Leitfaden Kubernetes Security: Zehn Fragen, die Sie Ihrem Sicherheitsteam stellen sollten

Containerisierte Anwendungen und Kubernetes-Infrastrukturen rücken mittlerweile immer stärker in den Fokus von Angreifern. Mit herkömmlichen Security-Tools sind die neuen Bedrohungen aber oft nicht zu erkennen. Der Security Guide von SUSE zeigt, wo die größten Risiken liegen – und wie Sie Ihre Umgebung umfassend schützen können.

Mit Container-Technologie und Werkzeugen wie Kubernetes können Unternehmen viele Aspekte der Anwendungsbereitstellung automatisieren. Dies hilft ihnen, ihr Business schnell an neue Anforderungen anzupassen. Moderne Anwendungsarchitekturen sind jedoch genauso anfällig für Angriffe und Exploits durch Hacker und Insider wie herkömmliche Umgebungen. Ransomware, Kryptojacking, Datendiebstahl und weitere Cyberrisiken bedrohen auch neue, containerbasierte Umgebungen in der Cloud.

Hinzu kommt, dass neue Tools und Technologien wie Kubernetes und verwaltete Container-Services in der Public Cloud oft zum Einfallstor für Angriffe auf die wertvollsten Daten und Assets eines Unternehmens werden. Seit den ersten Man-in-the-Middle-Attacken im Kubernetes-Umfeld und dem Exploit bei Tesla hat sich die Gefahrenlage für Unternehmen deutlich verschärft.

Die hyperdynamische Natur von Containern schafft insbesondere vier große Herausforderungen im Bereich Sicherheit:

• Schwachstellen in der CI/CD-Pipeline: Es werden regelmäßig kritische Schwachstellen in den Open-Source-Komponenten einer CI/CD-Pipeline entdeckt. Diese können Container-Images von der Build-Phase bis zur Produktion betreffen. Über kompromittierte Container-Images gelingt es Cyberkriminellen immer wieder, Malware einzuschleusen oder sich unberechtigten Zugriff auf das Netzwerk zu verschaffen – ohne dass dies von traditionellen Sicherheitslösungen entdeckt wird.
• Explosion des East-West-Traffic: Während monolithische Anwendungen durch herkömmliche Firewalls und Sicherheits-Tools auf dem Host geschützt werden können, entstehen bei Containern neue Risiken durch den stark ansteigenden internen Datenverkehr. Dieser sogenannte East-West-Traffic muss permanent auf mögliche Angriffe überwacht werden.
• Vergrößerte Angriffsfläche: Jeder einzelne Container kann eine andere Schwachstelle haben, die einen Exploit ermöglicht. Auch die zusätzliche Angriffsfläche, die durch Container-Orchestrierungstools wie Kubernetes entsteht, muss berücksichtigt werden. Neue Methoden richten sich oft direkt gegen die Kubernetes-Infrastruktur und versuchen, Komponenten wie API-Server oder Kubelets zu attackieren.
• Hohes Tempo der Veränderung: Häufig können traditionelle Methoden und Tools für die IT-Sicherheit nicht mit der Dynamik einer sich ständig verändernden Container-Umgebung mithalten. Meist dauert es nur Minuten oder Sekunden, bis neue Container oder Pods verfügbar sind. Dies hat auch immer wieder Auswirkungen auf das Verhalten von Anwendungen und Netzwerkverbindungen. Um ihre Umgebung umfassend zu schützen, benötigen Unternehmen automatisierte Tools der nächsten Generation, die Sicherheitsrichtlinien frühzeitig in der Pipeline anwenden und als Code verwalten.

Ist Ihr Unternehmen in der Lage, Ihre Container-Umgebung vor neuen Risiken zu schützen und Angriffe erfolgreich abzuwehren? Das Team, das für die Sicherheit Ihrer Kubernetes-Infrastruktur verantwortlich ist, sollte insbesondere die folgenden zehn Fragen beantworten können:

1. Verfügen Sie über einen Prozess, um kritische Schwachstellen möglichst schnell mit verfügbaren Fixes zu beseitigen – und dies auch schon in der Build-Phase Ihrer Pipeline?
2. Haben Sie Einblicke in alle bereitgestellten Kubernetes-Pods? Wissen Sie zum Beispiel, wie sich die Pods im Normalbetrieb verhalten und wie Pods und Cluster miteinander kommunizieren?
3. Können Sie potenziell schädliches Verhalten im internen Datenverkehr zwischen einzelnen Containern erkennen?
4. Werden Sie gewarnt, wenn interne Service-Pods oder Container beginnen, Ports intern zu scannen oder wahllos versuchen, sich mit dem externen Netzwerk zu verbinden?
5. Wie erkennen Sie, ob möglicherweise ein Angreifer in Ihre Container, Pods oder Hosts eingedrungen ist?
6. Sind Sie in der Lage, die Netzwerkverbindungen Ihrer Container-Umgebung im gleichen Maße zu überprüfen wie Ihr übriges Netzwerk? Zum Beispiel auf Layer 7?
7. Haben Sie einen Überblick über alle Vorgänge innerhalb eines Pods oder Containers, um festzustellen, ob es möglicherweise einen Exploit gibt?
8. Überprüfen Sie regelmäßig die Zugriffsrechte auf Ihre Kubernetes-Cluster, um mögliche Angriffswege für Insider zu verstehen?
9. Verfügen Sie über eine Checkliste für die Sperrung von Kubernetes-Diensten, rollenbasierten Zugriffsberechtigungen und Container-Hosts?
10. Wie lokalisieren Sie beim Troubleshooting oder bei der Aufzeichnung forensischer Daten den problematischen Pod und erfassen seine Log-Daten? Können Sie auch den Rohdatenverkehr erfassen und analysieren, bevor er verschwindet?

Sich die Zeit zu nehmen, die richtigen Fragen zur richtigen Zeit zu stellen, ist ein wichtiger Schritt auf dem Weg zu umfassender Container-Sicherheit. In unseremLeitfaden „The Ultimate Guide to Kubernetes Security“ erfahren Sie mehr über das Thema.

Der Leitfaden hilft Ihnen, typische Angriffsmethoden und Exploits im Kubernetes-Umfeld zu verstehen, und gibt Einblicke in reale Sicherheitsvorfälle. Zudem enthält der Guide eine vollständige Checkliste mit Maßnahmen zur Absicherung Ihrer Infrastruktur.

Jetzt den Leitfaden „The Ultimative Guide to Kubernetes Security“ herunterladen