Containerisierung: KCCSS bewertet die Risiken für Kubernetes

Octarine veröffentlicht ein Framework und ein zugehöriges Tool zur Risikobewertung für Kubernetes-Deployments.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Das auf die Absicherung von Kubernetes-Installationen ausgerichtete Unternehmen Octarine hat zwei neue Werkzeuge zum Abschätzen von Risiken in Kubernetes-Clustern veröffentlicht. Das Framework KCCSS bewertet die Gefahrenlage, und Kube-Scan erstellt basierend auf den Regeln des Frameworks eine Risikobewertung für spezifische Cluster.

Das Akronym KCCSS steht für Kubernetes Common Configuration Scoring System. Es ist an den Industriestandard Common Vulnerability Scoring System (CVSS) zum Bewerten der Schwere von Sicherheitslücken angelehnt. KCCSS bewertet die Konfiguration von Kubernetes sowohl nach Risiken als auch bezüglich der Gegenmaßnahmen mit jeweils eigenen Regeln.

Das Framework stuft das Risiko für jede einzelne Einstellung mit einer Zahl von 0 für gut gesichert bis 10 für höchstes Risiko ein. Administratoren können daraus eine globale Risikobewertung über alle Workloads erstellen. Die Formeln zum Bewerten der Risiken und Gegenmaßnahmen sind quelloffen im Repository auf GitHub abgelegt.

Die Liste der Regeln lässt sich beliebig erweitern, um zusätzliche Tools wie Helm oder ein Service-Mesh abzudecken. Erklärtes Ziel ist der Aufbau einer Community, um die Regeln zu verbessern und zu ergänzen. Octarine hat dafür eine Anleitung zum Aufbau der Regeln und dem Erstellen und Ergänzen des Regelwerks auf GitHub veröffentlicht.

Das Framework bewertet die potenziellen Auswirkungen riskanter Konfigurationen in den drei Bereichen Vertraulichkeit, Integrität und Verfügbarkeit. Für Erstere untersucht KCCSS die Einstellungen auf potenzielle einsehbare personenbezogene Daten und offenen Zugriff auf geheim zu haltende Informationen.

Hinsichtlich der Integrität prüft das Framework darauf, ob die Konfiguration ermöglicht, das Laufzeitverhalten zu ändern, neue Prozesse oder Pods zu starten oder Änderungen am Container, Host oder Cluster vorzunehmen. Um die Verfügbarkeit zu sichern, untersucht KCSS die Einstellungen auf eine mögliche Überlastung der Ressourcen sowie auf potenzielle Angriffsflächen für Denial-of-Service-Angriffe.

Das Tool Kube-Scan nutzt KCCSS zum Erstellen einer Risikobewertung, mit dem Administratoren und Entwickler eine schnelle Analyse von Kubernetes-Clustern durchführen und die am meisten gefährdeten Workloads identifizieren können.

Kube-Scan erstellt eine Analyse von Kubernetes-Clustern, die eine Übersicht über die größten Risiken gibt.

(Bild: Octarine)

Weitere Details zur Veröffentlichung der Tools zur Risikobewertung lassen sich dem Octarine-Blog entnehmen. Sowohl KCCSS als auch Kube-Scan sind als Open-Source-Projekte auf GitHub verfügbar. (rme)