbedenken die Umsetzung in einigen Organisationen bremsen. Je nach Reifegrad der Cloud-Native-Strategie sehen 30 bis 40 Prozent der Unternehmen das Thema Security als größte Hürde für den Ausbau ihrer Kubernetes-Infrastruktur. Diese Bedenken sind nicht unbegründet: In einer Umfrage von Veritas gaben mehr als die Hälfte der befragten Kubernetes-Anwender aus Deutschland an, bereits Opfer eines Ransomware-Angriffs auf ihre Container-Umgebung geworden zu sein.

Warum Kubernetes-Anwender auf Zero Trust setzen sollten

Container-Architekturen rücken mittlerweile immer mehr in den Fokus von Cyberkriminellen. Experten empfehlen daher, auch im Kubernetes-Umfeld auf eine Zero-Trust-Strategie zu setzen. Dieses Sicherheitskonzept geht immer davon aus, dass Benutzern, Anwendungen, Netzwerken, Servern, Diensten und APIs – egal ob intern oder extern – nicht vertraut werden kann, bis das Gegenteil bewiesen ist. Eine Zero-Trust-Strategie folgt daher immer dem Grundsatz „Never Trust, Always Verify“.

Das SUSE-Whitepaper „Best Practices for Securing Kubernetes Environments” beschreibt, wie Unternehmen eine Zero-Trust-Strategie für ihre Kubernetes-Infrastruktur umsetzen können. Dabei sollten unter anderem die folgenden fünf Punkte beachtet werden:

1. Schützen Sie die gesamte Container Supply Chain

Grundlage für die Verbesserung der Kubernetes-Sicherheit ist die Absicherung der Container Supply Chain. Um die gesamte Lieferkette vor Malware und anderen Sicherheitsbedrohungen zu schützen, müssen IT-Abteilungen darauf achten, dass alle Komponenten – einschließlich der Kubernetes-Software selbst – aus vertrauenswürdigen Quellen stammen. Bevor Container Images in einer Umgebung eingesetzt werden, sollten sie einen umfassenden Verifizierungsprozess durchlaufen. Dabei überprüft der Anbieter nicht nur den gesamten Code, sondern auch alle Libraries und Abhängigkeiten, die für die Ausführung einer containerisierten Anwendung notwendig sind. Nur mit verifizierten Images stellen Sie sicher, dass Ihre Kubernetes-Cluster nicht durch kompromittierte Container oder bösartigen Code gefährdet werden.

2. Schließen Sie durch Automatisierung Fehlerquellen aus

In hochdynamischen Kubernetes-Umgebungen ist es wichtig, die Schutzmaßnahmen so weit wie möglich zu automatisieren. Damit reduzieren IT-Abteilungen das Risiko menschlicher Fehler und sorgen für ein einheitlich hohes Sicherheitsniveau. Ein wichtiges Werkzeug dafür sind zum Beispiel Custom Resource Definitions (CRDs). DevOps-Teams können damit das zulässige Verhalten ihrer Container-Workloads deklarieren, das dann in einer Produktionsumgebung überwacht wird. Darüber hinaus können CRDs genutzt werden, um Run-Time Security Policies zum Schutz von produktiven Workloads automatisch zu verwalten – und so „Security als Code“ für die Container-Umgebung bereitzustellen.

3. Identifizieren Sie Schwachstellen durch regelmäßige Vulnerability Scans

Kubernetes-Anwender benötigen Tools und Prozesse, um ihre Umgebung kontinuierlich auf mögliche Sicherheitslücken zu testen. Veraltete Software oder fehlerhafte Konfigurationen machen es Angreifern leicht, sich unberechtigten Zugang zu internen Systemen und sensiblen Daten zu verschaffen. Mittlerweile gibt es eine Vielzahl von Lösungen für das Schwachstellenmanagement im Container-Umfeld. Automatisierte Tools liefern in Echtzeit einen schnellen Überblick über bekannte Schwachstellen und geben Empfehlungen zu deren Behebung. Anomalie-basierte Verfahren sind darüber hinaus in der Lage, neue Schwachstellen zu erkennen, die von Angreifern ausgenutzt werden. Mit virtuellen Patch-Funktionen können IT-Abteilungen auch diese Zero-Day-Exploits zuverlässig blockieren, bevor sie sich auf das Unternehmen auswirken.

4. Kontrollieren Sie die Container-Kommunikation durch Segmentierung

Eine weitere empfehlenswerte Sicherheitsmaßnahme im Kubernetes-Umfeld ist die Container-Segmentierung. Dabei werden die Anwendungen auf einem Kubernetes-Cluster in verschiedene Gruppen oder Segmente unterteilt, die auf ihrer Rolle oder Funktion basieren. Die Segmentierung sorgt dafür, dass nur autorisierte Kommunikation zwischen Anwendungen erlaubt ist und nicht autorisierte Kommunikation konsequent eingeschränkt wird. Dies erleichtert es, unbefugte Zugriffe zu verhindern und individuelle Sicherheitsrichtlinien oder Einschränkungen für verschiedene Gruppen von Anwendungen durchzusetzen.

5. Vergeben Sie Zugriffsrechte nach dem Least-Privilege-Prinzip

In Kubernetes wird der Zugriff auf Ressourcen innerhalb eines Clusters durch eine Kombination verschiedener Faktoren gesteuert. Rollen und Cluster-Rollen definieren die spezifischen Berechtigungen und Fähigkeiten, die ein Anwender oder eine Gruppe von Benutzern innerhalb des Clusters haben. RoleBindings und ResourceQuotas werden verwendet, um die Ressourcen zu begrenzen, die ein Anwender verwenden kann. Rollenbasierte Zugriffskontrolle (RBAC) stellt schließlich sicher, dass Benutzer nur die Aktionen ausführen und auf die Ressourcen zugreifen können, für die sie autorisiert sind. Gehen Sie bei der Vergabe von Zugriffsrechten immer restriktiv vor und beschränken Sie den Zugriff grundsätzlich auf die Daten und Ressourcen, die für die jeweilige Aufgabe tatsächlich benötigt werden.

Laden Sie jetzt das komplette Whitepaper herunter und lernen Sie alle Best Practices für die Absicherung von Kubernetes-Umgebungen kennen.