Erhöhte Sicherheit durch Kubernetes: Praktische Tipps zur Absicherung von Containernetzwerken

Die Sicherheit spielt beim Einsatz von Containern eine besonders wichtige Rolle. Das Open-Source-System Kubernetes  hat sich zum Standard bei der Automatisierung, Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen entwickelt und erfordert deshalb besonderes Augenmerk bei der Sicherheit.

In diesem Artikel haben wir einen kleinen Leitfaden zusammengestellt, wie Ihr Kubernetes betreiben könnt und welche Aspekte dabei zu berücksichtigen sind.

Sicherheitsscanner: Was für Arten gibt es überhaupt?

Sicherheitsscanner ist ein Sammelbegriff für Programme die Prüfungen im Sicherheitsbereich durchführen. Im Allgemeinen unterteilt man diese in drei Kategorien.

Schwachstellen Scanner

Schwachstellen Scanner sind vielleicht die bekanntesten Vertreter der Sicherheitsscanner. Sie prüfen auf bekannte Schwachstellen und liefern im besten Fall weitere Informationen zu der Schwachstelle und ob es schon eine neuere Version mit einem Fix gibt. Diese Scanner können in der Regel Container Images scannen oder auch laufende Betriebssysteme. Schwachstellenscanner nutzen klassisch die Betriebssystem Paketinformationen als Datenquelle, doch immer mehr Scanner können auch Programmiersprachen eigene Installationssysteme wie npm oder Go Libraries erkennen und nutzen.

Secret Scanner

Die Secret Scanner sollen verhindern, dass in einem Repository API Keys oder Passwörter im Klartext eingecheckt werden. Dies wird meist im Bereich von Infrastruktur as Code (IaC) Daten genutzt, oder auch bei klassischen Entwicklungsdaten. Gerade bei diesem Anwendungsfall wird klar, dass diese Art von Scan so früh wie möglich im Entwicklungsprozess zu nutzen um den Aufwand, um Secrets aus einem Repo zu entfernen, so gering wie möglich zu halten.

Best-Practice Scanner

Hier ist der Einsatzzweck ganz klar auf IAC Dateien gerichtet. So soll möglichst früh erkannt werden, ob Best Practices eingehalten werden und Fehlkonfiguration vermieden werden. Was kann man sich darunter vorstellen? Ein einfaches Beispiel ist, bei der Prüfung von Dockerfiles ob ein anderer User als root genutzt wird, oder im Kubernetes Umfeld ob die Versionen der genutzten Images gepinnt sind oder der Tag latest, bzw. gar kein Tag verwendet wird.

Warum ist es sinnvoll Sicherheitsscanner zu benutzen?

Die Nutzung der verschiedenen Scanner zielt eigentlich immer auf zwei Anwendungsszenarien ab. Bei bestehenden Infrastrukturen und Repositories kann geprüft werden ob bisher alles in Ordnung ist, oder Verbesserungen ratsam sind, z.B. weil API Keys im Repository eingecheckt wurden. Gleichzeitig lassen sich die gleichen Scanner auch nutzen um in den bestehenden Entwicklungsprozess integriert zu werden und so dafür zu sorgen, dass in Zukunft solche Probleme gar nicht mehr entstehen können. Durch diese Verlagerung, of auch "shift left" genannt, wird die Qualität des Prozesses und der Ergebnisse erhöht. Bei Container Images ist es ebenfalls ratsam diese schon vor dem pushen in eine Registry auf Schwachstellen zu prüfen, damit man bei der Auslieferung einen möglichst guten Stand ohne bekannte Schwachstellen hat. Jede Schwachstelle und jedes Problem das gar nicht erst ausgerollt wird, erspart natürlich im Nachgang Aufwand um selbiges zu beheben. Natürlich müssen auch bestehende Konfigurationen oder laufende Images zyklisch geprüft werden, da in der Zwischenzeit neue Schwachstellen bekannt geworden sein können, oder durch manuelle Eingriffe z. B. Konfigurationen in einem Kubernetes Cluster verändert worden sein können. 

Zusammengefasst lässt sich also sagen, dass die Scanner helfen mit möglichst guten Vorraussetzungen Neuerungen in die Produktion zu bringen und die laufende Umgebung kontinuierlich zu verbessern und zu überwachen.

Welchen Scanner nutzen wir?

