Enterprise-level Kubernetes-Security mit Open Source – kosteneffizient und flexibel

Im Folgenden werden die typischen Bedrohungen einer Applikation während des Deployments und der Laufzeit beschrieben, bei dem eine Applikation aus einem Git Repository mit Continuous Integration und Continuous Delivery in einen Kubernetes-Cluster ausgeliefert wird. Viele dieser Bedrohungen sind gerade bei großen Unternehmen relevanter durch die größere Skalierung und die Sicherheitsanforderungen.
Die Bedrohungen unterscheiden sich in drei verschiedenen Komponenten:

CI/CD-Pipeline: Manipulierte Images und Schwachstellen im Code stellen eine große Gefahr dar. Angreifer könnten die Pipeline infiltrieren und Schadsoftware in das System einschleusen. Dies könnte dazu führen, dass kompromittierte Software ohne Wissen der Entwickler in die Produktion gelangt.

Deployment: Fehlkonfigurationen in der Laufzeit können zu Sicherheitslücken führen. Ein fehlerhaftes Deployment kann Angreifern ungewollt Zugriff auf sensible Daten oder Systeme ermöglichen. Beispiele für schwerwiegende Konfigurationsfehler sind offene Ports oder unsichere Verbindungen.

Cluster: Manipulation des Datenverkehrs, unberechtigte Netzwerkzugriffe sowie Manipulationen auf Clusterebene stellen erhebliche Bedrohungen dar. Darüber hinaus können Sicherheitslücken in laufenden Diensten ausgenutzt werden, um die Kontrolle über den Cluster oder Applikationen zu erlangen. Angreifer könnten versuchen, den Netzwerkverkehr abzuhören oder kritische Dienste zu kompromittieren, um Zugriff auf sensible Daten zu erhalten.

Im Anschluss werden die Sicherheitsmaßnahmen gegen die jeweiligen Bedrohungen dargestellt. Diese unterscheiden sich wiederum nach den jeweiligen Komponenten:

CI/CD-Pipeline: Image Signing und Vulnerability Scanning sind essentiell, um sicherzustellen, dass nur vertrauenswürdige Images in die Produktionsumgebung gelangen. Image Signing stellt die Authentizität und Integrität der Images sicher. Vulnerability Scanning innerhalb der Pipeline kann eingesetzt werden, um bekannte Sicherheitslücken frühzeitig zu erkennen und zu beheben.

Deployment: Die Einführung von Governance-Richtlinien durch Policies kann Fehlkonfigurationen verhindern. Diese Richtlinien sollten automatisiert angewendet werden, um sicherzustellen, dass alle Implementierungen den festgelegten Sicherheitsstandards entsprechen. Automatisierte Tools können eingesetzt werden, um zu gewährleisten, dass Konfigurationen vor der Bereitstellung validiert und überprüft werden.

Cluster: Mutual TLS (mTLS) und Layer 7 Policies sind wichtige Maßnahmen, um die Kommunikation zwischen den Services abzusichern. Zusätzlich sollte ein kontinuierliches Vulnerability Scanning im Cluster durchgeführt werden, um bekannte Schwachstellen zeitnah zu identifizieren und zu beheben. Runtime-Security-Tools wie Falco können eingesetzt werden, um verdächtige Aktivitäten innerhalb des Clusters zu erkennen und darauf zu reagieren.

Auswahlkriterien für das richtige Open-Source-Tool im Enterprise-Umfeld

Ob Open-Source-Werkzeuge die Anforderungen eines Unternehmens erfüllen können, hängt von verschiedenen Faktoren ab. Die wichtigsten Auswahlkriterien für Open-Source-Werkzeuge sind:

• Aktive Community-Unterstützung und regelmäßige Updates: Ein Tool muss regelmäßig gewartet und aktualisiert werden, um sicherzustellen, dass es mit den neuesten Sicherheitsstandards und -praktiken Schritt halten kann. Eine aktive Community stellt sicher, dass Probleme schnell gelöst und neue Funktionen zeitnah implementiert werden.
• Nutzung in produktiven Umgebungen: Tools, die bereits in Produktionsumgebungen eingesetzt werden, haben in der Regel ihre Stabilität und Zuverlässigkeit bewiesen. Dies ist ein guter Indikator dafür, dass ein Tool reif genug für den Enterprise-Einsatz ist.
• Qualität der Dokumentation: Eine gute Dokumentation ist entscheidend für die Implementierung und den Betrieb des Tools. Ohne eine klare und umfassende Dokumentation kann es schwierig sein, das volle Potenzial eines Tools auszuschöpfen.
• Features und Erweiterbarkeit: Das Tool sollte die notwendigen Funktionen bieten und erweiterbar sein, um den spezifischen Anforderungen des Unternehmens gerecht zu werden. Die Erweiterbarkeit ist besonders wichtig, da Unternehmen oft individuelle Anforderungen haben, die von Standardlösungen nicht abgedeckt werden.
• Unterstützung für gängige Plattformen: Das Tool sollte mit allen gängigen Plattformen kompatibel sein, damit es in verschiedenen Umgebungen eingesetzt werden kann. Diese Flexibilität ermöglicht eine breitere Nutzung und Integration.

Alle diese Kriterien sollten vor der Einführung eines Werkzeugs in die Sicherheitsprozesse abgewogen werden.

Übersicht über die wichtigsten Open-Source-Tools nach Schutzmaßnahme

Image Signing

Image Signing stellt sicher, dass Container-Images vor ihrer Verwendung authentifiziert und ihre Integrität garantiert werden kann, um Manipulationen des Images zu verhindern. Dazu wird bei der Erstellung des Images eine Signatur eingefügt und vor der Ausführung des Container-Images kann diese Signatur des Images innerhalb des Clusters validiert werden. Dies ermöglicht die Überprüfung der Herkunft eines Container-Images und stellt sicher, dass nur verifizierte Container-Images im Cluster laufen.
 
Die beiden populärsten Tools zum Signieren von Images sind Notation des Notary Projects und Cosign von sigstore. Notation ist eine Weiterentwicklung der ersten Version von Notary, die damals noch eine aufwändige Installation eines eigenen Signaturservers erforderte. Inzwischen unterscheiden sich Notation und Cosign kaum noch. Beide bieten eine Kommandozeilenschnittstelle zum Signieren und Verifizieren von Imagesignaturen und werden von vielen Container Registries in der Cloud unterstützt. Im Detail unterscheiden sie sich in verschiedenen Features, Notation unterstützt Key Revocation, Cosign unterstützt mehrere Möglichkeiten des Key Managements, neben X.509-Zertifikaten z. B. auch Key- Management-Systeme von Cloud-Providern wie Azure Key Vault oder AWS KMS und Hardware-Tokens. Ein interessantes Feature von Cosign ist das "Keyless Signing", dabei werden kurzlebige Zertifikate über Workflow mit einer OpenID Connect (OIDC) Identity und einer Certificate Authority, beispielsweise der von sigstore bereitgestellten namens Fulcio, signiert. Dadurch werden unsichere langlebige Zertifikate vermieden und eine bessere Integrität durch OIDC Identitäten, z. B. ein GitHub User, hergestellt. Cosign unterstützt auch ein sogenanntes "Transparency Log" das alle Signierungen von Images protokolliert, was für eine bessere Nachvollziehbarkeit wichtig ist.

Abb. 5 zeigt beispielhaft, wie ein Image Signing Flow in einer Azure-Umgebung aussehen kann. Dabei wird Cosign für die Signierung und Connaisseur für die Validierung der Signaturen innerhalb des Kubernetes-Clusters verwendet [2]. Die Keys für die Signierung werden im Azure Key Vault gespeichert und können über Service-Accounts jeweils für die Signierung und Validierung abgerufen werden.

Vulnerability-Scanning

Vulnerability-Scanning hilft, Sicherheitslücken in Container-Images und Anwendungen frühzeitig zu erkennen, bevor sie in produktiven Umgebungen ausgenutzt werden können. Durch das frühzeitige Erkennen von Schwachstellen können potenzielle Angriffsflächen reduziert und die Sicherheit der gesamten Umgebung verbessert werden. Zwei populäre Open-Source-Tools sind Trivy und Clair.

