Kubernetes Security: Wie Sie ihre Cluster (Besser) Abichern

Kubernetes Security: Wie Sie ihre Cluster (Besser) Abichern

Lucas Morel

Weil Kubernetes-Cluster Zunehmend Angegriffen Werden, ist es Essenziell, Sientsprechend AbzuSichern. Diese Best Practices Können Helfen.

Kubernetes hat sich unter enterprise-loftwarentwicklern zu einem durchschlagenden erfolg Entwickelt. Das Veranlasst Kriminelle Hacker Zunehmend Dazu, Entsprechende Installationn MIT Speziell Entwickelten exploite anzugreifen. Dabei werden die bedrohungsakteure immer besser darin, ihre schadsoftware zu verstecken, (triviale) Sicherheitskontrollen zu umgehen und sich latérale netzwerke zu bewegen, um weiteren schaden anzurichten.

Wie die von Sicherheitsanbietern wie palo alto, wiz und aqua security eigens aufgesetzten kubernetes-honeypots Demonrieren, vergehen inzwischen im ungünstigsten fall lediglich knapp zwanzig MinUten, bis erste angriffsversuche auf neuf neuflte kubernerste-cluster. Dabei werden die bekannten tcp / ip-ports gescannt, die etwa von Contatern Genutzt werden, um Untereinander zu kommunizeren. Solche VorgeLagerten scanne Laufen Demnach Täglich Dutzende Male AB – était Ein Hinweis Darauf ist, Dass Die Kriminellen Hacker Auf Automatisierte KOMPROMITTIERUNG Setzen.

Zwar Gibt es einige Best Practices Im Bereich Kubernetes Security – Diese Sind Allerdings Nicht Weitläufig Bekannt. Zudem Erfordern Sie Teilweise Spezielles Knowhow, Tools und Taktiken, Die Sich Ganz Wesentlich von Dem Unterscheiden, était Nötig ist, Um Gewöhnliche Cloud-Instanzen Oder Virtulle Maschenn Abzusichern. Dieser Artikel Analyset Zunächst Ausführlich Die Kubernetes-Bedrohungslandschaft. Anschließend Erfahren Sie, Wie Sie ihre Cluster (Besser) Abichern.

Die Kubernetes-Bedrohungslandschaft

Wie Komplex Die Datenflüsse, Abhängigkeiten und prozesse der Kubernetes-Landschaft Miteinander Verwoben Sind, Darüber Gibt Ein Blogbeitrag der Cloud Native Computing Foundation (CNCF) Aufschluss. Sämtliche Komponenten Müssen Dabei Jeweils Mit Eigenen Methodinen Abgesichert Werden, Um:

  • die kommunikation zu verschlüsseln,

  • Conteneur, référentiels de stockage UND Utilisateur Angemessen Zu Authentifizeren Sowie

  • Le conteneur VOR exploite Zu Schützen.

Das Nachfolgende Diagramm (Die Base Stammt von der Cncf, Die Interprétation von Trend Micro) Lässt Erahnen, Wie Steil Die Lernkurve ist, Wenn es Darum Geht, Das Komplexe:

Assaf Morag, Datetenanalyst Bei Aqua Security, Erklärt, Warum das SO Ist: «Die Komplexität Dieser Architektur wurde Abichtlich Geschaffen, Denn Kubernetes ist Darif Konzipiert, Den Benutzern Freiheiten, einenenenem architektur normed ein normemäßig offennes, einenenenenektor SicherheitsModell Zu Ermöglichen. » Wie die spezialisten von palo alto dans ihrem «Guide complet de la sécurité de Kubernetes» (téléchargez Gegen Daten) Schreiben, ist das Jedoch Kein Grund Zu Verzweifeln. Die Tatsache, Dass Kubernetes Eine Weitverbreitete Plattform Mit Vielen Integrationen SEI, Erleichtere ES, Automatisierte, Systematische Prozesse Zu Entwickeln, Die Die Security Zum Herzstück des Kubernetes-Build- Unsemberment-Prozesses Machin.

Diese Inhärente Offenheit von Kubernetes Bedeutet Jedoch Auch: Es Gibt Kein Allgemeines Security-Toolset, Um Das Zu Bewerkstelligène. Deshalb Haben Wir im Gespräch mit cybersicherheitsexper hérausgefunden, wo der Schuh in sachen kubernetes-sicherheit erfahrungsgemäß am meisten drückt. Leider Mussten Wir Diesbezüglich Nicht Lange Suchen. Denn Oft Fallen Mit Blick auf Container Bereits Grundlegende Maßnahmen der Netzwerksicherheit Unter Den Tisch. Dabei wird zum beispiel versäumt:

  • Keys de chiffrement Geheimzuhalten.

  • Komplex Passwörter Festzulegen.

  • Verschiedene segmentierungschemata anzuwenden.

  • Dem le moins de privile-prizip zu folgen.