Wir haben uns für trivy einen Open Source Scanner von Aqua Security entschieden. Die Vorteile liegen für uns ganz klar in zwei Bereichen. Erstens handelt es sich um eine Open Source Lösung die aktuell sehr stark weiterentwickelt wird mit einer aktiven Community. Zweitens deckt dieses Programm alle beschriebenen Einsatzzwecke ab, so dass wir nur ein Tool nutzen und beherrschen müssen. Die Dokumentation ist umfangreich und gut verständlich, was ein weiterer Pluspunkt für uns war.

Wie nutzen wir trivy?

Wir nutzen trivy Hauptsächlich in unseren CI/CD Pipelines und mittels Starboard Operator in unseren Kubernetes Umgebungen. Diese Kombination ermöglicht uns das oben beschriebene Vorgehen sowohl die Sachen zu prüfen die deployed werden sollen und zur Laufzeit zu überwachen, ob neue Schwachstellen in den laufenden Container z. B. ergeben haben. Durch die Nutzung des Starboard Operators können wir Metriken über die verschiedenen Scans direkt in Prometheus nutzen und werden über Veränderungen informiert oder alarmiert.

Beispiele

Schwachstellen Scanner bei Container Images

Wir nutzen trivy als Schwachstellen Scanner beim Bau unserer eigenen Container Images. Dabei prüfen wir nicht nur die Softwarepakete sondern erstellen auch eine Übersichtsdatei über alle Versionen und Lizenzen in einer "Software Bill of Materials" sbom Datei. 

before_script:
  # Feststellung der aktuellen Version von trivy danach wird diese ausgegeben und heruntergeladen
  - export TRIVY_VERSION=$(wget -qO - "https://api.github.com/repos/aquasecurity/trivy/releases/latest" | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/\1/')
  - echo $TRIVY_VERSION
  - wget --no-verbose https://github.com/aquasecurity/trivy/releases/download/v${TRIVY_VERSION}/trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz -O - | tar -zxvf -
 
function deploy_with_trivy_check() {
  docker login -u "$USERNAME" -p "$PASSWORD" $REGISTRY
  DOCKER_BUILDKIT=1 docker build --pull --no-cache -t $NAME:$TAG
  docker tag $NAME:$TAG $NAME:latest
  # Gitlab Report erstellen
  ./trivy image --exit-code 0 --format template --template "@contrib/gitlab.tpl" -o gl-container-scanning-report.json $NAME:$TAG
  # HTML Report erstellen
  ./trivy image --exit-code 0 --format template --template "@contrib/html.tpl" -o $TAG-scanning-report.html $NAME:$TAG
  # Ausgabe eines Reports mit Kritikalität Hoch eingestuften Schwachstellen
  ./trivy image --exit-code 0 --severity HIGH --ignore-unfixed $NAME:$TAG
  # Abbruch bei kritischen Schwachstellen mit existierendem Patch
  ./trivy image --exit-code 1 --ignore-unfixed --severity CRITICAL $NAME:$TAG
  # Erstellung der sbom Datei
  ./trivy image --format cyclonedx -o sbom-$NAME.json $NAME:$TAG
  docker push --all-tags $1
}
 

Nutzung per CLI zum Testen

Miskonfigurationscheck am Beispiel eines Dockerfiles

$ trivy config .
2022-08-18T15:23:27.481+0200    INFO    Misconfiguration scanning is enabled
2022-08-18T15:23:27.682+0200    INFO    Detected config files: 1
 
Dockerfile (dockerfile)
 
Tests: 22 (SUCCESSES: 21, FAILURES: 1, EXCEPTIONS: 0)
Failures: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
 
HIGH: Specify at least 1 USER command in Dockerfile with non-root user as argument
 
Running containers with 'root' user can lead to a container escape situation. It is a best practice to run containers as non-root users, which can be done by adding a 'USER' statement to the Dockerfile.
 
