Best Practices zur effektiveren Absicherung von Kubernetes-Umgebungen mit CNAPP

Kubernetes ist ein Open-Source-System, das von Unternehmen aller Größen – von Startups bis hin zu etablierten Großunternehmen – zur Verwaltung und Ausführung Cloud-nativer Containeranwendungen eingesetzt wird. Dieser Vorgang wird als Orchestrierung bezeichnet – ein Begriff aus der Musiklehre, der die Verteilung der Stimmen eines Orchesterwerks auf die einzelnen Instrumentengruppen beschreibt.

Es ist sehr gut möglich, dass Ihnen auch dieser Blogbeitrag über einen mit Kubernetes orchestrierten Container bereitgestellt wird. 

Kubernetes basiert auf einer dezentralen Softwarearchitektur mit verschiedenen Komponenten und Services, die auf dem Konzept eines Wunschzustands aufsetzen, dessen Herstellung im Zielsystem angestrebt wird. Da zahlreiche Komponenten berücksichtigt werden müssen, ist die Absicherung von Kubernetes sehr viel komplexer als bei herkömmlichen Hosting-Infrastrukturen. Dieser Beitrag ist die erste Folge einer Blog-Reihe, die sich mit verschiedenen Kubernetes-Komponenten sowie Best-Practice-Empfehlungen befasst.

Bestandteile des Kubernetes-Systems

Kubernetes besteht aus lose gekoppelten Komponenten auf zwei verschiedenen Ebenen: der Steuerungsebene und der Datenebene. Die Steuerungsebene ist für die Ausführung und Verwaltung der Cluster-weiten Kommunikation und Betriebsvorgänge zuständig und fungiert quasi wie das Gehirn im menschlichen Körper. Die Datenebene hingegen entspricht sozusagen der Muskulatur und sorgt dafür, dass das System funktionsfähig und skalierbar ist. 

Konkret besteht die Steuerungsebene aus folgenden Komponenten: 

• Kube-API-Server
• Kube-Control-Manager, etcd (Schlüsselwertspeicher)
• Kube-Scheduler
• Admission Controllers und 
• Kube-Cloud-Control-Manager

Komponenten der Datenebene: 

• Kubelet
• Kube-Proxy (oder Netzwerk-Proxy)
• Container-Laufzeitumgebung (Docker, Container)
• Cluster DNS, Web-UI 

KSPM als erster Schritt auf dem Weg zur sicheren Kubernetes-Umgebung

Zur Absicherung Ihrer Kubernetes-Umgebung ist ein kundenspezifischer Ansatz erforderlich, der exakt auf die Bedürfnisse Ihrer Organisation abgestimmt ist. Wie er im Einzelnen aussieht, hängt u. a. von Ihrem jeweils gewählten Bereitstellungs- (öffentlich/privat) und Hostingmodell (selbstgehostet oder als PaaS von einem Cloud-Anbieter verwaltet) ab. In jedem Fall analysieren wir zunächst das mit dem entsprechenden Expositionsgrad verbundene Risiko und wenden dann geeignete Kontrollen zu seiner Bewältigung an. 

Im ersten Schritt sollten Sie den Sicherheitsstatus Ihrer Kubernetes-Cluster mit einer KSPM-Lösung (Kubernetes Security Posture Management) überprüfen. KSPM wird entweder als eigenständiges Produkt oder im Rahmen einer umfassenden Plattform wie CNAPP angeboten und sucht nach Fehlkonfigurationen in Kubernetes-Komponenten. Anhand der dabei erkannten Lücken können Sicherheitsbeauftragte dann entsprechende Konfigurationen und Richtlinien zur Absicherung der Kubernetes-Komponenten definieren und entwickeln.

Je nach Branche werden unterschiedliche Leitlinien zur Härtung von Kubernetes-Umgebungen empfohlen. So stellt das Center für Internet Security (CIS) ein entsprechendes Benchmark für unterschiedliche Versionen von Kubernetes sowie für PaaS-Deployment bereit. Die National Security Agency (NSA) und die Cybersecurity and Infrastructure Security Agency (CISA) haben gemeinsame Empfehlungen für staatliche Behörden herausgegeben. Das MITRE ATT&CK Framework enthält ebenfalls wichtige Informationen zu verschiedenen Techniken, die von Angreifern eingesetzt werden, worauf wir im Rahmen dieser Beitragsreihe ebenfalls eingehen. 

Neben Methoden zur effektiven Erkennung und Behebung von Fehlkonfigurationen sollten Sie auch die Vorteile kennen, die eine Zero-Trust-Sicherheitsarchitektur zum Schutz Ihrer Kubernetes-Cluster bietet. Außerdem müssen Sie wissen, wie Sie die Container-Image-Registrierung, den Persistent-Volume-Speicher und das Netzwerk absichern. Auf diese Themen wird in den weiteren Folgen unserer Blog-Reihe ausführlich eingegangen. 

Sie wollen nicht auf die weiteren Folgen warten und brauchen schon heute kompetente Beratung zur Absicherung Ihrer Kubernetes-Umgebung? Unsere Experten sind jederzeit für Sie zu erreichen.