Kubernetes-Laufzeitsicherheit

Im letzten Jahrzehnt haben Container-Workloads und Kubernetes (K8s) die Softwarewelt im Sturm erobert. Da Kubernetes zu einem festen Bestandteil der Unternehmensarchitektur wird, wird es leider zu einem hochwertigen Ziel für Bedrohungsakteure.

Containersicherheit im Allgemeinen und Kubernetes-Sicherheit im Besonderen sind heutzutage ein grundlegender Aspekt der Sicherheitslage von Unternehmen. In diesem Artikel geht es um die Kubernetes-Laufzeitsicherheit, einen der kritischsten Aspekte der K8s-Sicherheit, einschließlich sieben wesentlicher Best Practices für die K8s-Laufzeitsicherheit.

Demo anfordern Mehr erfahren

Was ist Kubernetes Runtime Security?

Bei der Kubernetes-Laufzeitsicherheit handelt es sich um eine Reihe von Tools, Praktiken und Technologien, die laufende Container-Workloads auf Kubernetes schützen.

Mit anderen Worten: Kubernetes-Laufzeitsicherheit ist eine Unterkategorie von Workload-Schutz und Containersicherheit. Die Kubernetes-Laufzeitsicherheit befasst sich mit der Sicherheit von der Containerinstanziierung bis zur Beendigung. Das bedeutet, dass die Laufzeitsicherheit Dinge wie die Frage umfasst, ob Container als Root ausgeführt werden oder nicht (das sollten sie nicht!), aber keine Themen wie das Scannen von Container-Images abdeckt.

Herausforderungen und Risiken für die Kubernetes-Laufzeitsicherheit

Da heutzutage so viele Arten von Anwendungen auf K8s ausgeführt werden, gibt es keine allgemeingültige Liste von Laufzeitsicherheitsrisiken für Container oder Kubernetes. Es gibt jedoch eine Reihe von Herausforderungen für die Kubernetes-Laufzeitsicherheit, die den meisten Unternehmen gemeinsam sind.

Hier sind vier häufige Sicherheitsrisiken im Zusammenhang mit der Laufzeitcontainersicherheit auf Kubernetes:

  • Privilegieneskalationen: Ein Bedrohungsakteur, der sich Zugang zu einer K8s-Umgebung verschafft und zu einem Benutzer mit höheren Privilegien (z. B. Root) eskaliert, ist eine typische Kubernetes-Laufzeitsicherheitsbedrohung.
  • Schwachstelle in K8s und Containern: Auch wenn Container per se nicht bösartig sind, sind sie oft anfällig für CVEs mit bekannten Exploits.

Native Kubernetes-Laufzeitsicherheitstools

Kubernetes bietet eine begrenzte Anzahl nativer Tools und Kontrollen, die das Laufzeitrisiko begrenzen können. Dazu gehören:

  • Geheimnisse: K8s-Geheimnisse sind Datenobjekte, die Informationen wie einen API-Schlüssel oder ein Passwort speichern. Die Verwendung von Secrets hilft Unternehmen, sensible Daten aus Bildern und Pod-Spezifikationen herauszuhalten.
  • Zulassungscontroller: Mit einem K8s-Zulassungscontroller können Unternehmen die Änderung (jedoch nicht das Lesen) der Kubernetes-API-Endgeräte einschränken.
  • Netzwerkrichtlinien: Kubernetes-Netzwerkrichtlinien ähneln den herkömmlichen ALLOW- und BLOCK Firewall , die Richtlinien auf der Netzwerk- und Transportebene durchsetzen.
  • Überwachungsprotokolle: Überwachungsprotokolle enthalten Details zu Aktionen, die in einem Cluster aufgetreten sind. Beispielsweise kann die API-Aktivität überwacht werden. Diese Protokolle können die Analyse und Erkennung von böswilligem Verhalten ermöglichen.
  • RBAC: Rollenbasierte Zugriffskontrolle (RBAC) ermöglicht Administratoren, den K8s-API-Zugriff basierend auf der Rolle einer Entität einzuschränken.

Da native Kubernetes-Laufzeitsicherheitstools Anwendungsfälle wie die Erkennung von Bedrohungen in Echtzeit nicht direkt berücksichtigen, sind viele Unternehmen auf robustere Workload-Schutztools angewiesen.

7 Best Practices für die Kubernetes-Laufzeitsicherheit

Diese sechs Best Practices für die Kubernetes-Laufzeit können Unternehmen dabei helfen, viele Sicherheitsbedrohungen von K8s einzudämmen.