See https://avd.aquasec.com/misconfig/ds002
 

Prüfung eines Images, wobei nur Schwachstellen berücksichtigt werden sollen, für die es einen Fix gibt

Prüfung eines Kubernetes Namespaces

Beispiel für das Finden von Zugangsdaten:

Beispiel für den Scan eines Repositories

Fazit

Mit trivy haben wir ein universelles Programm, welches nicht nur als automatisierter Bestandteil von CI/CD Pipelines und Kubernetesumgebungen einen wichtigen Beitrag zur Sicherheit des betrieben Workloads beiträgt. z. B. auf dem Arbeitsplatz des Admins oder des Entwicklers ist es durch seine einfache Handhabung eine gute Option für den eigenen Werkzeugkasten. Je früher und je häufiger Sicherheitsscanner eingesetzt werden, umso weniger Aufwand bringt es mit sich, sollte es doch zu Funden kommen.

Du hast Fragen oder Feedback?

Dann kontaktiere uns gerne direkt.

Marcus Asshauer
Senior System Engineersynaigy GmbHKontakt

Vertiefe dein Wissen mit uns

Blog 25.01.24
Blog 25.01.24

D2C: Kundenorientierung und Personalisierung im E-Commerce

In dieser insights!-Folge teilt Saskia Roch, Managing Director vom ECC NEXT, Einblicke mit dir, wie digitale Services, D2C-Strategien und eine starke Kundenorientierung die Spielregeln im E-Commerce verändern. Der Haupttrend? Künstliche Intelligenz! Saskia Roch betrachtet KI als eine goldene Gelegenheit für den Mittelstand, um den Fachkräftemangel zu bewältigen und rasch Fortschritte zu erzielen.

Blog 18.01.24
Blog 18.01.24

Mit Digital Nudging die Conversion Rate im Commerce steigen

Heute zu Gast: Denise Rettig. Denise zeigt auf, dass ein maßgeschneidertes Online-Erlebnis kein Luxus, sondern ein Muss ist. Wir erkunden, wie mit Tools wie Brytes selbst subtilste Verhaltensweisen auf der Webseite sichtbar werden - entscheidend für die Personalisierung des Einkaufserlebnisses und die Steigerung der Conversion. Wenn du wissen willst, was es damit auf sich hat und wie du deine Verkaufszahlen durch digitales Nudging um rund 12 % erhöhen kannst, dann schaue dir hier die Folge in voller Länge an.

Blog 11.12.23
Blog 11.12.23

Digitalisierung beginnt mit veränderter Denkweise

In dieser insights!-Folge gibt Karl-Heinz Land Einblicke in Themen wie die Vorstellung seines Buches “Erde 5.0”, die Angst der Menschen vor Neuem, die Unterschiede zwischen den Deutschen und den Amerikanern in Bezug auf Technologie sowie die positiven Veränderungen durch KI.

Blog 07.12.23
Blog 07.12.23

Shopwares Vision für die digitale Zukunft des E-Commerce

Im Gespräch mit mir erzählt dir Sebastian Hamann, CEO von Shopware, wie KI und innovative Technologien den E-Commerce transformieren können und wie Shopware den Markt für mittelständische Unternehmen mit Lösungen, die wirklich etwas bewegen, aufmischt. Sebastian verrät dir zudem, warum kundenzentrierter Markenaufbau und mutige Entscheidungen das A und O für zukünftigen, digitalen Erfolg sind.

Blog 30.11.23
Blog 30.11.23

HighTouch und HighTech: CoreMedia für optimierte CX

In der neuen insights!-Folge diskutiere ich mit Sören Stamer, CEO von CoreMedia, über Themen, wie Customer Experience, Content-Produktion, persönliche Assistenten sowie die Herausforderungen der Interaktion mit KI. Du erfährst mehr über die wichtige Rolle von "High Touch" und "High Tech" in der Customer Experience und warum der menschliche Touch auch in Zeiten fortschreitender KI-Entwicklungen unersetzlich bleibt.

Blog 17.11.23
Blog 17.11.23

Wie Kölner Stadtanzeiger Medien 80% CTR Boost mit KI erzielt

Heute zu Gast: Robert Zilz, Head of Data vom Kölner Stadtanzeiger Medien. In dieser insights!-Folge gewährt Robert Einblicke wie ein traditionelles Verlagshaus erfolgreich den Wandel zur datengetriebenen Zukunft vollzieht und dabei den Mehrwert von KI im Journalismus realisiert. Dies ist nicht nur ein inspirierendes Beispiel für die Branche, sondern auch ein Zeichen dafür, wie Innovation und Anpassungsfähigkeit den Journalismus vorantreiben können.

