:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit K8s sichere Container betreiben Mehr Sicherheit in Kubernetes
Setzen Unternehmen auf Container spielt die Sicherheit eine besonders wichtige Rolle. Denn Container werden häufig für Web- oder Cloud-Apps verwendet, die auch von extern zugreifbar sind. Das Open-Source-System Kubernetes (K8) entwickelt sich immer mehr zum Standard bei der Automatisierung, Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen und erfordert deshalb besonderes Augenmerk bei der Sicherheit.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Ein besonders wichtiger Bereich um die Sicherheit von Kubernetes-Clustern zu verbessern besteht darin möglichst die neuste Version zu verwenden. Mit jeder neuen Version wird die Sicherheit der Container-Orchestrierungslösung verbessert. Ab Version 1.7 werden Sicherheitsfunktionen verbessert, mit Version 1.8 wird die rollenbasierte Zugriffskontrolle (Roles Based Access Control, RBAC) verfügbar gemacht. Kubernetes ist sehr flexibel und lässt sich auch auf VMs installieren, zum Beispiel in Ubuntu. Dadurch erhalten Entwickler und Administratoren die Möglichkeiten Sicherheitseinstellungen umfassend zu testen und dann in der produktiven Umgebung zu verteilen. Der schnellste Weg dazu ist:
sudo snap install conjure-up --classic
conjure-up kubernetes:quality(80)/images.vogel.de/vogelonline/bdb/1300200/1300234/original.jpg "Über Assistenten kann Kubernetes in Ubuntu eingebunden werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1300200/1300230/original.jpg "Kubernetes lässt sich auch in einer VM auf Basis von Ubuntu installieren, um Sicherheitseinstellungen zu testen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1300200/1300231/original.jpg "Kubernetes-Cluster lassen sich auch recht schnell in AWS erstellen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1300200/1300232/original.jpg "Mit der Azure-CLI lässt sich ein Kuberntes-Cluster schnell und sicher in Microsoft Azure erstellen.")
Einstieg in mehr Sicherheit von Kubernetes
Die jeweils aktuelle Version von Kubernetes steht auf GitHub zur Verfügung. Auf der Seite der Entwickler finden sich ausführliche Anleitungen um Kubernetes-Cluster sicher zu betreiben. Die Anleitung „Securing a Cluster“ hilft bei der Schrittweisen Absicherung des Clusters.
Auch die anderen Anwendungen in einem Kubernetes-Cluster wie Kafka, Zookeeper und viele andere spielen für die Sicherheit eine wichtige Rolle. Daher sollten auch diese optimal abgesichert und vor allem auch regelmäßig aktualisiert werden. Mit Kubernetes 1.7 und neuer können solche Anwendungen automatisiert aktualisiert werden (StatefulSets Updates). Das erhöht die Sicherheit deutlich. Die Vorgehensweise dazu zeigen die Entwickler in der Dokumentation von Kubernetes.
Kubernetes 1.7 bietet Richtlinien und Verschlüsselung
Mit der Aktualisierung zu Kubernetes 1.7 erhält die Umgebung eine Network Policy API. Mit den Richtlinien können Entwickler festlegen, welche Pods miteinander kommunizieren dürfen und wie aus dem externen Netzwerk mit dem Kubernetes-Cluster gearbeitet werden darf. Die Netzwerkrichtlinien sind ein wichtiger Faktor für die Verbesserung der Sicherheit. Mit den Richtlinien lassen sich umfassende Regeln erstellen, um Benutzer zu steuern, aber auch die Kommunikation zwischen Pods und Nodes. In den Richtlinien lassen sich auch einzelne Ports definieren, die durch Pods genutzt werden dürfen.
Zusätzlich werden weitere Plug-Ins in Kubernetes integriert. Mit diesen kann zum Beispiel gesteuert werden, wie Kubelets arbeiten. Hier lassen sich Dienste, Endpunkte, Knoten und Pods autorisieren und authentifizieren. Die Vorgehensweise zeigen die Kubernetes-Entwickler in der Reference Documentation. Im Fokus stehen hier der Zugriff von Kubelets auf Secrets, Pods oder auf andere Objekte im Kubernetes-Cluster. Der Node Authorizer und das Admission Control Plugin steuern differenziert diese Zugriffe, basierend auf Regeln.
TLS bootstrapping verbessert die Arbeit mit Zertifikaten in Kubernetes. Mit der API lassen sich Zertifikate von einer Cluster-CA abrufen und von Kubelets nutzen.
Auch die Verschlüsselung wird durch Kuberntes 1.7 in die Umgebung integriert. Die aktuelle Funktion zur Verschlüsselung befindet sich noch in einem frühen Entwicklungsstadium, werden aber ständig verbessert. Auch aus diesem Grund lohnt sich eine Aktualisierung zu neuen Versionen wie Kubernetes 1.8.
Zugriffskontrolle mit Kubernetes 1.8
Ab Kubernetes 1.8 ist Roles Based Access Control (RBAC) komplett verfügbar. Die Funktion verlässt den Beta-Status. Damit lassen sich Berechtigungen effizienter verteilen, weil Administratoren eigene Rollen für die Umgebung erstellen können.
Damit lässt sich auch der Zugriff auf API-Rollen definieren. Mit verschiedenen Namensräumen können so unterschiedliche Reche zugewiesen werden. Das ermöglicht auch die granulare Zuteilung von Rechten bis hinunter zu einzelnen Pods. Die Rechte lassen sich umfassend steuern, von Leserechten, bis hin zu Schreibrechten und sogar Rechten für die administrative Steuerung.
In Kubernetes 1.8 lassen sich auch Zertifikate automatisch zuteilen und regelmäßig wechseln. Mit Transport Layer Security (TLS) Zertificat Rotation können Kubernetes-Cluster mit zahlreichen Hosts wesentlich sicherer betrieben werden.
Kubernetes-Cluster in Microsoft Azure absichern
Kubernetes-Cluster lassen sich in Amazon Web Services (AWS) aber auch in Microsoft Azure erstellen. Bereits hier spielt die Sicherheit eine wichtige Rolle. Die Installation von Kubernetes in Microsoft Azure erfolgt über das CLI-Interface. Hier lassen sich wichtige Bereiche zur Installation, wie die Erstellung des SSH-Schlüssels automatisieren.
Um mit der Azure CLI einen sicheren Container-Cluster zu erstellen ist zunächst eine sichere Anmeldung des Computers notwendig, mit dem die Installation durchgeführt wird. Dazu wird in der Azure-Shell zunächst der Befehl „az login“ eingebeben. Danach wird die Geräteanmeldungs-Webseite von Microsoft Azure aufgerufen. Der notwendige Code zur Anmeldung wird in der Azure-Shell angezeigt.
Setzen Unternehmen mehrere Azure-Abonnements ein, kann eine Liste der Abonnements mit „az account list“ angezeigt werden. Die weitere Vorgehensweise ist in der Dokumentation von Azure zu finden.
Ressourcenverwendung steuern
Da in einem Kuberntes-Cluster haufenweise Container betrieben werden, spielt es für die Stabilität und Sicherheit im Cluster eine wichtige Rolle die Ressourcen richtig zu verteilen und vor allem für einzelne Bereiche zu begrenzen. Mit Grenzwerten können Administratoren gezielt steuern, wieviele Ressourcen einem Objekt zur Verfügung stehen. Hier lassen sich vor allem die Nutzung der CPU, des Arbeitsspeichers und des verwendeten Speicherplatzes steuern. Das verhindert, dass Container einen Host oder einen ganzen Cluster zum Absturz bringen können.
In diesem Bereich fällt auch die Steuerung der Knoten auf denen verschiedene Pods positioniert sein dürfen. Dadurch kann genau festgelegt werden, welche Knoten ein Pod verwenden darf. Durch die strikte Trennung der Ressourcen lässt sich auch eine Aufteilung bezüglich von Sicherheitsrichtlinien und Rollen definieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248634/original.jpg "Die Implementierung von Sicherheit für Container unterscheidet sich von existierenden Techniken nicht sehr. Viele existierende Tools sind einsetzbar und durch einige spezifische Techniken kann eine hohe Container-Sicherheit erreicht werden. (Rawf8 - stock.adobe.com)")
Anforderungen an Container Security
Container-Sicherheit braucht passende Tools
(ID:44937469)
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947176/original.jpg "Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen. (Amgun - stock.adobe.com)")