Bereits einen Tag vor dem offiziellen Start der Kubecon Europe warf der Kubesec Enterprise Summit ein Licht auf verschiedene Baustellen in Sachen Kubernetes-Sicherheit.
So hielt Rory McCune, Autor des CIS Benchmark, einen Talk über die Fortschritte in Sachen Kubernetes-Security. Generell verbessere sich die Lage, erklärte McCune. Das betreffe sowohl die Managementschnittstellen für Netzwerk-Security, als auch den Umgang mit Secrets sowie die Standardeinstellungen für RBAC (Role Based Access Control) in den verschiedenen Kubernetes-Distributionen.
Angriffe auf Kubernetes
Generell hob McCune drei Angriffsvektoren besonders hervor. Ungeschützte Management-Interfaces erlauben es zum Beispiel, über einen einfachen Curl-Befehl und das Wissen über den typischen Verzeichnisaufbau an die Schlüssel des Clusters zu gelangen. Auch RBAC sei noch zu kompliziert: Das führe häufig dazu, dass Admins alle Kubernetes-Nutzer mit Cluster-Adminrechten ausstatten. Service Accounts würden oft über zu weitreichende Rechte verfügen. In einer Demo zeigt McCune, wie einfach Nutzer über einen Container das komplette Cluster übernehmen können. Am Ende genügte ein einfaches “chroot”.
Der Kubesec Enterprise Summit gehört zu den Vorab-Events der Kubecon Europe 2019, die morgen in Barcelona offiziell startet.
Jenseits des Clusters sieht McCune eine weitere Security-Baustelle heranwachsen: Cloud Metadata Services. Die seien noch nicht auf dem Radar aller Security-Berater angekommen, aber auch in solchen Metadaten würden sich mitunter Schlüssel und Zugangsdaten befinden. Die Bereiche Network Policy und Pod Security Policy seien hingegen bereits im Aufbau. Sie bewirken unter anderem, dass Angreifer, die einen Pod unter Kontrolle bringen, nicht auf weitere Pods und Dienste zugreifen.
Typische Einfallstore
Auch Amy DeMartine von Forrester Research wartete mit einigen interessanten Zahlen auf. Fragt man nach den Angriffsvektoren auf Containerumgebungen, richten sich 36 Prozent der Angriffe gegen die ausgelieferten Webanwendungen. Sei es über SQL-Injections, Cross-Site-Scripting oder Remote File Inclusion. 33 Prozent der Angriffe nutzen zudem Softwareschwachstellen aus. Letztlich müssen Admins also ein starkes Augenmerk auf die Containerinhalte legen. DDoS-Angriffe schlagen immerhin noch mit 24 Prozent zu Buche.
Dabei sei die Nutzung von Containern weiterhin populär, vor allem in Verbindung mit Devops-Praktiken. 27 Prozent der befragten Firmen liefern monatlich oder häufiger Releases für ihre Webanwendung aus und bauen die Software fast täglich neu. Ohne Devops-Pipelines ließe sich so etwas kaum umsetzen, erklärt DeMartine. Dennoch erwartet Forrester im Devops-Bereich eine Abkühlung. Viele Firmen haben offenbar Hals über Kopf auf Devops umgestellt und nehmen nun Korrekturen vor. In zwei Jahren, glaubt Forrester, werde Devops wieder an Fahrt aufnehmen.
Eine andere interessante Zahl betrifft den befürchteten Vendor-Lock-in: Mehr als 53 Prozent der befragten Firmen würden fünf verschiedene Cloudanbieter nutzen, mehr als 30 Prozent immer noch vier, drei oder zwei Cloudanbieter. Insgesamt nutzen 76 Prozent der befragten Firmen so ein Hybrid-Setup. Kopfüber in eine Public Cloud zu tauchen, scheint also nicht der gewöhnliche Use Case zu sein.
Ob es eine Quelle der Wahrheit gebe, um Daten zur Sicherheit des eigenen Kubernetes-Cluster zu erhalten, wollte der Moderator einer Podiumsdiskussion am Ende wissen. Offenbar nicht, die wichtigen Security-Meldungen seien noch über das System verstreut. Möglicherweise werde sich dies irgendwann ändern. Zumindest gibt es als Einstieg von der CNCF (Cloud Native Computing Foundation) neun Regeln zur Sicherheit, an denen sich Kubernetes-Admins entlang hangeln dürfen.