Blog 02.11.23
Blog 02.11.23

Intergastro: E-Commerce und Kundenzentrierung für B2B-Erfolg

Stefan Plate, Gründer von "INTERGASTRO", einem führenden Anbieter von Gastronomiebedarf, diskutiert mit Joubin Rahimi über die Entstehung und Entwicklung seines Unternehmens seit dem Jahr 2000. INTERGASTRO hat sich erfolgreich etabliert und beliefert Kunden in ganz Deutschland mit Non-Food-Artikeln für die Gastronomie. Stefan Plate hebt hervor, wie sein Unternehmen auch in unsicheren Zeiten, wie während der Corona-Krise, anpassungsfähig blieb und weiterhin Erfolg verzeichnen konnte.

Blog 10.11.23
Blog 10.11.23

Internen Traffic mit IPv6 Adressen ausschließen

Die Digitalisierung schreitet unaufhörlich voran und mit ihr die Weiterentwicklung von Netzwerktechnologien. IPv6-Adressen gewinnen immer mehr an Bedeutung, da der Adressraum von IPv4 langsam erschöpft ist. Doch wie passt dies in die Welt von Google Analytics 4, das primär für IPv4 konzipiert wurde? Die Verwendung von IPv6 in GA4 birgt sowohl Chancen als auch Herausforderungen. In diesem Blogbeitrag beleuchten wir, wie man IPv6-Adressen in GA4 nutzt, um internen Traffic zu filtern und gehen auf die Hürden ein, die sich durch die Fokussierung von GA4 auf IPv4 ergeben.

Blog 25.10.23
Blog 25.10.23

Die Innovationskraft hinter modernem E-Commerce

In dieser "Insights"-Folge spreche ich mit André Menegazzi von commercetools über die bedeutenden Merkmale von commercetools. Er hebt die Notwendigkeit von Flexibilität und einen innovativen Ansatz bei bestimmten Use Cases hervor, der es Kunden ermöglicht, zukunftssichere und maßgeschneiderte E-Commerce-Lösungen zu entwickeln.

Blog 19.10.23
Blog 19.10.23

Digital Operation Platform für deine E-Commerce-Optimierung

Actindo, die API- und cloudbasierte Digital Operations Platform (DOP), ist die einzige vollständig ineinandergreifende Lösung, um wertvolle Kundenbeziehungen aufzubauen und gleichzeitig wichtige Geschäftsprozesse zu digitalisieren. In der neuen Insights!-Folge spreche ich mit Sven März, dem Vice President of Sales von Actindo, über ihre Lösung.

Blog 25.07.24
Blog 25.07.24

ROI-Optimierung im Commerce: KI, B2H & Omnichannel-Strategy

In der neuesten Folge von insights! begrüße ich Frank Miller, den CEO der Inbound-Marketingagentur straight. Was folgt, ist ein tiefgehendes Gespräch über Digitalisierung, Marketingstrategien und die Rolle von Künstlicher Intelligenz im modernen Geschäftsleben.

Blog 01.08.24
Blog 01.08.24

MarTech Boom, KI, Echtzeit-Datenvernetzung – Buzzword Bingo?

In dieser insights!-Folge bringt dir Till Paschke von HCLSoftware die cloud-native Software-Stacks und den innovativen Ansatz „Integrated Composable Commerce“ nahe. Getrieben von HCLs beeindruckenden Kunden Ferrari, HP oder auch DHL spiegeln ihre digitalen Lösungen die Innovationskraft wider. Der aktuelle Martech-Boom sowie der clevere Einsatz von KI zur Echtzeit-Datenvernetzung sind Fokusthemen der Folge.

Blog 30.07.24
Blog 30.07.24

OVHcloud: Das Schutzschild gegen DDoS-Angriffe

Die Sicherheit von Online-Diensten unerlässlich. Cyber-Angriffe, wie z.B. Distributed Denial of Service (DDoS)-Angriffe, können Unternehmen schwere finanzielle Verluste zufügen und ihren Ruf dauerhaft schädigen. Genau da kommt OVHcloud ins Spiel.

