Kubernetes absichern, Teil 1: Werkzeuge in der K8s-Umgebung für mehr Sicherheit

Inhaltsverzeichnis

Wer Container sagt, meint heute fast immer Kubernetes (K8s). Es ist der Motor, der die Container-Revolution antreibt. Fast niemand nutzt es pur, die meisten verwenden eine Distribution, die den Einsatz des in der Rohform doch recht sperrigen Werkzeugs vereinfacht. Für On-Premises-Installationen teilen sich OpenShift, Rancher, Kubermatic, Tanzu und Docker Kubernetes Service den Markt. In der Cloud sind es neben den üblichen Verdächtigen AWS, Azure und GCP auch lokale Anbieter wie Plusserver, Ionos, Hetzner und weitere, die Managed Kubernetes anbieten.

Die allgemeinen Schritte zur Absicherung sind bei allen Distributionen gleich. Nur die Art der Umsetzung hängt – wie alles bei K8s – stark von den gewählten Plug-ins ab. Das Beispiel "Policies für Container" zeigt das gut: Für dieses eine Thema der Absicherung gab es früher die eingebauten Pod Security Policies. Diese sind inzwischen Geschichte und ausgeliefert wird Pod Security Admission mit vordefinierten Sicherheitslevels. Stattdessen lassen sich auch Cloud Workload Protection Platforms (CWPP) oder Open-Source-Tools wie der Open Policy Agent (OPA) nutzen. Aber wie immer bei K8s gibt es natürlich noch mehr Tools. Und dann ist da noch die Frage, an welcher Stelle man die Policies anwendet. Das kann in der CI/CD-Pipeline vor dem Build des Container-Images passieren oder in der Registry und auf dem K8s-Master, über einen Admission Controller. Jede K8s-Distribution und jeder Managed Service hat dabei eigene Vorstellungen und implementiert es anders. Besonders die großen Hyperscaler mit ihren sehr umfangreichen Angeboten haben hier teilweise komplett eigene Lösungen im Angebot.

Kubernetes

• Kubernetes-Sicherheit: Wie Sie Open Telekom Cloud und plusserver absichern
• Kubernetes absichern, Teil 1: Werkzeuge in der K8s-Umgebung für mehr Sicherheit
• Kubernetes-Tutorial, Teil 2: IAM erklärt, AKS und GKE härten
• Kubernetes-Tutorial, Teil 3: Admission Controller überwachen K8s-API
• Kubernetes von AWS und IONOS härten
• Kubernet-Sicherheit: OpenShift und Rancher nach BSI härten
• Kubernetes lernen und verstehen, Teil 1: Cluster aus drei Linux-Servern bauen
• Kubernetes lernen und verstehen, Teil 2: Auf dem Pfad zum Kubernetes-Kenner
• Kustomize: redundanzfreie K8s-Manifeste für Kubernetes
• Anleitung: Mit Longhorn Container-Speicher redundant machen
• Tool-Tipp: Kustomize verspricht redundanzfreie K8s-Manifeste für Kubernetes
• Kubeapps: App-Management für Kubernetes
• Kubernetes absichern mit Capabilities, SECCOMP und SELinux

Christoph Puppe

Christoph Puppe ist Principal Enterprise Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei NTT DATA Deutschland SE, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Dieser Beitrag ist der Auftakt einer dreiteiligen Tutorialserie, die verschiedene Teilbereiche der Kubernetes-Sicherheit abdeckt. Er zeigt die Grundlagen der Absicherung, welche Themen dabei zu beachten sind und wo Härtung notwendig ist. In den weiteren Tutorials zeigen wir, die notwendigen Schritte für die Public-Cloud-Angebote und die On-Premises-Distributionen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

• Ikea Home Smart im Überblick

---

Smart Generator von Ecoflow im Test

Mit fossilen Energieträgern kann Notstrom erzeugt werden. Der Generator von EcoFlow lässt sich dabei mit anderen Produkten des Herstellers smart vernetzen.

---

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

---

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

---

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

---

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

• Ikea Home Smart im Überblick

---

Smart Generator von Ecoflow im Test

Mit fossilen Energieträgern kann Notstrom erzeugt werden. Der Generator von EcoFlow lässt sich dabei mit anderen Produkten des Herstellers smart vernetzen.

---

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

---

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

---

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

---

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.