Von flach zu segmentiert – Sicherheit in der K8s-Umgebung

Kubernetes – oder kurz K8s –entwickelt sich rasch zur bevorzugten Plattform vieler Unternehmen. CNCF berichtet, dass über 80 Prozent der Unternehmen es bereits in der Produktion einsetzen, und die Zahlen steigen weiter.

Neben der Leistungsfähigkeit von K8s bei der Automatisierung, Verwaltung und Skalierung der Anwendungsbereitstellung gibt es jedoch auch Sicherheitsrisiken und Herausforderungen.

Laut dem State of Kubernetes Report 2024 meldeten neun von zehn Unternehmen einen Cluster- oder Container-Vorfall im vergangenen Jahr. Da die meisten Cluster standardmäßig flach sind, können sich Angreifer, sobald sie sich im Cluster etabliert haben, frei seitlich bewegen und ihren Angriffsvektor eskalieren. Laut dem Bericht gaben 46 Prozent der Befragten an, dass sie aufgrund eines Sicherheitsvorfalls im Zusammenhang mit Containern und Kubernetes Umsatz- oder Kundenverluste erlitten haben. Die Umfrage von Kaspersky aus demselben Jahr bestätigt diese Statistiken.

Kay Ernst, Manager DACH bei Zero Networks, erläutert Sicherheit in einer K8s-Umgebung auf Grundlage von Mikrosegmentierung:

Die Herausforderungen bei der Sicherung von K8s: inkonsistente Netzwerkrichtlinien, blinde Flecken und mehr

Die Sicherheit von Kubernetes ist schwer zu verwalten. Im Gegensatz zu physischen Netzwerken mit festen IP-Adressen sind K8s-Workloads kurzlebig, dynamisch und für das Routing auf Labels und NAT angewiesen. In solchen Umgebungen ist es schwierig, einen aussagekräftigen Überblick über den Netzwerkverkehr zu erhalten. DevSecOps-Teams und Sicherheitsarchitekten haben sich an diesen blinden Fleck gewöhnt. – Dies ist aber nicht nur unbequem, sondern auch gefährlich. Ohne Einblick in die Kommunikation zwischen den Diensten können sich Bedrohungen ungehindert ausbreiten, Richtlinien können sich verschieben oder nicht mehr aufeinander abgestimmt sein, und böswillige Aktivitäten können unentdeckt bleiben, bis es zu spät ist, sie einzudämmen.

Darüber hinaus sind Kubernetes-Netzwerkrichtlinien oft ein Flickenteppich aus fragmentierten Regeln – geschrieben von verschiedenen Teams, mit inkonsistenter Logik und ohne zentrale Überwachung. Wenn eine neue Applikation in K8s bereitgestellt wird, fügt der Anwendungseigentümer in der Regel über die CI/CD-Pipeline einen weiteren YAML-basierten Regelsatz hinzu. Sicherheitsarchitekten überprüfen die Richtlinien entweder für jede einzelne Anwendung oder sehen sie oft gar nicht, da ihnen die Mittel fehlen, sie in einen größeren Zusammenhang zu stellen oder eigene, allgemeinere Richtlinien für alle Anwendungen anzuwenden.

Schlimmer noch: Wenn K8s-Workloads außerhalb ihres Clusters kommunizieren müssen, also mit anderen Clustern oder lokalen Rechenzentren, wird die Sicherheit unklar, und Architekten müssen sich durch das Durcheinander hindurchraten, wodurch Netzwerke oft für Angriffe anfällig bleiben.

Nativ, einheitlich und nicht-intrusiv Kubernetes schützen

Zero Networks bietet Kubernetes-Netzwerksicherheit auf Enterprise-Niveau, die auf Skalierbarkeit ausgelegt ist und für Ordnung, Transparenz und Kontrolle sorgt, ohne DevOps zu verlangsamen.

