IT-Grundschutz: BSI-Anforderungen für Container und Kubernetes

Die seit Langem erwarteten BSI-Grundschutz-Bausteine für den Betrieb von Containern werden endlich konkreter und stehen zur öffentlichen Kommentierung bereit.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Christoph Puppe
Inhaltsverzeichnis

Das BSI reagiert auf die veränderten technischen Gegebenheiten und hat den Bereich zu Containern im IT-Grundschutz-Kompendium neu sortiert, da der bisherige Baustein hauptsächlich auf Linux-Container unter Kubernetes gemünzt war. Nach zwei Community Drafts mit Kommentierungsphasen erschien der bisherige Container-Baustein nun aufgeteilt erneut zur öffentlichen Kommentierung. Die beiden Entwürfe zu Containerisierung und Kubernetes sollen dann als neue IT-Grundschutz-Bausteine in die Edition 2022 des IT-Grundschutz-Kompendiums aufgenommen werden. Über die Entwicklung des Bausteins wurde in den Artikeln "Container-Sicherheit: Entwurf des BSI-Bausteins für das Grundschutz-Kompendium" und "IT-Sicherheit: Neuer Entwurf des BSI-Bausteins zu Containern" berichtet.

Wo früher der "SYS.1.6 Container" alle Anforderungen für die Container selbst, deren Betrieb und auch die Verwaltungssoftware enthielt, gibt es nun den "SYS.1.6 Containerisierung" für die Anforderungen an die Container und deren Runtimes und den "APP.4.4 Kubernetes" für das Management des Containerbetriebs mit Kubernetes. Die Aufteilung war notwendig geworden, weil sich einerseits Kubernetes als dominierendes Betriebswerkzeug durchgesetzt hat und andererseits Container selbst nicht nur auf die Linux-Container unter Kubernetes beschränkt sind. Viele andere Betriebsarten, Containertechniken und Betriebssysteme sind für das Kompendium relevant und benötigten daher einen eigenständigen Baustein. Wer Kubernetes einsetzt, muss beide Bausteine beachten. Das BSI hat darauf geachtet, dass sie sich nicht überschneiden.

Inhaltlich blieben viele Bestandteile erhalten. In den 27 Anforderungen des neuen SYS.1.6 und den 21 Anforderungen des APP.4.4 finden sich nun aber auch Konkretisierungen, die Anwendern besser helfen, technische und organisatorische Maßnahmen zur Umsetzung zu definieren. Besonders das Thema Cluster unter Kubernetes hat durch die Aufteilung gewonnen. Fast alle erhöhten Anforderungen des APP.4.4 beziehen sich auf die Sicherheit der Nodes im Cluster. Auch das in vielen Organisationen heiß diskutierte Thema Separierung von Anwendungen ist nun klarer vorgegeben. Die Hoffnung ist, so die Umsetzung zu vereinfachen und die Sicherheit auf einem hohen Niveau zu halten, während gleichzeitig die Vorteile von Private- und Public-Cloud-Kubernetes-Clustern erhalten bleiben und deren Zahl überschaubar bleibt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich ab 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+