Über uns Kostenlose Testversion starten Kontaktieren Sie uns
Deutsch
English Deutsch Français 日本語 Español Svenska 中文

Der vollständige Leitfaden zur Kubernetes-Sicherheit

Archana Mahtani

Published on 05 May 2022

Kubernetes-Sicherheit

Die meisten Diskussionen zur Kubernetes®-Sicherheit drehen sich um die Schwierigkeit, einen Cluster abzusichern. Es ist ziemlich schwierig, jede Schicht eines Kubernetes-Systems zu schützen, da Kubernetes nur eine Handvoll nativer Sicherheitsoptionen bietet. Kubernetes verfügt zwar nur über wenige integrierte Sicherheitslösungen, und der Schutz von Kubernetes erfordert die Behebung mehrerer Arten möglicher Schwachstellen auf mehreren Infrastrukturebenen.

Dies bedeutet jedoch nicht, dass Sie Kubernetes-Sicherheit als unmöglich schwierig betrachten sollten. Tatsächlich bietet die Tatsache, dass Kubernetes eine so große Plattform mit so vielen Schnittstellen ist, eine Chance: Sie vereinfacht die Entwicklung eines automatisierten, systematischen Satzes von Vorgängen, der Sicherheit in den Build- und Bereitstellungsprozess von Kubernetes integriert. Das Ergebnis ist eine eng integrierte Sicherheitsrichtlinie, die Angriffe auf allen Ebenen und Schichten Ihres Stacks abschwächt.

In diesem E-Book erfahren Sie, wie Sie eine Sicherheitsstrategie entwickeln, die Ihre anderen Kubernetes-basierten Vorgänge verbessert, anstatt sie zu behindern. Es identifiziert die Sicherheitsherausforderungen von Kubernetes vom Knoten aufwärts und zeigt spezifische Lösungen für die Bewältigung jeder dieser Herausforderungen auf. Dabei liegt der Schwerpunkt auf automatisierten, skalierbaren Ansätzen, die Kubernetes-basierte Workloads unabhängig von Clustergröße oder Infrastrukturtyp (vor Ort, öffentliche Cloud, verwalteter Dienst) sicher halten.

Kubernetes ist ein multidimensionales Biest

Zunächst einmal muss man sich darüber im Klaren sein, dass Kubernetes eine komplexe Plattform ist, die aus mehr als einem halben Dutzend Komponenten besteht. Sie enthält einen API-Server zur Erleichterung der Kommunikation zwischen Clusterkomponenten, einen Scheduler zur Verwaltung der Verteilung der Arbeitslasten und Controller zur Verwaltung des Status von Kubernetes selbst. Sie besteht außerdem aus einem Agenten, der auf jedem Knoten oder Server innerhalb eines Clusters ausgeführt wird, sowie einem Schlüssel-Wert-Speicher, der Clusterkonfigurationsdaten enthält.

Nativer Kubernetes-Sicherheitsschutz

Die Sicherheit von Kubernetes wird noch dadurch erschwert, dass es zwar über bestimmte integrierte Sicherheitsmaßnahmen verfügt, sich jedoch ohne die Unterstützung zusätzlicher Technologien nicht selbst schützen kann. Kubernetes ermöglicht Administratoren die Erstellung von rollenbasierten Zugriffskontrollregeln (RBAC), um Clusterressourcen vor unerwünschtem Zugriff zu schützen. Darüber hinaus können sie Pod-Sicherheitsregeln und Netzwerkrichtlinien festlegen, um bestimmte Formen des Pod- und Netzwerkmissbrauchs zu verhindern.

Um die Unterbrechung zu verringern, die ein Angreifer verursacht, wenn er einen Teil des Clusters kompromittiert, können Ressourcenbeschränkungen angewendet werden. Mit Ressourcenbeschränkungen kann der Angreifer keinen Denial-of-Service-Angriff durchführen, indem er dem Rest des Clusters die erforderlichen Ressourcen entzieht (vorausgesetzt natürlich, dass sich die Sicherheitsverletzung nicht über den Teil des Clusters hinaus ausbreitet, in dem sie ihren Ursprung hatte).

Integrierte Entwicklungsumgebungen

Integrierte Entwicklungsumgebungen (IDEs) sind die Tools, die Entwickler üblicherweise zum Erstellen von Anwendungsquellcode verwenden. Eine IDE sollte der Ausgangspunkt für Schwachstellenscans sein, da sie das Tool ist, das den Anwendungsbereitstellungsprozess einleitet. Die meisten IDEs können mit einer Reihe von Schwachstellenscannern von Drittanbietern für Quellcode interagieren, um mögliche Sicherheitslücken im Anwendungscode zu identifizieren.

Integrative Integration

Technologien zur kontinuierlichen Integration (CI) hosten Quellcode und wandeln ihn in Binärdateien um, die von Kubernetes bereitgestellt werden können. Sie stellen eine zusätzliche Phase zur Schwachstellenprüfung für Code dar. CI-Server sind mit einer Reihe von Schwachstellenscannern kompatibel, ähnlich wie IDEs.

Konfigurationsmanagement

Derzeit basieren die meisten Build- und Bereitstellungspipelines von Kubernetes-Anwendungen auf Infrastructure-as-Code (IaC) und YAML-Dateien für ein automatisiertes, richtlinienbasiertes Konfigurationsmanagement.


Laden Sie das Whitepaper von Prisma Cloud herunter, um mehr über den vollständigen Leitfaden zur Kubernetes-Sicherheit exklusiv bei Whitepapers Online zu erfahren.

Icon
THANK YOU

You will receive an email with a download link. To access the link, please check your inbox or spam folder