Trivy ist ein Open-Source-Tool von Aqua Security, das lediglich eine Binary benötigt und schnelle Scans ermöglicht [3]. Es unterstützt sowohl Container- als auch Application-Scanning für viele Programmiersprachen wie Java, Python und Go, was es zu einem vielseitigen Werkzeug für die Sicherheitsüberprüfung macht. Es nutzt unterschiedliche Vulnerability-Datenbanken beispielsweise von Github oder den Linux-Distributionen. Dazu gibt es auch einen Cluster-Service namens Trivy Operator, der Container zur Laufzeit im Cluster scannen kann und diese Ergebnisse für Monitoring-Lösungen wie Grafana visualisierbar macht [4].

Clair hingegen erfordert ein komplexeres Setup mit mehreren Serverkomponenten, die verteilt betrieben werden können [5]. Es unterscheidet zwischen einer Indizierungskomponente, die für den Inhalt eines Container-Images einen Report zwischenspeichert, einer Matchingkomponente, die in den Reports nach Schwachstellen sucht und einer Benachrichtigungskomponente, die alle Reports nach neuen Schwachstellen durchsucht. Es bietet außerdem mehr Flexibilität bei der Auswahl der Vulnerability-Datenbank. Es eignet sich daher für spezielle Anforderungen, z. B. in Air-Gap-Netzwerken, in denen keine Anbindung an das Internet möglich ist.

Policy-Management

Mit Policy-Management können Sicherheits- und Compliance-Richtlinien effizient definiert und durchgesetzt werden, um zu gewährleisten, dass alle Systeme den vorgegebenen Sicherheitsstandards entsprechen. Die beiden wichtigsten Open-Source-Tools zur Automatisierung des Policy Managements sind OPA (Open Policy Agent) und Kyverno. OPA verwendet die Policy-Sprache Rego und ermöglicht die Definition komplexer Regeln [6]. Es kann nicht nur in Kubernetes, sondern auch in anderen Bereichen wie Terraform eingesetzt werden. Diese Flexibilität macht es zu einem leistungsfähigen Werkzeug für die Verwaltung von Sicherheits- und Compliance-Richtlinien [7]. Im Gegensatz dazu bietet Kyverno Kubernetes-native Policies, die einfacher zu verstehen und anzuwenden sind. Neben Validierung und Mutation bietet Kyverno auch die Möglichkeit, Kubernetes-Ressourcen zu generieren und zu bereinigen, was es zu einem sehr praktischen Werkzeug für das Management von Kubernetes-Clustern macht. Die Wahl des Tools hängt also davon ab, wie komplex die zu definierenden Regeln sind und ob auch Policies außerhalb von Kubernetes definiert werden müssen.

Mutual TLS

Mutual TLS (mTLS) ermöglicht eine sichere Kommunikation zwischen Services, indem beide Parteien authentifiziert werden. Dazu können in Kubernetes Service Meshes verwendet werden. Die beiden beliebtesten Service Meshes sind Istio [8] und Linkerd[9]. Beide ermöglichen eine sichere Kommunikation zwischen Services durch Mutual TLS. Während Linkerd einfacher zu konfigurieren ist, bietet Istio erweiterte Funktionen im Bereich Traffic-Management und Zero Trust Networking, die Unternehmen eine feinere Kontrolle über die Kommunikation im Netzwerk ermöglichen. Abb. 6 zeigt am Beispiel von Istio, wie Mutual TLS in einem Service Mesh funktioniert. Dazu wird in jeden Applikations-Pod ein Proxy injiziert, über den alle Verbindungen laufen. Für die Applikation ist HTTPS damit transparent und Istio ist für die Verteilung der Zertifikate in den Proxies verantwortlich. Dies kann auch um Ingress- und Egress-Verbindungen erweitert werden, so dass auch Verbindungen vom Benutzer zur Applikation oder nach außen abgesichert werden.