  1. Führen Sie Container nicht als Root aus: Wenn Sie Container als Root ausführen, werden Bedrohungsakteure für Angriffe auf die Rechteausweitung vorbereitet. Einfach nicht als root zu laufen, kann viele Bedrohungen abschwächen.
  2. Überwachen und Automatisieren von Containerkonfigurationen: Die öffentliche Offenlegung von Daten, die sich in Geheimnissen befinden sollten, oder das Bereitstellen von Datenbankinstanzen mit Internetzugriff sind Beispiele für Fehlkonfigurationen, die zu einer Sicherheitsverletzung führen können. Die Überwachung von Konfigurationen und die Automatisierung der Konfigurationsbereitstellung mithilfe von Infrastructure as Code (IaC) sind eine hervorragende Möglichkeit, Risiken zu begrenzen.
  3. Sperren Sie die Netzwerkebene: Zusätzlich zu den Netzwerkrichtlinien und RBAC von K8s können Netzwerksicherheitstools wie IPS/IDS und NGFW Bedrohungen erkennen und verhindern, bevor sie Arbeitslasten erreichen. Darüber hinaus sollten Unternehmen es nach Möglichkeit vermeiden, den Docker-Daemon-Socket verfügbar zu machen.
  4. Vermeiden Sie den privilegierten Modus: Genau wie das Nichtausführen von Containern als root sollten Unternehmen das Ausführen von Containern mit dem Flag –privileged vermeiden. Das Flag –privileged ermöglicht es Containern, verschiedene Überprüfungen zu umgehen, die ein System sicher halten.
  5. Verwenden Sie nach Möglichkeit schreibgeschützte Dateisysteme: Schreibgeschützte Dateisysteme verhindern, dass Bedrohungsakteure Malware direkt in das Dateisystem eines Containers schreiben. Dies kann die Fähigkeit eines Bedrohungsakteurs, einen Exploit auszuführen, einschränken.
  6. Führen Sie nur vertrauenswürdige Container-Images aus: Öffentliche Repositories können die Sicherheit in Container-Laufzeitumgebungen gefährden, sobald ein Administrator ein kompromittiertes Image instanziiert. Nur die Verwendung vertrauenswürdiger Container-Images kann Unternehmen dabei helfen, das Risiko von Images aus öffentlichen Image-Repositories zu begrenzen.
  7. Sichern Sie die Kernel-Ebene: Lösungen wie SELinux, cgroups und AppArmor können der Kubernetes-Laufzeitsicherheit eine Schutzebene hinzufügen. AppArmor kann beispielsweise Richtlinien definieren, die den Zugriff auf eine Vielzahl von Kernel-Ressourcen einschränken, um das Risiko zu verringern, dass Apps eine Systemfunktion nutzen, auf die sie nicht zugreifen können sollten.

Die Verschiebung nach links ergänzt die effektive Kubernetes-Laufzeitsicherheit

Natürlich existiert kein Aspekt der Sicherheit in einem Vakuum. Die Laufzeitsicherheit ist wichtig, aber die Sicherheit beginnt lange bevor ein Container instanziiert wird. Einige der oben genannten Best Practices für die Kubernetes-Laufzeitsicherheit machen dies deutlich, und das Konzept der Shift-Left-Sicherheit bringt es auf den Punkt. Die frühzeitige Integration von Sicherheit in den Entwicklungslebenszyklus und die Einhaltung eines robusten Laufzeitschutzes bieten das Beste aus beiden Welten.

Kubernetes-Laufzeitsicherheit mit CloudGuard Workload Protection

CloudGuard Workload Protection ist eine Plattform, die den End-to-End-Schutz mit zentraler Verwaltung bietet, den Unternehmen für Kubernetes-Container und serverlose Funktionen benötigen.

Zu den Vorteilen von CloudGuard Workload Protection gehören:

  • Zero-Trust-Sicherheit über Apps hinweg: Schutz für Kubernetes-Container, API und serverlose Funktionen.
  • Automatische Bereitstellung von Sicherheitskonfigurationen: Definieren und implementieren Sie Sicherheitsrichtlinien automatisch, um das Risiko menschlicher Fehler und Fehlkonfigurationen zu verringern.
  • Multi-Cloud und Hybrid Cloud Unterstützung: Gewährleisten Sie Sicherheit in Clouds und vor Ort.
  • Scannen von Container-Images: Erkennt anfällige oder bösartige Container, bevor sie instanziiert werden.
  • Erkennung von Vorfällen in Echtzeit: Die intelligente Erkennung von bösartigem Verhalten kann Bedrohungen stoppen, bevor sie Schaden anrichten.
  • Verhaltensabwehr für serverlose Funktionen: Serverlose Sicherheit erfordert Kontext, und die Verhaltensabwehr kann die böswillige Nutzung serverloser Funktionen intelligent erkennen.

Um mehr über CloudGuard Workload Protection zu erfahren, melden Sie sich noch heute für eine Demo zur Containersicherheit an. In der Demo erfahren Sie mehr über wichtige Container-Sicherheitskonzepte wie IaC-Scanning, automatisierten Laufzeitschutz und Sicherheit in der gesamten Cloud.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK