:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Effizientes Sicherheitsmanagement in heterogenen Systemlandschaften Security Management mit Kubernetes und Open-Source-Komponenten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Dieser Artikel zeigt einen Lösungsansatz mit Open-Source-Komponenten zur Zentralisierung von Werkzeugen wie SIEM, Schwachstellenmanagement, Benutzer- und Rechteverwaltung sowie Logging und Monitoring in einer skalierbaren, hochverfügbaren und flexiblen Umgebung mit seinen Vor- und Nachteilen.
IT-Sicherheit ist für jedes Unternehmen relevant. Gerade Unternehmen, die sich ändernden Regularien unterliegen, benötigen eine zentralisierte Sicherheitslösung für heterogene IT-Landschaften.
Veraltete Infrastrukturen, Sicherheitslücken, die in Audits oder im Worst Case durch einen sicherheitskritischen Vorfall auffallen und der Einsatz proprietärer Sicherheitsprodukte machen die Etablierung eines Sicherheitskonzepts zu einem aufwändigen und teuren Prozess. Der dezentrale Einsatz dieser Werkzeuge erzeugt häufig überschüssige Informationen und Mehrfachmeldungen, deren Analyse viel Zeit kostet. Dies steht im Gegensatz zur zeitkritischen Einhaltung eines Incident Response Plans, denn nicht geschlossene Sicherheitslücken stellen ein großes Risiko dar.
Ein weiteres Hindernis ist die meist heterogene IT-Landschaft. Neben On-Premise Systemen gibt es Systeme in verschiedenen Clouds, Anbindungen von Kundeninfrastrukturen und mögliche Restriktionen im vorhandenen Netz. Werden für verschiedene Systeme eigene Sicherheits- und Überwachungslösungen verwendet, so erhöht dies den Mehraufwand durch überflüssige Komplexität und redundante Informationen deutlich. Ein Security Operation Center (SOC) kann hier Abhilfe schaffen. Wird dieses intern betrieben, steigt wiederum der zeitliche und finanzielle Aufwand. Für externe SOC-Dienstleister hingegen sind kleinere und mittelständische Unternehmen nicht immer attraktiv genug.
Zentrale Verwaltung von Sicherheitswerkzeugen mit Kubernetes
Wie kann man das Problem nun lösen? Benötigt wird eine kostengünstige, mit wenig Aufwand implementierbare Lösung, die hochverfügbar, skalierbar und dabei flexibel ist.
Die Bündelung der Sicherheitswerkzeuge zur zentralen Verarbeitung und Filterung der gesammelten Informationen führt zu einer Konsolidierung der relevanten Meldungen und somit zu einer Reduktion der Aufwände. Hier bietet ein auf Kubernetes und containerisierten Anwendungen basierendes Security-Baukasten-System eine valide Lösung. Werkzeuge wie SIEM, Schwachstellenmanagement, Benutzer- und Rechteverwaltung sowie Logging- und Monitoring-Komponenten werden zentralisiert betrieben und verwaltet. Als wichtigste Voraussetzung müssen diese Anwendungen bereits in containerisierter Form angeboten werden oder in diese überführbar sein. Als Anlaufstelle gibt es Organisationen wie die Cloud Native Computing Foundation. Durch diese Organisation aufgenommene Anwendungen haben einen hohen Reifegrad für den Einsatz in der Cloud. Viele der hier eingestuften Anwendungen sind zudem Open-Source-lizensiert.
Damit containerisierte Anwendungen effizient betrieben werden können und schnell ausrollbar sind, kann die Anwendung von Configuration-as-Code helfen. Dabei werden Konfigurationen von Software-Komponenten in maschinenlesbarer Form in den Containern abgelegt und von dort aus weiterverarbeitet. Zusätzlich reduziert sich durch eine Versionierung über GIT der Aufwand, den Mitarbeitende bei Konfigurationsänderungen haben. Gleichzeitig wird die Reaktionsfähigkeit erhöht und Änderungen werden nachvollziehbar. Ein weiterer Schritt in Richtung automatisierter Konfigurationsanpassung ist das Pflegen von Richtlinien in Form von Policy-as-Code. Dabei werden Policies in maschinenlesbarer Form abgespeichert. Mit einem entsprechenden Framework, wie dem Open Policy Agent, kann geprüft werden, ob geplante Änderungen der Konfiguration durch die hinterlegten Unternehmensrichtlinien gedeckt sind.
