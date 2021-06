Die erste Ausgabe des Sicherheits-Reports "The State of Kubernetes Security 2021" ist erschienen. Sie beruht auf einer Umfrage unter rund 500 Beschäftigten in den Feldern DevOps, Software Engineering und Sicherheit, die das auf Kubernetes-Sicherheit spezialisierte Unternehmen StackRox noch vor seiner Übernahme durch Red Hat durchgeführt hatte. Fast alle Befragten (94 Prozent) hatten in den vergangenen 12 Monaten mit mindestens einem Sicherheitsvorfall zu kämpfen, und über die Hälfte (55 Prozent) gaben an, dass sie die Inbetriebnahme von Kubernetes-Anwendungen im selben Zeitraum aus Sicherheitsgründen verschieben mussten.

Fehlerhafte Konfiguration verursacht am häufigsten Probleme

Hinter den meisten Datenlecks und Hackerangriffen stand den Befragten zufolge menschliches Versagen. So gaben rund 60 Prozent an, dass im fraglichen Zeitraum fehlerhafte Konfigurationen ein Sicherheitsproblem verursacht hätten. Jeweils rund ein Drittel der IT-Fachleute hatte mindestens eine kritische Schwachstelle oder ein Sicherheitsproblem in der Laufzeitumgebung entdeckt. Fehlkonfigurationen bereiten den Verantwortlichen offenbar mehr Bauchschmerzen als drohende Hackerangriffe. So äußerte etwa die Hälfte (47 Prozent) Sorge über die Verwundbarkeit durch fehlerhafte Konfiguration, während nur etwa jeder Achte (13 Prozent) Angriffe von außen als das drängendste Problem wahrnimmt.

Gewichtung von Sicherheits-Features bei Kubernetes

Automatisiertes Konfigurations-Management empfohlen

Das konsistente Verwalten der Grundeinstellungen lässt sich in der Praxis offenbar schwerer umsetzen als beispielsweise Schwachstellen-Scans von Container Images, wofür es eine Reihe brauchbarer Tools gibt. Der Bericht empfiehlt weitgehende Automatisierung des Konfigurations-Managements, damit Entwicklungs- und DevOps-Teams ihre Container und die Kubernetes-Umgebungen sicher konfigurieren können.

Sicherheit sollte auch nicht als Nebenschauplatz behandelt werden, sondern möglichst früh im Entwicklungsprozess schon die Hauptbühne betreten. Interessant sind in diesem Zusammenhang die Zuständigkeiten, die je nach Unternehmen durchaus unterschiedlich ausfallen können. Am häufigsten sind offenbar die DevOps-Teams in den Augen der Befragten für Sicherheitsfragen zuständig (27 Prozent). Allerdings gaben 15 Prozent an, dass eher Entwicklerinnen und Entwickler sich um Kubernetes-Security kümmern sollten. 18 Prozent hingegen sähen primär die Security-Teams in der Pflicht.

Container Runtimes, die die Befragten nutzen (Bild: Red Hat)

Verschiebung der klassischen Zuständigkeiten

Diese Gewichtung illustriert, wie sich die traditionellen Rollen bereits verschoben haben: Für die Umsetzung von Container- und Kubernetes-Anwendungen sind allen voran DevOps-Teams zuständig, weshalb die Befragten diese Teams auch bei deren Sicherheit für zuständig halten. Tatsächlich wünschen sich aber die meisten Befragten offenbar eine stärkere Verzahnung der Teams für DevOps, Entwicklung sowie Sicherheit und halten nicht einen einzelnen Bereich für allein zuständig.

Am meisten Kopfzerbrechen bereitet den Teams offenbar die Runtime-Phase im Lebenszyklus der Container (49 Prozent), während etwas unter einem Drittel das Deployment und ein Fünftel die Build-Phase als am heikelsten betrachten. Scans der Runtime auf Bedrohungen hin halten fast 70 Prozent der Befragten für geboten. Kubernetes hat sich dem Report zufolge weitgehend durchgesetzt: Fast 90 Prozent nutzen es zum Orchestrieren ihrer Container, 74 Prozent der Befragten auch im produktiven Einsatz. Entsprechend gut aufgestellt sind offenbar auch die Unternehmen hier, so verfügen laut Report zwei Drittel zumindest über eine Basis-Strategie für die Sicherheit ihrer Kubernetes-Umgebungen. Nur etwa 7 Prozent scheinen sich über ein Sicherheitskonzept für Kubernetes noch keine Gedanken gemacht zu haben.

Settings, in denen die Befragten ihre Container betreiben (Bild: Red Hat)

Zum Bericht

Das mittlerweile von Red Hat aufgekaufte Unternehmen StackRox untersucht zweimal pro Jahr, wo Firmen beim Einsatz von Kubernetes, Containern und Cloud-nativen Technologien stehen und welche Sicherheitsthemen in diesem Feld ihnen Probleme bereiten. Wer sich für den Bericht interessiert, findet die aktuelle Ausgabe auf der Website von Red Hat.

(sih)