Anzeige

Cybersecurity

Das Zero-Trust-Modell für Datensicherheit beruht auf zwei Grundsätzen. Erstens: Vertrauen ist etwas, das missbraucht werden kann. Zweitens: Der sichere Zugriff auf Daten sollte dadurch verstärkt werden, dass der Zugriff auf Netzwerkebene autorisiert wird.  

Zahlreiche Implementierungen konzentrieren sich auf die menschliche Seite der Gleichung. Die menschliche Interaktion mit Systemen zu überwachen macht aber in Wirklichkeit nur ein Bruchteil des Puzzles aus. Betrachten Sie zum Beispiel ein webbasiertes System zur Verarbeitung von IoT-Daten. Vertrauensgrenzen bestehen zwischen Benutzer und Gerät, zwischen Gerät und Webdienst, zwischen Webdienst und Datenspeicher und letztendlich zurück zum Benutzer, der mit den gesammelten Daten interagiert. 

Inzwischen werden Netzwerktopologien so umstrukturiert, dass es keinen Unterschied mehr macht, ob man von innerhalb des Netzwerks oder von außerhalb auf Unternehmensnetz und Daten zugreift. Deshalb sollte man Vorsicht walten lassen, damit die Kommunikation von Gerät zu Gerät und die damit verbundenen Vertrauensgrenzen nicht negativ beeinflusst werden.

Kubernetes

Wenn ein Unternehmen beispielsweise Kubernetes verwendet, um seine containerisierten Anwendungen zu orchestrieren, gibt es einige Areale, in denen Vertrauen angreifbar ist. Bei der Auditierung dieses Trust-Modells kann man beispielsweise die Bestätigung des aktuellen Cluster-Status überprüfen und wer die letzten Änderungen ausgelöst hat. Dies gilt auch für die Konfiguration dessen, wie Interaktionen zwischen den im Cluster bereitgestellten Containerinstanzen definiert werden. 

Unter diesem Paradigma lässt sich der Zugriff auf die Kubernetes-Kontrollebene durch ein Zero Trust-Segmentierungs-Gateway kontrollieren, wobei Kubernetes RBAC die eigentliche Authentifizierung durchführt. Genauso wichtig ist es, Technologien wie Gatekeeper und Pod Security Policies einzusetzen. Sie stellen sicher, dass die Containerinstanzen und Konfigurationen der Containerimages den Governance-Anforderungen entsprechen. 

In Kombination helfen diese Techniken sicherzustellen, dass alle in einem Cluster laufenden Container autorisiert sind und so erwartet werden. Sie verhindern allerdings nicht, dass ein Angreifer vertrauenswürdige Elemente wie die Lebensdauer von Containern oder die Kommunikation zwischen Diensten für sich ausnutzt. Jedes dieser Elemente stellt selbst eine Form von Vertrauen dar.  

Containerinstanzen

“Lifespan trust attacks“ werden gegen langfristige laufende Containerinstanzen mit potenziell anfälligen Anwendungen eingesetzt. Letztere eignen sich besonders um einen ersten Brückenkopf zu installieren. Von diesem wird dann der weitere Verlauf des Angriffs gesteuert. Wenn man dieser Art von Vertrauensangriffen etwas entgegensetzen will, muss man die Lebensdauer in das Vertrauensmodell aufnehmen. Mit anderen Worten, die replizierten Instanzen haben nur eine bestimmte Lebensdauer von x Minuten, bevor sie automatisch recycelt werden.

In ähnlicher Weise sind innerhalb eines Kubernetes Namespace alle Pods standardmäßig in der Lage, Datenverkehr von überall aus zu empfangen. Deshalb empfiehlt sich für den Einsatz in der Produktion ein Netzwerk Service-Mesh. Service-Mesh kann dann einfache Ein- und Ausgangsrichtlinien für die Pods durchsetzen, kann aber auch sicherzustellen, dass die Netzwerkkommunikation nur zwischen zugelassenen Pods erlaubt ist. Anders ausgedrückt: Wenn innerhalb einer Anwendung die Pods nur Punkt-zu-Punkt-Verbindungen verwenden, kann man diese Beziehung innerhalb von Service-Mesh erzwingen.

Die Implementierung eines Zero oder Minimal Trust-Modells in einer Cloud-Umgebung lebt von einem engmaschigen Austausch zwischen Entwicklern, IT, Betrieb und Governance-Verantwortlichen. 

Wie bei jedem komplexen System, wie Softwarelösungen es sind, sollte man bei seinen Sicherheitsbestrebungen darauf achten, die Probleme nicht in anfälligere Bereiche zu verlagern. 

Tim Mackey, Prinicipal Security Strategist
Tim Mackey
Prinicipal Security Strategist, Synopsys Cybersecurity Research Center (CyRC)
Tim Mackey ist einer der wichtigsten Sicherheitsstrategen des Synopsys CyRC (Cybersecurity Research Center). Er kam im Rahmen der Übernahme von Black Duck Software zu Synopsys, wo er daran arbeitete, die integrierte Sicherheits-Scan-Technologie für Red Hat OpenShift und die Container-Orchestrierungsplattformen von Kubernetes bereitzustellen.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Home Office Security
Jun 29, 2020

Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie

Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von…
Container
Jun 16, 2020

Container sind von Natur aus sicher

In der Entwickler-Community ist viel Enthusiasmus für die Einführung von Containern zu…
Kubernetes
Mai 19, 2020

Maschinenidentitäten in Kubernetes richtig schützen

Kubernetes ist zunehmend in aller Munde, wenn es um das Management von Multi-Cloud…

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!