Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Containerisierung: KCCSS bewertet die Risiken für Kubernetes

Octarine veröffentlicht ein Framework und ein zugehöriges Tool zur Risikobewertung für Kubernetes-Deployments.

In Pocket speichern vorlesen Druckansicht
Containerisierung: Kube-Scan bewertet Risiken für Kubernetes
Lesezeit: 2 Min.
Developer
Von
  • Rainald Menge-Sonnentag
Inhaltsverzeichnis

Das auf die Absicherung von Kubernetes-Installationen ausgerichtete Unternehmen Octarine hat zwei neue Werkzeuge zum Abschätzen von Risiken in Kubernetes-Clustern veröffentlicht. Das Framework KCCSS bewertet die Gefahrenlage, und Kube-Scan erstellt basierend auf den Regeln des Frameworks eine Risikobewertung für spezifische Cluster.

Das Akronym KCCSS steht für Kubernetes Common Configuration Scoring System. Es ist an den Industriestandard Common Vulnerability Scoring System (CVSS) zum Bewerten der Schwere von Sicherheitslücken angelehnt. KCCSS bewertet die Konfiguration von Kubernetes sowohl nach Risiken als auch bezüglich der Gegenmaßnahmen mit jeweils eigenen Regeln.

Vom einzelnen zum globalen Risiko

Das Framework stuft das Risiko für jede einzelne Einstellung mit einer Zahl von 0 für gut gesichert bis 10 für höchstes Risiko ein. Administratoren können daraus eine globale Risikobewertung über alle Workloads erstellen. Die Formeln zum Bewerten der Risiken und Gegenmaßnahmen sind quelloffen im Repository auf GitHub abgelegt.

Die Liste der Regeln lässt sich beliebig erweitern, um zusätzliche Tools wie Helm oder ein Service-Mesh abzudecken. Erklärtes Ziel ist der Aufbau einer Community, um die Regeln zu verbessern und zu ergänzen. Octarine hat dafür eine Anleitung zum Aufbau der Regeln und dem Erstellen und Ergänzen des Regelwerks auf GitHub veröffentlicht.

Dreiklang der Sicherheit

Das Framework bewertet die potenziellen Auswirkungen riskanter Konfigurationen in den drei Bereichen Vertraulichkeit, Integrität und Verfügbarkeit. Für Erstere untersucht KCCSS die Einstellungen auf potenzielle einsehbare personenbezogene Daten und offenen Zugriff auf geheim zu haltende Informationen.

Hinsichtlich der Integrität prüft das Framework darauf, ob die Konfiguration ermöglicht, das Laufzeitverhalten zu ändern, neue Prozesse oder Pods zu starten oder Änderungen am Container, Host oder Cluster vorzunehmen. Um die Verfügbarkeit zu sichern, untersucht KCSS die Einstellungen auf eine mögliche Überlastung der Ressourcen sowie auf potenzielle Angriffsflächen für Denial-of-Service-Angriffe.

Schnell identifiziert

Das Tool Kube-Scan nutzt KCCSS zum Erstellen einer Risikobewertung, mit dem Administratoren und Entwickler eine schnelle Analyse von Kubernetes-Clustern durchführen und die am meisten gefährdeten Workloads identifizieren können.

Kube-Scan erstellt eine Analyse von Kubernetes-Clustern, die eine Übersicht über die größten Risiken gibt.

(Bild: Octarine)

Weitere Details zur Veröffentlichung der Tools zur Risikobewertung lassen sich dem Octarine-Blog entnehmen. Sowohl KCCSS als auch Kube-Scan sind als Open-Source-Projekte auf GitHub verfügbar. (rme)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten