Erhöhte Sicherheit durch Kubernetes: Praktische Tipps zur Absicherung von Containernetzwerken

Die Sicherheit spielt beim Einsatz von Containern eine besonders wichtige Rolle. Das Open-Source-System Kubernetes hat sich zum Standard bei der Automatisierung, Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen entwickelt und erfordert deshalb besonderes Augenmerk bei der Sicherheit.

In diesem Artikel haben wir einen kleinen Leitfaden zusammengestellt, wie Ihr Kubernetes betreiben könnt und welche Aspekte dabei zu berücksichtigen sind.

Sicherheitsscanner: Was für Arten gibt es überhaupt?

Sicherheitsscanner ist ein Sammelbegriff für Programme die Prüfungen im Sicherheitsbereich durchführen. Im Allgemeinen unterteilt man diese in drei Kategorien.

Schwachstellen Scanner

Schwachstellen Scanner sind vielleicht die bekanntesten Vertreter der Sicherheitsscanner. Sie prüfen auf bekannte Schwachstellen und liefern im besten Fall weitere Informationen zu der Schwachstelle und ob es schon eine neuere Version mit einem Fix gibt. Diese Scanner können in der Regel Container Images scannen oder auch laufende Betriebssysteme. Schwachstellenscanner nutzen klassisch die Betriebssystem Paketinformationen als Datenquelle, doch immer mehr Scanner können auch Programmiersprachen eigene Installationssysteme wie npm oder Go Libraries erkennen und nutzen.

Secret Scanner

Die Secret Scanner sollen verhindern, dass in einem Repository API Keys oder Passwörter im Klartext eingecheckt werden. Dies wird meist im Bereich von Infrastruktur as Code (IaC) Daten genutzt, oder auch bei klassischen Entwicklungsdaten. Gerade bei diesem Anwendungsfall wird klar, dass diese Art von Scan so früh wie möglich im Entwicklungsprozess zu nutzen um den Aufwand, um Secrets aus einem Repo zu entfernen, so gering wie möglich zu halten.

Best-Practice Scanner

Hier ist der Einsatzzweck ganz klar auf IAC Dateien gerichtet. So soll möglichst früh erkannt werden, ob Best Practices eingehalten werden und Fehlkonfiguration vermieden werden. Was kann man sich darunter vorstellen? Ein einfaches Beispiel ist, bei der Prüfung von Dockerfiles ob ein anderer User als root genutzt wird, oder im Kubernetes Umfeld ob die Versionen der genutzten Images gepinnt sind oder der Tag latest, bzw. gar kein Tag verwendet wird.

Warum ist es sinnvoll Sicherheitsscanner zu benutzen?

Die Nutzung der verschiedenen Scanner zielt eigentlich immer auf zwei Anwendungsszenarien ab. Bei bestehenden Infrastrukturen und Repositories kann geprüft werden ob bisher alles in Ordnung ist, oder Verbesserungen ratsam sind, z.B. weil API Keys im Repository eingecheckt wurden. Gleichzeitig lassen sich die gleichen Scanner auch nutzen um in den bestehenden Entwicklungsprozess integriert zu werden und so dafür zu sorgen, dass in Zukunft solche Probleme gar nicht mehr entstehen können. Durch diese Verlagerung, of auch "shift left" genannt, wird die Qualität des Prozesses und der Ergebnisse erhöht. Bei Container Images ist es ebenfalls ratsam diese schon vor dem pushen in eine Registry auf Schwachstellen zu prüfen, damit man bei der Auslieferung einen möglichst guten Stand ohne bekannte Schwachstellen hat. Jede Schwachstelle und jedes Problem das gar nicht erst ausgerollt wird, erspart natürlich im Nachgang Aufwand um selbiges zu beheben. Natürlich müssen auch bestehende Konfigurationen oder laufende Images zyklisch geprüft werden, da in der Zwischenzeit neue Schwachstellen bekannt geworden sein können, oder durch manuelle Eingriffe z. B. Konfigurationen in einem Kubernetes Cluster verändert worden sein können.

Zusammengefasst lässt sich also sagen, dass die Scanner helfen mit möglichst guten Vorraussetzungen Neuerungen in die Produktion zu bringen und die laufende Umgebung kontinuierlich zu verbessern und zu überwachen.

Welchen Scanner nutzen wir?