Blog 05.10.23
Blog 05.10.23

So meisterst du die Herausforderungen der Kundenerwartungen

Heute befassen wir uns mit der 6.These unserer D2C-Studie, die wir in Kooperation mit dem ECC Köln veröffentlicht haben. Die Studie fokussierte sich auf den Heim & Garten Sektor und untersuchte insgesamt sieben Thesen in Bezug auf Direktvertrieb. In diesem Beitrag schauen wir uns die These „Konsumenten haben hohe Erwartungen an ihren Onlinekauf bei Herstellern“ genauer an und überprüfen sie auf Gültigkeit.

Blog 04.10.23
Blog 04.10.23

Digitale Sichtbarkeit: Ein MUSS für den Erfolg

Gemeinsam mit dem ECC Köln haben wir eine Studie zu D2C-Strategien im Bereich Heim & Garten durchgeführt. Diese Studie untersuchte sieben Thesen eingehend und lieferte umfassende Einblicke in den D2C-Sektor. In diesem Beitrag konzentrieren wir uns auf die fünfte These: „Die digitale Sichtbarkeit ist entscheidend für den Erfolg des Direktvertriebs, doch auch hier müssen wir nacharbeiten." Hier präsentieren wir konkrete Zahlen und interessante Erkenntnisse aus der Studie.

Blog 04.10.23
Blog 04.10.23

Warum sollte eine Multi Cloud mit der OVHcloud ergänzt werde

Dieser Blogbeitrag beschreibt das Konzept der Multi Cloud im Cloud Computing, bei dem Dienste und Ressourcen von verschiedenen Cloud-Anbietern kombiniert werden. Wir erläutern dir die Vorteile einer Multi-Cloud-Strategie und stellen verschiedene Cloud-Anbieter wie Amazon Web Services, Microsoft Azure, Google Cloud Platform und OVHcloud vor. Im Anschluss zeigen wir dir ein mögliches Szenario für die Integration von OVH-Leistungen in eine bestehende Multi-Cloud-Umgebung, um deine Datensouveränität zu gewährleisten.

Blog 28.09.23
Blog 28.09.23

Ist eingeschränkte Bekanntheit die Hauptbarriere?

In Zusammenarbeit mit dem ECC Köln haben wir eine Studie zu D2C-Strategien im Heim & Garten-Sektor herausgebracht. Dabei wurden sieben Thesen gründlich analysiert und ausführlich beleuchtet. In diesem Beitrag werfen wir einen Blick auf die vierte These: „Die mangelnde Bekanntheit der Hersteller führt Konsumenten oftmals in den Handel.“ In diesem Beitrag erhältst du konkrete Zahlen und spannende Einblicke in die Studie.

Blog 26.09.23
Blog 26.09.23

D2C ermöglicht Next-Level Customer Experience

Gemeinsam mit dem ECC haben wir ein Thesenpapier zum Thema D2C-Strategien im Heim & Garten-Sektor veröffentlicht. Dort wurden insgesamt sieben Thesen zu D2C-Strategien intensiv untersucht. Diese Folge widmet sich der dritten These, die besagt, dass D2C eine Next-Level Customer Experience ermöglicht, dieses Potenzial von Herstellern allerdings noch nicht optimal ausgeschöpft wird.

Blog 21.09.23
Blog 21.09.23

D2C-Potentiale für mehr Wiederholungskäufer ausschöpfen

In Zusammenarbeit mit dem ECC haben wir eine Studie zur Direkt-zu-Kunden (D2C)-Strategie im Heim & Garten-Sektor durchgeführt. Die Untersuchung konzentrierte sich auf sieben Thesen, die die D2C-Strategie genauer beleuchten. In diesem Beitrag werfen wir einen Blick auf die zweite These „Der Kauf bei Herstellern ist bereits verbreitet, Konsumenten wünschen sich aber grundsätzlich mehr Einkaufsmöglichkeiten“ und ihre Schlüsselerkenntnisse.

Blog 19.09.23
Blog 19.09.23

Präsenz der Hersteller stärken und im Handel wachsen

„Auch wenn der Kauf im Handel (noch) Gewohnheit ist, überzeugen Hersteller mit einem besseren Image.“ Das ist die erste These der D2C-Studie, die wir gemeinsam mit dem IFH aufgesetzt und geprüft haben! Dort haben wir die Erwartungen und das Kaufverhalten von Konsumenten an Hersteller und Händler beleuchtet und einzigartige Ergebnisse erhalten.

Jetzt Blog abonnieren und keine News mehr verpassen

✔️kostenlos ✔️jede Woche News ✔️Expertenwissen