• Volle Transparenz in K8s-Clustern

Bisher unsichtbare Workloads und interner/externer Datenverkehr werden nun genau und bequem visualisiert, sodass Teams ihre K8s-Landschaft verstehen und steuern und genau sehen können, welche Workloads miteinander kommunizieren.

• Einheitliche Governance

Zero Networks sorgt für einen Paradigmenwechsel in der K8s-Sicherheit, indem es die Netzwerksteuerung über Cluster und Umgebungen hinweg vereinheitlicht. Die Zero Networks-Schnittstelle ist eine einzige, stets aktuelle Quelle der Wahrheit, die die Netzwerkkommunikation innerhalb von K8s-Clustern und über Cluster hinweg sowie andere Bereitstellungen wie Bare-Metal-Server, VMs und mehr steuert. Zero gewährt Anwendungsbesitzern die Freiheit, Netzwerkrichtlinien so oft wie nötig über die CD-Pipeline zu übertragen, wobei die als YAML hochgeladenen Richtlinien erkannt und in Zero Networks-Regeln übersetzt werden. Darüber hinaus kann DevSecOps über die benutzerfreundliche Zero Networks-Oberfläche Netzwerkrichtlinien erstellen. Unabhängig von der Quelle der Richtlinie wird diese sofort in der einheitlichen Zero Networks-Regelansicht angezeigt. Der Sicherheitsarchitekt kann die neue Richtlinie genehmigen, bearbeiten oder ganz neue Regeln hinzufügen und so das K8s-Richtlinienmanagement von einem Ratespiel zu einer exakten Wissenschaft machen.

• Nicht-intrusiv

Die Lösung ist von Grund auf nicht-intrusiv und nutzt eBPF (Extended Berkeley Packet Filter) zur Überwachung der Netzwerkaktivität mit minimalen Auswirkungen auf die Leistung sowie die nativen Kubernetes-Netzwerkrichtlinien für die Mikrosegmentierung. Wenn diese Richtlinien durch das CNI durchgesetzt werden, ermöglichen sie die Isolierung von Workloads und die Einschränkung der Kommunikation zwischen verschiedenen Anwendungen oder Namespaces, wodurch die Angriffsfläche reduziert, laterale Bewegungen verhindert und potenzielle Sicherheitsverletzungen eingedämmt werden. Durch die Verwendung dieser nativen Tools starten Kubernetes-Workloads sicher und mit minimalen Berechtigungen – und können nahtlos und sicher skaliert werden, genauso, wie Kubernetes funktionieren soll.

• Schnelle Bereitstellung

Mit einer einzigen Helm-Anweisung wird Zero Networks im Cluster bereitgestellt. Innerhalb weniger Minuten erhalten Benutzer vollständige Transparenz über Cluster-Entitäten und deren Kommunikationsmuster.

• K8s-Compliance

Mit Zero Networks erhalten Sicherheitsteams die Transparenz und Kontrolle, die sie benötigen, um Auditoren zufrieden zu stellen und die Einhaltung von Standards wie PCI-DSS, HIPAA, NIST und anderen nachzuweisen. Leicht verständliche Richtlinien für geringstmögliche Berechtigungen, einheitliche Prüfpfade und die Durchsetzung in Echtzeit machen es einfach, die kontinuierliche Compliance nachzuweisen und sich schnell an regulatorische Anforderungen in hybriden Umgebungen anzupassen.

Sichere Kubernetes-Umgebung in kurzer Zeit

Mit Zero Networks lässt sich feststellen, was bereitgestellt ist, die interne und externe Kommunikation visualisieren und die Mikrosegmentierung für alle K8s-Assets nativ durchsetzen, während sich Unternehmen an die Best Practices der Branche halten. So werden Kubernetes-Cluster innerhalb weniger Tage von weit offen zu minimalen Berechtigungen umgestellt, sodass sie für das Unternehmen schnell und agil bleiben – und für Angreifer undurchdringlich sind.