KubeCon 2022: Kubernetes soll sicherer werden

Beim Thema Sicherheit in Kubernetes kann die CNCF Fortschritte vermelden, und die Prozesse rund um Sandbox-Projekte sollen transparenter werden.

3

28.10.2022, 12:08 Uhr

Lesezeit: 5 Min.

Developer

Von

Udo Seidel

IT-Sicherheit ist unverzichtbar – darüber herrscht allgemein Einigkeit. Das Thema ist daher regelmäßig Gegenstand intensiver Diskussionen auf den zahlreichen Open-Source-Konferenzen. Da macht die KubeCon 2022 keine Ausnahme. Die gute Nachricht lautet: Die Cloud Native Computing Foundation (CNCF) kann sichtbare Fortschritte in puncto Sicherheit für die Container-Orchestrierung Kubernetes vermelden.

Die Projektverantwortlichen stellen nun allen Entwicklerinnen und Entwicklern eine regelmäßig gepflegte Liste der bekannten CVEs für Kubernetes zur Verfügung. Interessierte können sich die Liste unter anderem auch per JSON als Newsfeed abonnieren, um stets einen aktuellen Überblick über die bisher bekanntgewordenen Sicherheitslücken der Container-Orchestrierung zu erhalten. Darüber hinaus hat die Organisation einen Sicherheitsaudit von Kubernetes in Auftrag gegeben, dessen Ergebnis in Kürze vorliegen soll. Der letzte Audit liegt bereits drei Jahre zurück.

Wer tiefer in das Thema IT-Sicherheit bei Kubernetes einsteigen möchte, aber noch keine oder nur wenig Erfahrung mitbringt, dem hilft bei den ersten Schritten eine neue Checkliste. Sie lässt sich wie ein einfaches Prüfprotokoll für die Abnahme einer Installation nutzen. Zu den einzelnen Punkten gibt es kurze Erklärungen. Für mehr Details verweist die Checkliste auf andere, bereits vorhandene Dokumente.

Mehr zum Thema

Containersicherheit: Die häufigsten Security-Vorfälle und meistgenutzten Tools

Die Zahl kritischer Sicherheitslücken nimmt zu

Trotz dieser Fortschritte bleibt weiterhin noch viel zu tun. Slim.AI, ein Startup aus Boston, hat den aktuellen "Public Container Report" veröffentlicht. Als Untersuchungsmaterial dienten die 100 populärsten Container-Images auf Docker Hub. Der Report zeichnet ein recht besorgniserregendes Bild: So haben 60 Prozent der untersuchten Images mehr Sicherheitslücken als noch vor einem Jahr. Verschärfend kommt hinzu, dass im Vergleich zum Vorjahr viele der Lücken größer ausfallen. 30 Prozent der Container-Sicherheitslücken fallen laut Report in die Kategorie "Kritisch" oder "Hoch". Vor einem Jahr waren es nur halb so viele. Die präsentierten Ergebnisse machten das Problem eindrücklich deutlich und sollten als Weckruf an alle Beteiligten gelten, hofft Ayse Kaya, die für Slim.AI am Report mitgearbeitet hat. Alle wesentlichen Erkenntnisse sowie mehr Details können Interessierte im "Public Container Report" nachlesen, der als PDF zum Download zur Verfügung steht.

Verteilung der Sicherheitslücken auf die verschiedenen Kategorien.

(Bild: Public Container Report (Slim.AI))

Kubernetes besser verstehen

Eine insbesondere für Entwicklerinnen und Entwickler entscheidende Komponente bei der IT-Sicherheit ist es, die verwendete Software möglichst genau zu kennen und damit umgehen zu können. Im Fall von Kubernetes gibt es dazu nun eine neue Möglichkeit, sich umfangreiche Kenntnisse zu verschaffen: kubecampus.io. Das dahinter stehende Unternehmen Kasten (beziehungsweise Veem) zielte mit seinem Angebot zunächst allgemein darauf ab, beim Erlernen des Umgangs mit Software zu unterstützen. Der ursprüngliche Name lautet daher auch "Learning.kasten.io". Nun wollen die Verantwortlichen das Problem der fehlenden Kubernetes-Kenntnisse aber gezielter adressieren und stellen eine Reihe von Kursen sowie praktische Übungen kostenfrei bereit.

Bei der Sandbox ist häufig Sand im Getriebe

Die CNCF verwaltet inzwischen mehr als 140 Projekte. Um diese Mammutaufgabe erfolgreich meistern zu können, ist ein gewisses Maß an Bürokratie unerlässlich. Aus diesem Grund hat die Organisation eine Reihe von Gremien ins Leben gerufen – zu den bekanntesten zählen sicherlich die TOCs (Technical Oversight Committees). Deren Mitglieder definieren und überwachen unter anderem, wie die einzelnen Projekte die verschiedenen Reifestadien bei der CNCF durchlaufen. Einstiegspunkt für neue Projekte ist in der Regel die Sandbox. Speziell auf dieser Stufe läuft aber offenbar noch nicht alles ganz rund. Aufgrund zahlreicher Rückmeldungen aus verschiedenen Sandbox-Projekten hat sich die CNCF zur Anpassung der Prozesse entschieden und will gleichzeitig für mehr Transparenz sorgen. Künftig lassen sich Bewerbungen für die Aufnahme in die Sandbox über GitHub Issues einreichen und sind somit auch für jeden im entsprechenden Repository sichtbar. Das gilt ebenfalls für sämtliche Informationen drumherum. Im jährlichen Review verspricht die CNCF zudem viel detailliertere Informationen, wenn das Projekt es in die Sandbox geschafft hat.

Lesen Sie auch

Continuous Lifecycle & ContainerConf 2022: Call for Proposals gestartet

Continuous Lifecycle/ContainerConf 22: Keynotes zu Sicherheit und Nachhaltigkeit

KubeCon 2023 im April in Europa

Die KubeCon Nordamerika 2022 hatte laut CNCF zirka 17.000 registrierte Teilnehmer. Davon waren ungefähr 8000 vor Ort in Detroit. Das Interesse an Kubernetes sowie dem gesamten Cloud-Native-Ökosystem ist offenbar ungebrochen – ebenso wie das Verlangen aller Beteiligten, sich persönlich untereinander auszutauschen. Europäer, die den Weg in die Motown nicht auf sich nehmen konnten oder wollten, dürfen sich auf 2023 freuen: Die nächste Station der CNCF-Hausmesse soll vom 17. bis 21. April nächsten Jahres Amsterdam sein.

(map)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}