Kubernetes-Tutorial, Teil 3: Überprüfen von Anfragen an die K8s-API

Jede Anfrage an eine Kubernetes-API wird authentifiziert und dann autorisiert. Das ist aber nur der erste Bearbeitungsschritt, bevor K8s den Request ausführt.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Christoph Puppe
Inhaltsverzeichnis
Kubernetes

Der dritte Teil des Tutorials zu Kubernetes-Sicherheit legt den Fokus auf das Überprüfen von Anfragen an die K8s-API. Jede Anfrage wird erst authentifiziert, dann autorisiert und dann einer Reihe von Kontrollen übergeben, um beispielsweise die Sicherheit der Veränderung zu überprüfen. Diese Admission Controller (AC) genannten Plug-ins überprüfen die Daten und geben entweder Erfolg oder Fehler zurück.

Christoph Puppe

Christoph Puppe ist Managing IT Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei SVA System Vertrieb Alexander GmbH, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Nur eine Anfrage, die alle Überprüfungsschritte erfolgreich durchläuft, wird auch abschließend bearbeitet: K8s schreibt die Daten in die Datenbank etcd und beginnt ab diesem Augenblick, den Stand in der Datenbank mit den laufenden Prozessen zu vergleichen. Sollte es eine Abweichung geben, wird K8s beispielsweise Dienste starten, stoppen, skalieren oder das Netzwerk-Plug-in wird Pakete aufhalten oder weiterleiten.

So wie Kubernetes beim Authentifizieren und Autorisieren die eingebauten Plug-ins nutzt oder optional einen externen Webdienst über einen Webhook anspricht, sind auch die Admission Controller eingebunden. Um die Sache noch interessanter zu machen, kennt K8s zwei unterschiedliche AC-Typen: Validating Admissions können nur entscheiden, ob die Anfrage valide ist, Mutating Admissions können sie zusätzlich verändern.