Wir haben uns für trivy einen Open Source Scanner von Aqua Security entschieden. Die Vorteile liegen für uns ganz klar in zwei Bereichen. Erstens handelt es sich um eine Open Source Lösung die aktuell sehr stark weiterentwickelt wird mit einer aktiven Community. Zweitens deckt dieses Programm alle beschriebenen Einsatzzwecke ab, so dass wir nur ein Tool nutzen und beherrschen müssen. Die Dokumentation ist umfangreich und gut verständlich, was ein weiterer Pluspunkt für uns war.

Wie nutzen wir trivy?

Wir nutzen trivy Hauptsächlich in unseren CI/CD Pipelines und mittels Starboard Operator in unseren Kubernetes Umgebungen. Diese Kombination ermöglicht uns das oben beschriebene Vorgehen sowohl die Sachen zu prüfen die deployed werden sollen und zur Laufzeit zu überwachen, ob neue Schwachstellen in den laufenden Container z. B. ergeben haben. Durch die Nutzung des Starboard Operators können wir Metriken über die verschiedenen Scans direkt in Prometheus nutzen und werden über Veränderungen informiert oder alarmiert.

Beispiele

Schwachstellen Scanner bei Container Images

Wir nutzen trivy als Schwachstellen Scanner beim Bau unserer eigenen Container Images. Dabei prüfen wir nicht nur die Softwarepakete sondern erstellen auch eine Übersichtsdatei über alle Versionen und Lizenzen in einer "Software Bill of Materials" sbom Datei.

before_script:

# Feststellung der aktuellen Version von trivy danach wird diese ausgegeben und heruntergeladen

- export TRIVY_VERSION=$(wget -qO - "https://api.github.com/repos/aquasecurity/trivy/releases/latest" | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/\1/')

- echo $TRIVY_VERSION

- wget --no-verbose https://github.com/aquasecurity/trivy/releases/download/v${TRIVY_VERSION}/trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz -O - | tar -zxvf -

function deploy_with_trivy_check() {

docker login -u "$USERNAME" -p "$PASSWORD" $REGISTRY

DOCKER_BUILDKIT=1 docker build --pull --no-cache -t $NAME:$TAG

docker tag $NAME:$TAG $NAME:latest

# Gitlab Report erstellen

./trivy image --exit-code 0 --format template --template "@contrib/gitlab.tpl" -o gl-container-scanning-report.json $NAME:$TAG

# HTML Report erstellen

./trivy image --exit-code 0 --format template --template "@contrib/html.tpl" -o $TAG-scanning-report.html $NAME:$TAG

# Ausgabe eines Reports mit Kritikalität Hoch eingestuften Schwachstellen

./trivy image --exit-code 0 --severity HIGH --ignore-unfixed $NAME:$TAG

# Abbruch bei kritischen Schwachstellen mit existierendem Patch

./trivy image --exit-code 1 --ignore-unfixed --severity CRITICAL $NAME:$TAG

# Erstellung der sbom Datei

./trivy image --format cyclonedx -o sbom-$NAME.json $NAME:$TAG

docker push --all-tags $1

}

Nutzung per CLI zum Testen

Miskonfigurationscheck am Beispiel eines Dockerfiles

$ trivy config .

2022-08-18T15:23:27.481+0200 INFO Misconfiguration scanning is enabled

2022-08-18T15:23:27.682+0200 INFO Detected config files: 1

Dockerfile (dockerfile)

Tests: 22 (SUCCESSES: 21, FAILURES: 1, EXCEPTIONS: 0)

Failures: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)

HIGH: Specify at least 1 USER command in Dockerfile with non-root user as argument

Running containers with 'root' user can lead to a container escape situation. It is a best practice to run containers as non-root users, which can be done by adding a 'USER' statement to the Dockerfile.

See https://avd.aquasec.com/misconfig/ds002

Prüfung eines Images, wobei nur Schwachstellen berücksichtigt werden sollen, für die es einen Fix gibt

Prüfung eines Kubernetes Namespaces

Beispiel für das Finden von Zugangsdaten:

Beispiel für den Scan eines Repositories

Fazit

Mit trivy haben wir ein universelles Programm, welches nicht nur als automatisierter Bestandteil von CI/CD Pipelines und Kubernetesumgebungen einen wichtigen Beitrag zur Sicherheit des betrieben Workloads beiträgt. z. B. auf dem Arbeitsplatz des Admins oder des Entwicklers ist es durch seine einfache Handhabung eine gute Option für den eigenen Werkzeugkasten. Je früher und je häufiger Sicherheitsscanner eingesetzt werden, umso weniger Aufwand bringt es mit sich, sollte es doch zu Funden kommen.

Du hast Fragen oder Feedback?

Dann kontaktiere uns gerne direkt.

Marcus Asshauer

Senior System Engineersynaigy GmbHKontakt

Vertiefe dein Wissen mit uns

Blog 12.12.22

Digitalisierung: Herausforderung für den Mittelstand

In unserem heutigen Podcast tauschen sich zwei gestandene Unternehmer des digitalen Zeitalters aus: synaigy-Geschäftsführer Joubin Rahimi und Digital Vikings-Mitbegründer Lars Rabe fachsimpeln zu Themen wie moderne Organisationsstruktur, den Sinn von OKRs oder einer noch immer seltenen Fehlerkultur in Unternehmen. So viel sei schon verraten, die beiden fanden in ihrer jeweiligen Unternehmensphilosophie überraschend viele Berührungspunkte.

Blog 12.12.22

3 Tipps: Durch Digitalisierung im Handel gewinnen

Digitalisierung ist eine Challenge für dich? Auf der Internationalen Eisenwarenmesse 2022 gibt Joubin Rahimi praxisorientierte insights zu Digitalisierungsthemen für den Handel sowie drei wertvolle Tipps, mit denen du jede Herausforderung im E-Commerce meistern kannst.

Blog 01.12.22

Digital Nudging im E-Commerce

Im heutigen Podcast taucht synaigy-CEO Joubin Rahimi in die Geheimnisse der subtilen Kaufmanipulation im Onlinehandel ein. An die Hand nimmt ihn bei diesem Thema Katja Moritz, die bei dem Kölner Unternehmen brytes für User Experience verantwortlich ist. Beide sind sich schnell einig, dass ein positives Erlebnis für den Kunden im Vordergrund von Nudging stehen sollte. Ein Motto, das sich längst nicht alle Player im E-Commerce auf die Fahnen geschrieben haben. Neben dem Prinzip Freiwilligkeit spielen für die Absolventin der Deutschen Sporthochschule Köln auch Transparenz und Individualität eine herausragende Rolle beim digitalen Anstupsen.

Blog 17.11.22

Workation - ein Arbeitsmodell mit Zukunft?

In der zweiten insights!-Folge der zweiten Staffel mit der Unternehmerin, Autorin und Keynote Speakerin Ruth Cremer! Joubin Rahimi steht dieses Mal dessen Marketingexpertin Anna-Lena Lüderitz zur Seite. Zu dritt tauschen sie Gedanken zum möglichen Arbeitsmodell der Zukunft aus, der sogenannten ,,Workation''. Ist die Idee, Arbeit und Urlaub miteinander zu verschmelzen umsetzbar, ohne dass Unternehmen dabei den Kürzeren ziehen? Und wenn ja, was gilt es bei der Implementierung von Workation zu beachten?

Blog 03.11.22

Start-ups und die Suche nach Investoren

Unternehmerin, Buchautorin, Keynote Speakerin, Hochschuldozentin und noch einiges mehr – Ruth Cremer auf ein Profil festzunageln, ist so gut wie unmöglich. Spätestens mit ihrem Buch „Die Höhle des Löwen“ machte sich die Rheinländerin in der hiesigen Gründerszene einen Namen. Wir haben sie heute für unseren insights!-Podcast vor das Mikrofon geladen. Bei dieser Gelegenheit erzählt Ruth Cremer, inwiefern auch Investoren von Start-ups profitieren können, dass es letztlich immer um das Lösen von Problemen geht und dass Frauen in manchen Belangen gegenüber Männern einfach die Nase vorn haben.

Blog 24.10.22

Moderne Organisationsstrukturen im Onlinehandel

Im vorherigen insights!-Podcast gewährte uns der Handelsexperte Dr. Kai Hudetz einen Blick in die Zukunft des Einzel- und Onlinehandels. Nun steht er uns vor dem Mikrofon ein zweites Mal Rede und Antwort. In diesem Gespräch dreht sich alles um die Frage, wie der Onlinehandel strukturell organisiert werden kann, um den Anforderungen eines sich rasend schnell verändernden Marktes gerecht zu werden.

Blog 06.10.22

Die Zukunft des Handels – mit Dr. Kai Hudetz vom IFH KÖLN

Eine geballte Ladung Kompetenz haben wir uns für den heutigen insights!-Podcast ins Studio geholt: Dr. Kai Hudetz ist seit August 2009 Geschäftsführer des Kölner Instituts für Handelsforschung IFH und Gründungsmitglied des E-Commerce-Centers ECC. Der Wirtschaftswissenschaftler und Gastdozent verschiedener Hochschulen beschäftigt sich seit Jahrzehnten mit der Frage, wie Handel und digitales Zeitalter zusammenfinden. Im Gespräch erklärt er unter anderem, warum es für den Handel kein Zurück mehr gibt, woran es in deutschen Unternehmen oft noch mangelt und dass der Faktor Mensch keineswegs an Wert verliert.

Blog 04.10.22

Erhöhte Sicherheit durch Kubernetes

Blog 06.04.23

Metaverse: B2B und B2C Unternehmen maximieren ihren ROI

Das Metaverse verspricht der Gamechanger für die Zukunft der virtuellen Realität und der digitalen Interaktion zu werden und hat das Potenzial Handel, Arbeitswelt und Freizeit nachhaltig zu verändern. Metaverse-Plattformen können Unternehmen dabei helfen, innovative Geschäftschancen zu schaffen und neue Kundengruppen zu erschließen. In diesem Kontext bieten sie die nächste große Chance für Unternehmen im E-Commerce, um wettbewerbsfähig zu bleiben und dein Geschäft auszubauen. Was es mit Metaverse genau auf sich hat, wie Unternehmen von der Metaverse-Revolution profitieren können und was wir von den Vorreitern lernen können, lernst du in der neuen insights!-Folge mit Christian Gleich.

Blog 30.03.23

Verbesserung der Customer Experience durch digitale Empathie

Im Gespräch widmen sich Katja Moritz und ich dem Phänomen der digitalen Körpersprache in der Online-Welt. Der technologische Fortschritt hat es inzwischen so weit gebracht, dass der Kunde im wahrsten Sinne des Wortes gläsern ist. Was in der Offline-Welt die Mimik ist, ist im Netz der Mausklick an der entsprechenden Stelle. Wie Shop-Betreiber die Wünsche und Bedürfnisse ihrer Kunden entschlüsseln, darüber gibt die Kölner User Epxerience Managerin heute Auskunft.

Blog 23.03.23

Managed Services im E-Commerce: Der Weg zu mehr Umsatz?

Recht technisch geht es heute beim Gespräch zwischen mir und dem Teamleiter von Managed Services & Software Development, Marc Achsnich, zu. Die beiden Kenner der E-Commerce-Branche fachsimpeln vor dem Mikrofon darüber, wie sich Onlineshops auf unerwartete Stoßzeiten vorbereiten können, in welchem Umfang die Systeme überwacht werden sollten und wie ein guter Kundensupport auszusehen hat.

Blog 16.03.23

Wie die MACH-Architektur und API-First helfen können

Heute habe ich Sven Baumgart, Gründer und CEO von Tremaze, zu Gast. Gemeinsam mit Sven tauchen wir in die Welt der App-Entwicklung ein. Tremaze hat zwei Anwendungen, Tremaze und Tagea, entwickelt. In der neuen insights!-Folge verrät Sven, wie sie bei der App-Entwicklung mit nur vier Vollzeitentwicklern vorgehen und wie die MACH-Architektur und der API-First Ansatz helfen können, kostengünstig Apps zu aufzubauen. Außerdem geht Sven auf ihre Herausforderungen und Best Practises ein.

Blog 15.03.23

Cloudflare & Datensouveränität - ein Widerspruch in sich?

Die Sicherheit der personenbezogenen Daten wird bei uns groß geschrieben - sei es die unserer Mitarbeiter, unserer Kunden sowie die Daten der Kunden unserer Kunden. Obwohl man mit dem Internet oftmals das Stichwort "Anonymität" verbindet, sickern in der Praxis des Öfteren personenbezogene Daten durch - z.B. an Drittanbietern. Dazu zählen z.B. die Cookie-Kennung, die IP-Adresse oder auch die Browserdaten.

Blog 20.07.23

Wie ChatGPT die Spielregeln ändert

ChatGPT ist in aller Munde. Diese fortschrittliche KI-Technologie verändert die Art und Weise, wie wir Informationen suchen, Entscheidungen treffen und uns mit Verkäufern austauschen – auch im B2B. In der neuesten insights!-Folge erfährst du, wie der Einsatz von ChatGPT den Kaufprozess im B2B-Bereich revolutioniert und was du tun musst, um nicht den Anschluss zu verlieren.

Blog 13.07.23

So kannst du von Amazons Strategien profitieren

In der neuen insights!-Folge dreht sich alles um das faszinierende Kundenbindungsinstrument von Amazon - Prime. Du erfährst, was Amazon anders und besser macht als andere Unternehmen, und wie Prime die gesamte Customer Journey positiv beeinflusst. Gleichzeitig werfen wir einen Blick auf klassische Kundenbindungsinstrumente wie Newsletter und Rabattaktionen und zeigen, warum Prime eine neue Dimension der Customer Experience bietet und wie du das in deinem Geschäft integrieren kannst.

Blog 12.07.23

Einführung eines PIM-Systems

Eine erfolgreiche digitale Transformation erfordert eine nahtlose Vernetzung der Systeme – sie sollte dynamisch, skalierbar, erweiterbar und kosteneffizient sein. Die Einführung eines PIM-Systems als zentraler Hub für Produktinformationen ermöglicht eine optimale Ausrichtung dieses geschäftskritischen Bereichs für die Zukunft. Durch ein hochwertiges PIM-System mit einem an die Bedürfnisse des Unternehmens angepassten Datenmodell werden Produktinformationen als Grundpfeiler moderner Geschäftsprozesse auf einem soliden Fundament errichtet. In diesem Blogbeitrag erfährst du, wie du durch die Einführung eines PIM-Systems Daten und Prozesse für die digitale Transformation deines Unternehmens optimierst.

Blog 06.07.23

Die Customer Journey vom Informationsbedarf bis zum Kauf

Die Customer Journey ist von großer Bedeutung für eine herausragende Customer Experience. Dabei bedarf es möglichst viele positive Kundenerlebnisse bei den jeweiligen Touchpoint mit deinem Unternehmen zu generieren. In der neuesten Folge von insights! dreht sich alles um die Bedeutung, Marken und Produkte erlebbar zu machen, insbesondere im Zusammenhang mit der Customer Journey und der Customer Experience.

Blog 04.07.23

Erkunde hochresiliente Langzeitspeicherung mit Cold Archive

Die OVHcloud hat uns und anderen Partnern auf der OVHengage den neuen nachhaltigen Datenspeicher präsentiert - den "Cold Archive". Dieser verbindet die Grundsätze und Ideen zweier Welten und schafft dadurch neue Anwendungsmöglichkeiten. Der neue Datenspeicher "Cold Archive" basiert auf einem IBM Magnetband vom Typ IBM Enterprise 3592 und erfolgt durch Miria von Atempo. In diesem Beitrag stellen wir dir den neuen Datenspeicher -Cold Archive- der OVHcloud vor mit allen Infos rund um Funktionsweise, Vor- und Nachteile und Kostenstruktur.

Blog 29.06.23

Erfolg im E-Commerce durch optimierte Customer Journey & CX

Welche Rolle spielt Jeff Bezos in der Customer Journey? Wie wichtig ist es die Bedürfnisse und Engpässe des Kunden zu verstehen, um erfolgreich zu sein? Welche Modelle der Customer Journey gibt es? Alle Antworten zu diesen Fragen erfährst du in diesem Blogbeitrag.

Blog 22.06.23

E-Commerce: Kundenzentrierung und CX im Großhandel

E-Commerce-Projekte sind so individuell wie die Unternehmen, die sie durchführen. Dennoch gibt es einige Gemeinsamkeiten, die ein Projekt erst erfolgreich machen. Erfolg im E-Commerce basiert auf der Auswahl der passenden Technologie, auf einer effektiven und partnerschaftlichen Zusammenarbeit sowie der Definition von klaren Zielen. Weitere Erfolgsfaktoren in E-Commerce-Projekten findest du in dieser insights!-Folge.

Jetzt Blog abonnieren und keine News mehr verpassen

✔️kostenlos ✔️jede Woche News ✔️Expertenwissen