Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:

Kubernetes-Sicherheit

Lesezeit:3 Min.

Kubernetes, als eines der bekanntesten Tools für die Containerisierung der Anwendungsbereitstellung,
ist für Cyberkriminelle von Interesse. Erfahren Sie mehr über die wichtigsten Angriffsvektoren, Schwachstellen und
Tools zur Sicherstellung der Kubernetes-Sicherheit gegen Hacking und Netzwerkangriffe.

Kubernetes-Sicherheit
Kubernetes-Sicherheit
Demo anfordern

Was ist Kubernetes?

Wahrscheinlich hat fast jeder, der jemals mit der DevOps-Welt in Berührung gekommen ist, eine allgemeine Vorstellung davon, was Kubernetes ist. Es handelt sich dabei um ein recht beliebtes Container-Orchestrierungssystem, also im Wesentlichen um die Verwaltung von Datencontainern. K8s, wie Kubernetes oft genannt wird, ist ein Open-Source-Software-Automatisierungs- und Bereitstellungssystem für containerisierte Anwendungen und deren Verwaltung.

Möchten Sie ein tiefgreifendes Verständnis aller modernen Aspekte der Kubernetes-Sicherheit erlangen?
Lesen Sie diesen Artikel sorgfältig durch und Lesezeichen setzen, um später wieder darauf zurückzugreifen. Wir aktualisieren diese Seite regelmäßig.

Die ursprüngliche Version des Projekts wurde vor relativ kurzer Zeit von Google für den internen Bedarf des Unternehmens selbst entwickelt, später jedoch an die Cloud Native Computing Foundation übertragen, von wo aus es der breiten Öffentlichkeit zugänglich gemacht wurde. Ursprünglich war es als Tool zur Verwaltung von Containern-Clustern konzipiert. Das System ist dynamisch, reagiert in Echtzeit auf Ereignisse und ermöglicht es Ihnen, Ihr Projekt einfach zu starten, das ohne Tricks funktioniert und on-demand skalierbar ist, also flexibel, schnell und kosteneffizient arbeitet.

Die Verwaltungspraktiken von Kubernetes basieren auf dem Konzept der Pods. Jeder Pod ist eine Gruppe von Containern, die durch eine gemeinsame Aufgabe verbunden sind, die sowohl ein Microservice als auch eine umfangreiche Anwendung sein kann, auf mehrere parallel laufende Maschinen verteilt. Kubernetes zielt darauf ab, Probleme durch eine effiziente Verteilung der Containerausführung auf die Clusterknoten in Abhängigkeit von Laständerungen und der aktuellen Nachfrage nach Diensten zu lösen. Mit anderen Worten: Es handelt sich um ein System zur flexiblen Verwaltung der Containerisierungsinfrastruktur mit der Möglichkeit des Lastenausgleichs.

Mit Kubernetes können Sie eine große Anzahl von Containern wie Docker oder Rocket auf zahlreichen Hosts starten, den Status der Laufzeitumgebung überwachen und rechtzeitig auf Änderungen reagieren, laufende Container verwalten, deren gemeinsame Platzierung und Replikation sicherstellen sowie zahlreiche Hosts innerhalb des Clusters skalieren und ausgleichen.

Heute ist Kubernetes sowohl in großen Unternehmen als auch bei Start-ups zu einer Art Standard für moderne DevOps-Umgebungen geworden. Es wird aktiv in Cloud-Diensten wie AWS, Microsoft Azure oder Google Cloud eingesetzt. Im Kern ist Kubernetes eine der strategischen Komponenten des gesamten DevOps-Prozesses, weshalb Angriffe darauf seit jeher relevant sind und bleiben. Nach dem Hacken dieses Systems erhält der Angreifer Zugriff auf alle Knoten und Container, die innerhalb von K8s laufen, und dies ist ein direkter Weg, um sensible Daten zu kompromittieren oder zu leaken.

Am wichtigsten ist, dass das System wahrscheinlich immer noch voller öffentlicher K8s-Server ist, auf die über das Internet zugegriffen werden kann. Ein Beispiel hierfür ist ein Dienst wie Shodan, mit dem man im Internet nach anfälligen Softwareversionen suchen kann. Von solchen offenen Schwachstellen waren zu ihrer Zeit Zehntausende öffentlicher Datenbanken betroffen. Wenn Sie testen möchten, wie Shodan in der Praxis funktioniert, kann dies mit einem Suchskript erfolgen, das auf GitHub verfügbar ist.

Große Sicherheitsrisiken für Kubernetes

Wie jedes komplexe, von Menschen entwickelte System weist auch die Infrastruktur des K8s-Clusters typische Sicherheitsprobleme auf, mit denen Experten häufig konfrontiert sind. Dazu gehörenExplosion des Ost-West-Verkehrs.Das Wesentliche dieses Angriffs besteht darin, dass Container dynamisch in mehreren unabhängigen Clouds bereitgestellt werden können, was den Datenverkehr innerhalb eines logischen Clusters erheblich erhöht. Remote-Container-Standorte können von Cyberkriminellen beispielsweise zur Durchführung von DDoS-Angriffen genutzt werden.

Problem der vergrößerten Angriffsfläche.Es basiert auf der Tatsache, dass jeder Container eine andere Angriffsfläche und eigene, einzigartige Schwachstellen aufweisen kann, die von Hackern ausgenutzt werden. Beispielsweise können Schwachstellen in Docker- oder AWS-Autorisierungssystemen genutzt werden.

Unbefugte Verbindungen zwischen Containern, wenn kompromittierte Pods Verbindungen zu anderen Containern auf demselben oder einem anderen Host herstellen können, um einen Angriff zu starten. Obwohl die Filterung auf L3-Ebene erfolgt, d. h. ACLs werden von den Netzwerkgeräten gemäß den konfigurierten Regeln bereitgestellt, können einige nicht autorisierte Verbindungen nur durch Filterung erkannt werden.

Containercompromise- ist ein Angriff, dessen Kern darin besteht, eine falsche Konfiguration für alle Container des Clusters zu verwenden, was indirekt zur Kompromittierung oder Einbeziehung von Anwendungsschwachstellen beiträgt. Zu den Kompromittierungen von Containern gehören die Manipulation der internen Umschaltung, der Prozesssteuerung oder des Dateisystemzugriffs.

Wie jede Anwendungs- und Systemsoftware weist auch Kubernetes eine Reihe kritischer Schwachstellen auf, die den gesamten Cluster gefährden – von laufenden Containern im Allgemeinen bis hin zu spezifischen Daten, die in einer Datenbank auf einem separaten Server gespeichert sind. Laut Statistiken aus dem vulnerability registry NIST wurden die kritischsten Fehler in den Jahren 2018 und 2019 identifiziert – mit jeweils acht und vier Schwachstellen.

Der erste, der 2019 entdeckt wurde, ermöglicht es einem bösartigen Container, die ausführbare Datei runC auf dem Host-System zu überschreiben, ohne dass eine Benutzerinteraktion erforderlich ist. Als Ergebnis eines solchen Angriffs kann ein Angreifer Root-Zugriff auf den Host erhalten und beliebigen Code darauf ausführen. Im Februar 2019 wurde ein Exploit für diese Schwachstelle auf GitHub veröffentlicht. Ein weiterer Fehler, der im März desselben Jahres entdeckt wurde, ermöglicht es einem Angreifer, Dateien vom Host auf den Computer des Betreibers zu übertragen oder sie mithilfe von tar-Binary-Spoofing unter Verwendung des regulären internen Befehls kubectl cp zu modifizieren.

Ein weiterer Fehler, der 2018 entdeckt wurde, betrifft die Privilegien-Eskalation. Er ermöglicht es einem Angreifer, aufgrund eines logischen Fehlers bei der Verarbeitung von API-Anfragen die Berechtigungen im Cluster zu erhöhen und darauf zuzugreifen. Laut Cybersicherheitsexperten stellt diese Schwachstelle eine hohe Bedrohung dar, da sie keine vorherige Authentifizierung erfordert und einfach auszuführen ist. Der unbefugte Zugriff wird nach dem Senden einer bestimmten Anfrage an den Kubernetes-API-Server freigegeben.

Alle anfälligen Kubernetes-Assemblies behandeln böswillige Anfragen nicht korrekt, sodass man mit den in den API-Servereinstellungen angegebenen TLS-Anmeldedaten auf das Backend zugreifen kann. Der PoC-Exploit wurde nur wenige Tage nach der Entdeckung des Problems auf GitHub veröffentlicht. Später wurde ein Patch für diese Schwachstelle veröffentlicht.

Top Kubernetes-Angriffe

Kubernetes hat eine recht komplexe Architektur und umfasst viele Komponenten. Daher variieren auch die Arten von Angriffen und ihre Richtung auf das System. Das allgemeine Schema der Angriffe umfasst also:

  1. Pods ist eine unteilbare elementare Einheit der Bereitstellung und Adressierung in Kubernetes. Ein Pod hat eine eigene IP-Adresse und kann einen oder mehrere Container enthalten.
  2. Dienste – Netzwerkdienste, die den Datenaustausch innerhalb des Clusters, das Lastenausgleich, die Replikation, die Verarbeitung von Anfragen usw. ermöglichen.
  3. Systemkomponenten – die wichtigsten Systemkomponenten zur Verwaltung des Kubernetes-Clusters: API-Server, Kubelet und andere.
  4. Worker Node – Produktionsserver, auf denen Anwendungscontainer und andere Kubernetes-Komponenten, wie z. B. K8s-Agenten und Proxy-Server, ausgeführt werden.
  5. Master Node ist der Hauptserver, der den gesamten Cluster von Arbeitsknoten (Pods) sowie die Bereitstellung von Modulen auf diesen Knoten verwaltet.

Kubernetes-Sicherheitslösungen

Um diese Probleme der Container-Informationssicherheit in DevOps-Systemen zu lösen, verwenden Ingenieure spezielle Tools für die Überwachung und das automatische Cybersicherheitsmanagement. Netzwerk- und Systemadministrationstechniken wie TLS-Verschlüsselung, rollenbasierte Zugriffskontrolle (RBAC), Firewall, Authentifizierung durch Dritte, Berechtigungseinschränkung und andere Methoden zum Schutz von Cluster-Ressourcen sind nach wie vor weit verbreitet.

Darüber hinaus erhöht ein integrierter Ansatz zur Gewährleistung der Cybersicherheit Ihres Unternehmens die Chancen, Schwachstellen erfolgreich zu beseitigen, erheblich. Beispielsweise bietet eine vollständige Bestandsaufnahme aller Ihrer digitalen Assets einen zusätzlichen Vorteil für die Kubernetes-Sicherheit, da sie nicht nur alle digitalen Assets identifiziert und überprüft, sondern auch Repositorys, Cloud-Speicher und sogar Dark Web auf das Vorhandensein Ihrer Daten überprüft, die von Hackern illegal beschafft wurden.

Weitere Ressourcen

  • Erfahren Sie mehr über KI-gestütztes Angriffsflächenmanagement mit ImmuniWeb® Discovery.
  • Erfahren Sie mehr über KI-gestützte Penetrationstests für Anwendungen mit ImmuniWeb.
  • Erfahren Sie mehr über die Möglichkeiten des ImmuniWeb Partner Programms.
  • Folgen Sie uns auf LinkedIn, X, Telegram und WhatsApp
Free Demo Auf Twitter teilen Auf LinkedIn teilen

Jetzt Ihre Cyber-Risiken reduzieren

Bitte füllen Sie die unten rot markierten Felder aus.

Holen Sie sich Ihre kostenlose Demo
von ImmuniWeb® AI Platform

  • Erhalten Sie Ihre kostenlose Cyber-Risikobewertung
  • Starten Sie eine kostenlose Testversion der ImmuniWeb-Produkte
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
  • Keine Verpflichtungen
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Sprechen Sie mit einem Experten