Die so erreichte Flexibilität kann dazu verwendet werden Fehlalarme, auch False Positives genannt, zu reduzieren, indem Schwellwerte schnell angepasst werden können. False Positives tragen zu einer unnötigen Belastung der Mitarbeitenden bei. Fehlalarme müssen zunächst wie ein echter Alarm behandelt werden und erzeugen so einen Overhead oder führen dazu, dass eine Alarmblindheit einsetzt. Wird die Zahl der False Positives reduziert, führt dies schlussendlich auch zu einem effizienteren Sicherheitsmanagement.
Ein weiterer Vorteil eines Kubernetes-Clusters ist die einfache Anbindung heterogener Infrastrukturen. So macht es keinen nennenswerten Unterschied, ob On-Premise- oder Cloud-Systeme angebunden werden. Eine Erweiterung des Clusters aufgrund von Ressourcen-Knappheit ist zudem jederzeit möglich indem weitere Server in das bestehende Cluster integriert werden. Nicht nur das Cluster selbst, auch einzelne Anwendungen können horizontal innerhalb des Clusters skalieren und so erhöhter Last widerstehen.
Software, die in dem Kubernetes-Cluster eingesetzt wird, kann in Form von Helm-Charts katalogisiert und vorkonfiguriert werden. Somit ist ein Basisbetrieb direkt möglich. Anwendungsspezifische Konfigurationen und Anpassungen können anschließend schnell per Configuration-as-Code vorgenommen werden. Viele moderne Anwendungen, die bereits Cloud-Ready sind, bieten von Haus aus vorgefertigte Helm-Charts oder vergleichbare Möglichkeiten an.
Komponenten innerhalb des Clusters werden als Services über entsprechende URLs publiziert. Bestehende Infrastrukturkomponenten können diese Services entweder direkt ansprechen oder Informationen über Software-Agenten in das Cluster übertragen. Die Architektur dieses Baukastens ist schematisch in der Grafik zu sehen.
Diese Form der Abstraktion des Hardware-Layers durch das Kubernetes-Cluster ermöglicht eine schnelle und flexible Integration von Sicherheitswerkzeugen wie SIEM, Schwachstellenscanner, Logging- und Monitoring-Systemen in eine bestehende Infrastruktur. Verwendete Werkzeuge werden so in einer zentralen Umgebung angeboten. Auch wenn Sicherheits-Informationen so konsolidiert werden können, bleiben bestimmte Systeme abhängig von ihrer proprietären Sicherheitslösung. Hier liegt es in der Hand der Hersteller, ihre Sicherheitslösungen Cloud-ready anzubieten und für die Anbindung an zentrale Systeme zu öffnen.
Fazit: Kann Kubernetes das Problem lösen?
Der Ansatz, Kubernetes als zentrale Grundlage für Sicherheitslösungen zu nutzen, bietet viele Vorteile. Der große Vorteil ist die Unabhängigkeit von vorhandener Hardware und Servern, da alle Anwendungen in containerisierter Form innerhalb des Clusters laufen. Diese Abstraktion ermöglicht den Einsatz der gleichen Software in unterschiedlichen Umgebungen während sowohl Ausfallsicherheit als auch Skalierbarkeit gegeben sind. Konfigurationsänderungen können zudem schnell und nachvollziehbar umgesetzt werden.
Damit solch ein Cluster produktiv betrieben werden kann, muss Know-How im Bereich Kubernetes zusätzlich zu IT-Security vorhanden sein. Des Weiteren müssen containerisierte Anwendungen verwendet werden oder Anwendungen für den Betrieb innerhalb eines Clusters vorbereitet werden. Auch Richtlinien müssen nach dem Prinzip von Policy-as-Code erstellt werden und alle Endpunkte über vorher definierte Service-URLs angebunden werden. Sind diese initialen Aufwände und Anforderungen erst einmal erfüllt, ist ein kostengünstiger und nachhaltiger Betrieb möglich.
Trotz der Nachteile überwiegen die Vorteile und der Einsatz von Sicherheitswerkzeugen in einem Kubernetes-Cluster stellt eine valide Lösung dar.
Über die Autoren
Roland Laußat: Nach dem Studium der angewandten Informatik und langjähriger Erfahrung im Banking- und eCommerce-Umfeld ist Roland Laußat seit 2020 bei der adesso SE für Operational IT Security zuständig. Seine Schwerpunkte sind die Erstellung und Implementierung von umfassenden IT Sicherheits-Konzepten und die Etablierung von Sicherheitsstandards in Unternehmen.
Simon Reuß: Nach dem Studium der technischen Informatik und Informatik arbeitet Simon Reuß seit 2021 bei der adesso SE im Bereich Security- und DevOps Engineering. Seine Schwerpunkte sind die automatisierte Bereitstellung und Konfiguration von (Cloud-) Infrastrukturen, Kubernetes, CI/CD Management sowie Monitoring und Logging von Systemen.
(ID:48874380)
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")