Kubernetes von AWS und IONOS härten

Inhaltsverzeichnis

Neben den bekannten Angeboten haben wir für diesen Artikel einheimische Cloud-Service-Provider (CSP) ausgewählt. Digitale Souveränität, einfachere Datenschutz-Folgenabschätzungen und weniger Risiko von Industriespionage durch die Geheimdienste der Heimatländer der CSP sind für viele Organisationen gewichtige Argumente. Auch der Preis der Dienste spricht für die kleineren CSP. Teilweise sind es Größenordnungen, um die sich die Anbieter hier voneinander unterscheiden.

Kubernetes

• Kubernetes-Sicherheit: Wie Sie Open Telekom Cloud und plusserver absichern
• Kubernetes absichern, Teil 1: Werkzeuge in der K8s-Umgebung für mehr Sicherheit
• Kubernetes-Tutorial, Teil 2: IAM erklärt, AKS und GKE härten
• Kubernetes-Tutorial, Teil 3: Admission Controller überwachen K8s-API
• Kubernetes von AWS und IONOS härten
• Kubernet-Sicherheit: OpenShift und Rancher nach BSI härten
• Kubernetes lernen und verstehen, Teil 1: Cluster aus drei Linux-Servern bauen
• Kubernetes lernen und verstehen, Teil 2: Auf dem Pfad zum Kubernetes-Kenner
• Kustomize: redundanzfreie K8s-Manifeste für Kubernetes
• Anleitung: Mit Longhorn Container-Speicher redundant machen
• Tool-Tipp: Kustomize verspricht redundanzfreie K8s-Manifeste für Kubernetes
• Kubeapps: App-Management für Kubernetes
• Kubernetes absichern mit Capabilities, SECCOMP und SELinux

Christoph Puppe

Christoph Puppe ist Principal Enterprise Security Architect und Auditteamleiter für ISO 27001 nach Grundschutz bei NTT DATA Deutschland SE, Mitautor des Grundschutz-Kompendiums und ehemaliger Penetrationstester.

Jeder Anbieter nimmt mit einem Demo-Cluster an der Auswertung teil. Diese sind soweit möglich alle gleich aufgebaut. Die Installation folgt dabei den Empfehlungen des Anbieters, die in den Anleitungen zu finden sind. Die Cluster sind für den Test aus dem Internet erreichbar und auch der Master ist öffentlich zugänglich, auch wenn das in einer Produktionsumgebung natürlich tunlichst zu vermeiden ist. Wo es möglich ist, sind die Master-Server als sogenannte Hidden Master konfiguriert. Dabei ist der Server zwar sichtbar, aber der CSP verwaltet diesen vollständig und der Kunde hat keinen Zugriff auf den Server, auf dem der K8s-API-Server läuft. Viele Sicherheitstests nach dem CIS-Benchmark sind damit nicht möglich.

Wir betrachten die Sicherheit der CSP selbst und listen auf, was Kunden bei diesen Anbietern tun müssen, um eine ausreichende Sicherheit für die Container zu erreichen. Auch wenn die im Artikel "Kubernetes mit Capabilities, SECCOMP und SELinux" aufgeführten allgemeinen Schritte weiterhin gleich sind, unterscheidet sich die Umsetzung bei den Plattformen erheblich. Die kleineren Anbieter wie IONOS bieten im Vergleich zu den großen Hyperscalern wie AWS ein unverfälschtes Kubernetes. Es ist weniger verändert, die Images kommen eher von den Herstellern der Werkzeuge direkt statt aus der Registry des CSP. Besonders merkbar ist der Unterschied bei der Zahl der zusätzlich verfügbaren Dienste, was sich auch auf die Absicherung auswirkt. Wo Kunden bei AWS, Azure und GCP etwa die Protokollierung als SaaS direkt in der Cloud bekommen, müssen sie sie bei den kleineren CSP mit einigem Aufwand selbst implementieren.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

Kostenlos hochwertige KI-Musik erzeugen: Das leisten Suno und Udio

So erstellen Sie mit Suno oder Udio verblüffend gute KI-Musik, von persönlichen Grüßen bis zu ganzen Partysongs.

---

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

• Split-Klimaanlage als Alternative

---

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

Kostenlos hochwertige KI-Musik erzeugen: Das leisten Suno und Udio

So erstellen Sie mit Suno oder Udio verblüffend gute KI-Musik, von persönlichen Grüßen bis zu ganzen Partysongs.

---

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

• Split-Klimaanlage als Alternative

---

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

---

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

• ChatGPT optimieren