Kubernetes, die Plattform für Container-Verwaltung, ist nicht standardmäßig sicher und birgt neue Risiken. Wie ABIDAT Sie dagegen schützt, erfahren Sie hier.
Bahnbrechende Technologie – unbekannte Gefahren
Kubernetes ist die aktuelle bahnbrechende Technologie in der Cloud-Native-Welt. In den letzten zehn Jahren konzentrierte sich die Microservice-Architektur auf die Erstellung flexibler, zuverlässiger und unabhängiger kleiner Dienste. Zusätzlich haben Container der Microservice-Architektur als natürliche Ergänzung zur Skalierbarkeit und Portabilität zum Erfolg verholfen.
Damit hat sich Kubernetes zur De-facto-Plattform für die Container-Verwaltung entwickelt und ermöglicht es, cloud-native Microservice-Applikationen schnell in der Cloud auszuführen.
ABIDAT bietet Kubernetes als Solution Provider im Leistungsumfang der Openshift-Lösung von Red Hat an. So lassen sich mit ein paar Klicks Cluster erstellen, mit denen sofort gearbeitet werden kann. Da ein Open-Source-Projekt die Basis für OpenShift bildete, ist es möglich, Kubernetes sowohl in lokalen Rechenzentren als auch in der Cloud einzusetzen und zu verwalten.
Mit Kubernetes erhöhen wir die Skalierbarkeit und Verfügbarkeit von Software bei gleichzeitig optimierten IT-Kosten. Außerdem bietet es Flexibilität in Multi-Cloud-Umgebungen.
Ein Problem hat die smarte Technologie aber, Kubernetes ist nicht standardmäßig sicher, es birgt sogar neue Sicherheitsrisiken. Es wäre also ein Fehler, Kubernetes aufgrund seines hohen Marktanteils als sichere Plattform zu betrachten. Deshalb setzen wir bei ABIDAT auf Openshift als eine Kubernetes-Distribution, die mit der gebündelten Erfahrung der Entwickler bei Red Hat produziert wird.
Dennoch gibt es einige Feinheiten zu betrachten, um die Lösung sicher nutzen zu können. Und hier kommt unser erprobter Partner und Cyber-Protection-Spezialist Acronis ins Spiel. Doch zunächst sollen die Gefahrenstellen aufgezeigt werden.
Cloud-native Angriffsfläche und Herausforderungen
Seit der Einführung von Kubernetes wurde die Technologie wiederholt zum Ziel ernsthafter Sicherheitsvorfälle wie Siloscape-Angriffe und Cryptojacking.
Siloscape öffnet eine Hintertür, wenn Kubernetes-Cluster schlecht konfiguriert sind und verschafft Hackern so Zugang. Sobald diese Zugriff auf die Kubernetes-Cluster haben, können sie bösartige Software ausführen, um Ransomware-Angriffe durchzuführen.
Prominentes Beispiel für Cryptojacking sind Kubernetes-Cluster von Tesla, die 2018 durch offengelegte Kubernetes-Dashboard-Daten angegriffen und dann zum Schürfen von Kryptowährungen verwendet wurden.
Grundsätzlich können als die fünf größten potenziellen Herausforderungen in Bezug auf Angriffsflächen folgende Gefahren identifiziert werden:
1. Fehlkonfiguration und Expositionen
Cloud-Infrastrukturen, Kubernetes und Microservice-Anwendungen bestechen durch die hohe Konfigurierbarkeit und eine Vielzahl von Optionen. Betreiber von Cloud-nativen Anwendungen verwalten diese Konfigurationen. Das ist eine anspruchsvolle Aufgabe, da jede fehlerhafte Konfiguration dazu führen kann, dass die Anwendungen nicht mehr verfügbar sind. Ebenso können falsche Netzwerkrichtlinie dazu führen, dass sensible Datenbankinstanzen für externe Systeme zugänglich werden. Umso wichtiger ist es, Leitplanken für Fehlkonfigurationen zu haben.
2. Unklare Sicherheitsabgrenzungen
Cloud-native Anwendungen und Container bilden einen voneinander abhängigen Stapel unterschiedlicher Komponenten. Es ist beispielsweise üblich, Cloud-Dienste, virtuelle Knoten in den Rechenzentren und Netzwerke gleichzeitig zu nutzen. Das macht es schwierig, einen Sicherheitsbereich zu definieren und zu schützen. Es bedarf einer genau definierten Architektur und eines Sicherheitskonzepts, um cloud-native Anwendungen zu schützen, die in der Cloud ausgeführt werden.
