Kubernetes absichern, Teil 1: Werkzeuge in der K8s-Umgebung für mehr Sicherheit

Ein sicherer Kubernetes-Betrieb erfordert einigen Aufwand und zusätzliche Werkzeuge. Dann kann eine K8s-Umgebung aber deutlich mehr Sicherheit bieten.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Christoph Puppe
Inhaltsverzeichnis

Wer Container sagt, meint heute fast immer Kubernetes (K8s). Es ist der Motor, der die Container-Revolution antreibt. Fast niemand nutzt es pur, die meisten verwenden eine Distribution, die den Einsatz des in der Rohform doch recht sperrigen Werkzeugs vereinfacht. Für On-Premises-Installationen teilen sich OpenShift, Rancher, Kubermatic, Tanzu und Docker Kubernetes Service den Markt. In der Cloud sind es neben den üblichen Verdächtigen AWS, Azure und GCP auch lokale Anbieter wie Plusserver, Ionos, Hetzner und weitere, die Managed Kubernetes anbieten.

Die allgemeinen Schritte zur Absicherung sind bei allen Distributionen gleich. Nur die Art der Umsetzung hängt – wie alles bei K8s – stark von den gewählten Plug-ins ab. Das Beispiel "Policies für Container" zeigt das gut: Für dieses eine Thema der Absicherung gab es früher die eingebauten Pod Security Policies. Diese sind inzwischen Geschichte und ausgeliefert wird Pod Security Admission mit vordefinierten Sicherheitslevels. Stattdessen lassen sich auch Cloud Workload Protection Platforms (CWPP) oder Open-Source-Tools wie der Open Policy Agent (OPA) nutzen. Aber wie immer bei K8s gibt es natürlich noch mehr Tools. Und dann ist da noch die Frage, an welcher Stelle man die Policies anwendet. Das kann in der CI/CD-Pipeline vor dem Build des Container-Images passieren oder in der Registry und auf dem K8s-Master, über einen Admission Controller. Jede K8s-Distribution und jeder Managed Service hat dabei eigene Vorstellungen und implementiert es anders. Besonders die großen Hyperscaler mit ihren sehr umfangreichen Angeboten haben hier teilweise komplett eigene Lösungen im Angebot.

Kubernetes
Christoph Puppe

Christoph Puppe ist Managing IT Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei SVA System Vertrieb Alexander GmbH, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Dieser Beitrag ist der Auftakt einer dreiteiligen Tutorialserie, die verschiedene Teilbereiche der Kubernetes-Sicherheit abdeckt. Er zeigt die Grundlagen der Absicherung, welche Themen dabei zu beachten sind und wo Härtung notwendig ist. In den weiteren Tutorials zeigen wir, die notwendigen Schritte für die Public-Cloud-Angebote und die On-Premises-Distributionen.