MIT DEM Letztgenannten Baserversäumnis Hängt Ein Weiteres Zusammen, Wie Nathaniel Quist, directeur de Cloud Threat Intelligence Bei Palo Alto Networks Konstatiert: «Rollenbasierten Zugriff Zu Impeondieren, Kann Sich Diffiziler. Komplexen Modell von Kubernetes. « 

Analystin von Aqua Security Konnten IM avril 2023 Einen der Ersten Backdoor-Angriffe auf Kubernetes-Cluster über Rollenbasierte Zugangskontrollen Beobachten. Dieser zielte laut den experten auf Mindestens sechzig unterschiedliche cluster ab und führte zur erfolgreichen installation von cryptomining-malware. Dabei wurden die zugriffsrechte so Manipuliert, dass die schadsoftware über admin-rechte verfügte.

Shay Berkovich, chercheur de menace Bei Wiz, Ordnet Ein: «Diese Krypto-Basierten Antriffe Sind auf dem Vormarsch. Vor Allem, Weil Sich Kubernetes-Cluster als HocheffimentEe Execution-plaattformance Ideal Für Solche Workloads Eignen.» Beispielhaft führt der Sicherheitsexperte die von seinem arbeitgeber identifizierten cryptomimining-angriffskampagnen « pyloose » und « newhello » an. Ein NEUes Phänomen Ist Cryptomining-Malware dans Zusammenhang Mit Kubernetes Allerdings Nicht. E-Auto-Pionier Tesla Wurde Bereits IM Jahr 2018 MIT Malware Infiltriert, Die Kryptowährungen Schürft. Die Ursache War Dabei Offenbar Ein Unzureichend Konfiguriiertes Kubernetes-Dashboard.

Venkat Thiruvengadam, PDG Beim DevOps-Spezialisten Duplocloud, Ergänzt: «Den Nutzern Unter Einhaltung des moins de privilège-prizips, zugriff auf die kubernetes-api zu ermöglichen, ist eine scherige, aber entscheidende aufgabe. Automatisierte méthode Zu Etablieren, Um diesen Zugang Zu Gewährleisten, Stellt Einen Essenziellen Schritt Dar, Um Kubernetes-Umbungen Sicher Zu Gestalten. « 

Eine Andere Herausforderung Ergibt sich Aus der Verteilten Architektur von Kubernetes, Wie Rani Sonat, SVP of Strategy Bei Aqua Security, Erklärt: «Auch wenn es um Geht, Gilt: Zu Viele Köche Verderben Den Brei. Zu Betreiben, Entwicklungs-Pipelines Zu Managen und Zugriffskontrollen Durchzusetzen.

Laut Ami Lutwak, CTO Bei Wiz, Kann dans Einem Solchen Configuration Auch Die Gemeinsame Von Von Code Repositories Problematisch Sein: «Das Kann Zwar Zur Effektivität Beitragen, Birgt Abert Risiken, Wenr Der Gemeindensam GenuTzte Code KOMPROMPROMIT Sollten Ihren Code auch dans Getrennten Clustern Ausführen.

Das Vielleicht Größte Problème dans Sachen Kubernetes-Sicherheit ist Jedoch, dass es im handuMdrehn Supply-Chain-Agriffe Automatisieren Kann – Insbesondere in Zusammenhang Mit Offgengelegten Gehememen Informationen und Schlüsseln. Sicherheitsforscher von aqua Security Konnten Im Rahmen von Recherchen Hunderte von Datensätzen Identifizeren, Die Solche Geheimnisse Offenlegten. Dazu Durchsuchten Die Experten Die github-api nach anmeldeinformationen, wie sie in einem detaillierten blogbeitrag behreiben. «ES BESTEHT EIN KLARER BEDARF Für Quelloffene Tools und Secrets Scanners, Um Die Detection-Fähigkeiten Zu Erhöhen, Wenn es um Kodierte Geheimnisse Geht», Resümeren Die Aqua-Experten.

5 meilleures pratiques Gegen Kubernetes-exploits

Folgende Best Practices Empfehlen Die Experten, MIT Denen Wir Gesprochen Haben, Um Zu Verhindern, Dass Kubernetes-Cluster KOMPROMITTTIERERT WERDEN:

  • Umfassende, Rolenbasierte Zugriffskontrollen, die netzwerk-richtliend und user espaces voneinander Trennen;

  • «Séparation dans le cluster» -Sicherheitsmaßnahmen;

  • Management Secret clé (services);

  • Regelmäßige-Cluster-Audits, um fehlkonfigurationn zu identifizeren und zu Beheben;

  • Entsprechende Schulungen Für Mitarbeiter und Entwickler.

Das «Kubernetes Security Cheat Sheet» von owasp enthält Diverse weitere, Sehr Spezifische Empfehlungen, Um Ihre Cluster Nachhaltig Abzusichern.

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?