Kubernetes von AWS und IONOS hÀrten
Bei groĂen Anbietern wie AWS und IONOS ist Kubernetes stĂ€rker in die Managed-Angebote integriert und somit variiert das Vorgehen zur Absicherung auch stĂ€rker.
Neben den bekannten Angeboten haben wir fĂŒr diesen Artikel einheimische Cloud-Service-Provider (CSP) ausgewĂ€hlt. Digitale SouverĂ€nitĂ€t, einfachere Datenschutz-FolgenabschĂ€tzungen und weniger Risiko von Industriespionage durch die Geheimdienste der HeimatlĂ€nder der CSP sind fĂŒr viele Organisationen gewichtige Argumente. Auch der Preis der Dienste spricht fĂŒr die kleineren CSP. Teilweise sind es GröĂenordnungen, um die sich die Anbieter hier voneinander unterscheiden.
Jeder Anbieter nimmt mit einem Demo-Cluster an der Auswertung teil. Diese sind soweit möglich alle gleich aufgebaut. Die Installation folgt dabei den Empfehlungen des Anbieters, die in den Anleitungen zu finden sind. Die Cluster sind fĂŒr den Test aus dem Internet erreichbar und auch der Master ist öffentlich zugĂ€nglich, auch wenn das in einer Produktionsumgebung natĂŒrlich tunlichst zu vermeiden ist. Wo es möglich ist, sind die Master-Server als sogenannte Hidden Master konfiguriert. Dabei ist der Server zwar sichtbar, aber der CSP verwaltet diesen vollstĂ€ndig und der Kunde hat keinen Zugriff auf den Server, auf dem der K8s-API-Server lĂ€uft. Viele Sicherheitstests nach dem CIS-Benchmark sind damit nicht möglich.
Wir betrachten die Sicherheit der CSP selbst und listen auf, was Kunden bei diesen Anbietern tun mĂŒssen, um eine ausreichende Sicherheit fĂŒr die Container zu erreichen. Auch wenn die im Artikel "Kubernetes mit Capabilities, SECCOMP und SELinux" [14] [14] aufgefĂŒhrten allgemeinen Schritte weiterhin gleich sind, unterscheidet sich die Umsetzung bei den Plattformen erheblich. Die kleineren Anbieter wie IONOS bieten im Vergleich zu den groĂen Hyperscalern wie AWS ein unverfĂ€lschtes Kubernetes. Es ist weniger verĂ€ndert, die Images kommen eher von den Herstellern der Werkzeuge direkt statt aus der Registry des CSP. Besonders merkbar ist der Unterschied bei der Zahl der zusĂ€tzlich verfĂŒgbaren Dienste, was sich auch auf die Absicherung auswirkt. Wo Kunden bei AWS, Azure und GCP etwa die Protokollierung als SaaS direkt in der Cloud bekommen, mĂŒssen sie sie bei den kleineren CSP mit einigem Aufwand selbst implementieren.
URL dieses Artikels:
https://www.heise.de/-7477940
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Kubernetes-Sicherheit-Wie-Sie-Open-Telekom-Cloud-und-plusserver-haerten-7534108.html
[2] https://www.heise.de/ratgeber/Kubernetes-absichern-Teil-1-Werkzeuge-in-der-K8s-Umgebung-fuer-mehr-Sicherheit-7343316.html
[3] https://www.heise.de/ratgeber/Kubernetes-Tutorial-Teil-2-Namespaces-Benutzer-und-Objektverwaltungen-7447907.html
[4] https://www.heise.de/ratgeber/Kubernetes-Tutorial-Teil-3-Ueberpruefen-von-Anfragen-an-die-K8s-API-7452617.html
[5] https://www.heise.de/ratgeber/Kubernetes-von-AWS-und-IONOS-haerten-7477940.html
[6] https://www.heise.de/tests/Kubernet-Sicherheit-OpenShift-und-Rancher-nach-BSI-Anforderungen-haerten-9009530.html
[7] https://www.heise.de/ratgeber/Kubernetes-lernen-und-verstehen-Teil-1-Cluster-aus-drei-Linux-Servern-bauen-7308546.html
[8] https://www.heise.de/ratgeber/Kubernetes-lernen-und-verstehen-Teil-2-Wie-Sie-Cluster-mit-Containern-fuellen-7325943.html
[9] https://www.heise.de/ratgeber/Tool-Tipp-Kustomize-verspricht-redundanzfreie-K8s-Manifeste-fuer-Kubernetes-7182339.html
[10] https://www.heise.de/ratgeber/Redundanten-Container-Speicher-mit-Longhorn-einrichten-7523669.html
[11] https://www.heise.de/ratgeber/Tool-Tipp-Kustomize-verspricht-redundanzfreie-K8s-Manifeste-fuer-Kubernetes-7182339.html
[12] https://www.heise.de/ratgeber/Kubeapps-im-Test-App-Management-fuer-Kubernetes-7462457.html
[13] https://www.heise.de/ratgeber/Kubernetes-absichern-mit-Capabilities-SECCOMP-und-SELinux-7348332.html
[14] https://www.heise.de/ratgeber/Kubernetes-absichern-mit-Capabilities-SECCOMP-und-SELinux-7348332.html
Copyright © 2023 Heise Medien