3. Container-Sicherheit
Container sind kleine Pakete mit Betriebssystemen, ausführbaren Anwendungsprogrammen und Abhängigkeiten. Es kann durchaus sein, dass eine dieser Container-Komponenten Schwachstellen enthält. Entsprechend ist es wichtig, über gescannte und sichere Container-Images zu verfügen, wenn man bedenkt, dass sie im Maßstab von Hunderten von Instanzen in einem regulären Kubernetes-Cluster ausgeführt werden.
4. Laufzeitsicherheit
Selbst wenn Cloud-Dienste gesichert und Container auf Schwachstellen geprüft werden, gibt es in der Laufzeitphase Angriffsmöglichkeiten. Denn in der Laufzeitphase werden die als Container verpackten Anwendungen auf den virtuellen Knoten ausgeführt. Deshalb muss sichergestellt werden, dass die Applikationen während der Ausführung keine Daten preisgeben und dass der Zugriff auf externe Systeme begrenzt wird.
5. Beobachtbarkeit
Flexibilität und Skalierbarkeit sind die herausragenden Vorteile moderner cloud-nativer Anwendungen. Die Überwachung verteilter Anwendungen und die Sicherung einer ganzheitlichen Beobachtbarkeit des gesamten Stacks ist jedoch eine wichtige Voraussetzung. Denn ohne Beobachtbarkeit ist es nicht möglich, den genauen Status von Anwendungen, Kubernetes-Clustern, Knoten und der Infrastruktur zu kennen.
Kubernetes-Sicherheit
Eine Umfrage von StackRox zur Kubernetes-Sicherheit aus dem Jahr 2020 ergab, dass 90 % der Befragten im vergangenen Jahr einen Sicherheitsvorfall in ihrer Kubernetes-Umgebung erleben mussten. Im Mai 2022 hat Red Hat eine Studie zu Kubernetes-Einführung und Sicherheit durchgeführt, die zeigt, dass dieselben Probleme weiterhin eine Bedrohung darstellen:
- 94 % der Teilnehmer haben in Kubernetes mindestens einen Sicherheitsvorfall erlebt
- 59 % der Teilnehmer gaben an, dass die Sicherheit ihre größte Sorge bei der Fortsetzung ihres Kubernetes-Einsatzes ist
- 55 % der Teilnehmer mussten sogar die Veröffentlichung einer Applikation aufgrund eines Sicherheitsproblems in Zusammenhang mit Kubernetes verschieben
Unsere Empfehlungen auf Basis der aktuellen Umfragen
Als Managed Service Provider verfolgen wir ein ganzheitliches Konzept. Dabei hilft uns die umfassende Kenntnis der Kubernetes-Technologie auf Basis der Zusammenarbeit mit Red Hat und den Erfahrungen mit Openshift. Da es sich hier um eine ausgereifte Lösung handelt, die permanent verbessert und unterstützt wird, sind die Bedrohungen minimiert.
Für das Mehr an Sicherheit und um auf weitere mögliche Angriffe vorbereitet zu sein, empfehlen wir Acronis Cyber Infrastructure als Komplettlösung zum Schutz der gesamten cloud-nativen Angriffsfläche und zur Bewältigung der Sicherheitsherausforderungen in Kubernetes.
Wir halten das Angebot für das herausragende cloud-native Werkzeug zum Schutz von Kubernetes-Clustern, der Anwendungsschicht und der zugrunde liegenden Infrastruktur:
- Fehlkonfigurationen werden durch automatische Konfiguration und eine einheitliche Benutzeroberfläche vermieden
- CVE-Fixes für die Plattform und Kubernetes erfolgen zeitnah mittels Updates und Sicherheits-Patches
- Die Zertifikatsrotation erfolgt automatisiert über einen einzigen benutzerfreundlichen Befehl
Arbeiten Sie weiterhin mit der modernsten Technologie OpenShift ohne Kompromisse bei Sicherheit und Verlusten bei Geschwindigkeit und Verfügbarkeit.
Wir decken sowohl die produktive Multi-Cloud-Anwendung mit Red Hat ab als auch die passgenauen Sicherheitsmaßnahmen mit Acronis.