© DifferR/Shutterstock.com, © Nikolayev Alexey/Shutterstock.com
Entwickler Magazin
Ein Leitfaden zur Absicherung von Containernetzwerken

Kubernetes-Security

Kubernetes ist nicht mehr wegzudenken und genießt einen hohen Stellenwert bei Endnutzern und Public-Cloud-Providern. Der Trend zum eigenen Kubernetes-Cluster bleibt auch von Angreifern nicht unbemerkt. Die Vielschichtigkeit der Technologie, angefangen vom Design der laufenden Applikationen über Container hin zur Clusterarchitektur, erlaubt eine Menge neuer Angriffsvektoren und Potenziale für Fehlkonfigurationen.

Maximilian Siegert, Patrice Volkmer


Dank der verfügbaren Funktionalitäten und der Verschiebung weg von monolithischen hin zu flexibleren Microservices-Architekturen hat die Containerorchestrierungsplattform Kubernetes einen hohen Stellenwert am Markt erlangt. Viele Organisationen nutzen daher Kubernetes oder eine darauf aufbauende Lösung wie Red Hat OpenShift oder Rancher bereits produktiv. Meist jedoch ohne die dafür notwenigen Securitymaßnahmen zu etablieren oder eine Strategie zu haben. Ein Verhalten, das auch für Hacker nicht ungesehen bleibt.

Der wohl bekannteste Angriff auf Kubernetes ist der Cryptojacking Hack auf Tesla (veröffentlicht im Februar 2018), in dem Angreifer über die ungesicherte Kubernetes-Administrationskonsole auf die Umgebung zugriffen und mit Hilfe von versteckten containerisierten Crypto-Mining Services die Systemressourcen der unterliegenden Amazon-Instanzen für das Mining von Kryptowährungen missbrauchten [1]. Der Angriff wurde so gut versteckt, dass er erst von Personen außerhalb der Organisation, durch Analysten des Red-Lock-Cloud-Security-Intelligence-Teams, aufgedeckt wurde. Nach Angaben von Red Lock wurde das Team während einer Studie über Bedrohungen auf Public-Cloud-Umgebungen auf den Vorfall aufmerksam. Red Lock entdeckte hierbei eine Vielzahl von ungeschützten Administrationskonsolen, die neben Tesla auch Aviva und Gemalto betrafen.

Während diese Vorfälle bereits durch grundlegende Security-Best-Practices vermieden werden können, müssen Kubernetes-Anwender ihre Umgebungen auch regelmäßig gegen neue Schwachstellen wie z. B. ungewollte Zugriffe auf das Backend über den kube-API-Server (CVE-2018-1002105) oder Privilege Escalations durch das PodSecurityPolicy-Admission-Plug-in (CVE-2017-1000056) absichern. Die Absicherung von Kubernetes-Umgebungen ist oftmals ein schwieriges Unterfangen, das sowohl mit der komplexen Systemarchitektur als auch der Arbeitsweise im Umgang mit der Entwicklung, Auslieferung und dem Betrieb von Microservices zusammenhängt.

Der Grundstein für sichere Kubernetes-Umgebungen

Die Unternehmens- und Teamkultur stellt im Hinblick auf die Absicherung von Kubernetes-Clustern eine der größten Herausforderungen dar. Sie spielt eine elementare Rolle im Umgang mit Microservices und entscheidet häufig darüber, wie schnell neue Anwendungen bereitgestellt werden und wer für deren Sicherheit verantwortlich ist und diese umsetzt. In traditionellen Softwareentwicklungslebenszyklen orientiert sich die Auslieferung von Anwendungen an großen Softwarepakete...

Entwickler Magazin
Ein Leitfaden zur Absicherung von Containernetzwerken

Kubernetes-Security

Kubernetes ist nicht mehr wegzudenken und genießt einen hohen Stellenwert bei Endnutzern und Public-Cloud-Providern. Der Trend zum eigenen Kubernetes-Cluster bleibt auch von Angreifern nicht unbemerkt. Die Vielschichtigkeit der Technologie, angefangen vom Design der laufenden Applikationen über Container hin zur Clusterarchitektur, erlaubt eine Menge neuer Angriffsvektoren und Potenziale für Fehlkonfigurationen.

Maximilian Siegert, Patrice Volkmer


Dank der verfügbaren Funktionalitäten und der Verschiebung weg von monolithischen hin zu flexibleren Microservices-Architekturen hat die Containerorchestrierungsplattform Kubernetes einen hohen Stellenwert am Markt erlangt. Viele Organisationen nutzen daher Kubernetes oder eine darauf aufbauende Lösung wie Red Hat OpenShift oder Rancher bereits produktiv. Meist jedoch ohne die dafür notwenigen Securitymaßnahmen zu etablieren oder eine Strategie zu haben. Ein Verhalten, das auch für Hacker nicht ungesehen bleibt.

Der wohl bekannteste Angriff auf Kubernetes ist der Cryptojacking Hack auf Tesla (veröffentlicht im Februar 2018), in dem Angreifer über die ungesicherte Kubernetes-Administrationskonsole auf die Umgebung zugriffen und mit Hilfe von versteckten containerisierten Crypto-Mining Services die Systemressourcen der unterliegenden Amazon-Instanzen für das Mining von Kryptowährungen missbrauchten [1]. Der Angriff wurde so gut versteckt, dass er erst von Personen außerhalb der Organisation, durch Analysten des Red-Lock-Cloud-Security-Intelligence-Teams, aufgedeckt wurde. Nach Angaben von Red Lock wurde das Team während einer Studie über Bedrohungen auf Public-Cloud-Umgebungen auf den Vorfall aufmerksam. Red Lock entdeckte hierbei eine Vielzahl von ungeschützten Administrationskonsolen, die neben Tesla auch Aviva und Gemalto betrafen.

Während diese Vorfälle bereits durch grundlegende Security-Best-Practices vermieden werden können, müssen Kubernetes-Anwender ihre Umgebungen auch regelmäßig gegen neue Schwachstellen wie z. B. ungewollte Zugriffe auf das Backend über den kube-API-Server (CVE-2018-1002105) oder Privilege Escalations durch das PodSecurityPolicy-Admission-Plug-in (CVE-2017-1000056) absichern. Die Absicherung von Kubernetes-Umgebungen ist oftmals ein schwieriges Unterfangen, das sowohl mit der komplexen Systemarchitektur als auch der Arbeitsweise im Umgang mit der Entwicklung, Auslieferung und dem Betrieb von Microservices zusammenhängt.

Der Grundstein für sichere Kubernetes-Umgebungen

Die Unternehmens- und Teamkultur stellt im Hinblick auf die Absicherung von Kubernetes-Clustern eine der größten Herausforderungen dar. Sie spielt eine elementare Rolle im Umgang mit Microservices und entscheidet häufig darüber, wie schnell neue Anwendungen bereitgestellt werden und wer für deren Sicherheit verantwortlich ist und diese umsetzt. In traditionellen Softwareentwicklungslebenszyklen orientiert sich die Auslieferung von Anwendungen an großen Softwarepakete...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang