Kubernetes is an open-source platform for managing automated container deployment, scaling, workloads, and services. Originally developed by Google and now maintained by the CNCF (Cloud Native Computing Foundation), the purpose of Kubernetes is to automate the operations, deployment, and scaling of application containers across clusters of hosts. Cloud services offered by many vendors now offer their branded version of Kubernetes.

Containers are very effective at bundling and running your applications. In production settings, there is a need to manage containers that run your applications without downtime. Kubernetes is a framework that manages distributed systems robustly as well as manages the scaling and failover of your container applications. Kubernetes stores and manages sensitive information will restart containers that fail, automates rollbacks and rollouts, and manages automated mounts of storage systems.

What is Kubernetes Security?

Kubernetes security mechanisms protect you against container-based attacks. These attacks often occur by hackers exploiting vulnerabilities in container base images or even 3rd party libraries. It could also be due to cluster misconfigurations that allow malicious activity to go undetected at runtime or cause cloud-native applications to fall out of compliance. As a result, your teams need to embed security and compliance across the Kubernetes lifecycle. Native controls like PodSecurityPolicies help prevent privilege escalation and blocks threats at runtime. Using open-source Falco, you can detect and alert on malicious activity at runtime. A Kubernetes security tool that is part of your DevOps ecosystem can help you manage your cloud security risk.

What is Kubernetes Cluster?

Kubernetes pools together various nodes into a cluster to run cloud-native applications. The Kubernetes cluster contains, at minimum, a master node and a worker node. The master node maintains the desired state of the cluster, such as which applications are running and which container images they use and directly controls the worker node. Worker nodes actually run the applications and workloads. When you deploy programs onto the cluster, the master node intelligently handles distributing work to the individual. If any nodes are added or removed, Kubernetes will automatically manage your cluster to match the desired state.

What is difference between Kubernetes and Docker?

Kubernetes and Docker are fundamentally different technologies that work well together for building, delivering, and scaling containerized applications. Docker packages software, or microservices, into a container, to make them more portable. Kubernetes is the orchestrator that helps you scale and manage multiple Docker containers at scale.

Kubernetes-Sicherheit mit Sysdig Secure

Sicherheit verankern und Compliance validieren – mit Secure DevOps

Zur Checkliste zu Kubernetes-Sicherheit

Produkttour

Bedenkenlose Ausführung in Kubernetes

Sysdig Secure bietet Ihnen die notwendige Transparenz, um Ihre mit Containern, Kubernetes und Clouddiensten entwickelten modernen Anwendungen zu sichern. Sichern Sie die Build-Pipeline, ermitteln und reagieren Sie auf Laufzeitbedrohungen, setzen Sie eine Kubernetes-native Netzwerksegmentierung um und prüfen Sie Ihre Compliance lückenlos. Sysdig Secure ist eine SaaS-Lösung, die auf einem Open-Source-Stack mit Falco und sysdig OSS beruht.

Image-scanning

Automatisieren das lokale Scanning in Ihren CI/CD-Tools, ohne dass Images Ihre Umgebung verlassen, und schließen Sie Sicherheitslücken vor der Bereitstellung.

Weitere Informationen

Lückenlose
Compliance

Prüfen Sie Ihre Compliance mit Standards wie PCI, NIST und SOC2 über den Lebenszyklus von Containern und Kubernetes hinweg.

Read Further

Laufzeit-Bedrohungserkennung

Ermitteln Sie Bedrohungen in Containern, Kubernetes und der AWS-Infrastruktur mit vordefinierten Falco-Regeln, die auf Systemaufrufen, K8s-Audit-Logs und AWS CloudTrail beruhen.

Tiefgehendere Einsichten

Netzwerksicherheit

Visualisieren Sie die gesamte Netzwerkkommunikation zwischen Anwendungen und Diensten. Automatisieren Sie Kubernetes-native Netzwerkrichtlinien und sorgen Sie so für Mikrosegmentierung.

Weitere Informationen

Kubernetes Security Incident Response and Forensics

Reaktion auf Vorfälle und Forensik

Führen Sie Untersuchungen mit Low-Level-Systemaufrufdaten durch, auch wenn der Container nicht mehr vorhanden ist.

Details

Riskante Images über Zugangskontrolle verhindern

Blockieren Sie die Bereitstellung ungescannter oder anfälliger Images auf dem Cluster mithilfe des Zugangs-Controllers von Sysdig. Definieren Sie Kriterien auf Basis flexibler Bedingungen (Namespace, CVE-Schweregrad, Verfügbarkeit von Fixes, Image-Größe usw.) zur Genehmigung des Images.

Sysdig Secure verhindert auch Schwachstellen frühzeitig, indem Image-Scanning in die CI/CD-Pipelines und Registries integriert wird.

Least-Privilege-Zugriffskontrolle für Workloads

Bei PodSecurityPolicy (PSP) handelt es sich um einen nativen Bedrohungsabwehr- und Durchsetzungsmechanismus in Kubernetes. Sysdig erstellt automatisch eine PSP nach dem Prinzip der geringsten Privilegien (Least-Privilege-Prinzip) für Ihre Anwendung. Anschließend wird sie geprüft, bevor Sie sie in der Produktion anwenden – ohne Auswirkungen auf die Performance. Mit einer Least-Privilege-PSP können Sie:

Verhindern, dass privilegierte Pods gestartet werden, und die Rechteausweitung steuern
Den Zugriff auf die Namespaces, das Netzwerk und das Dateisystem des Hosts einschränken, auf die bzw. das der Pod zugreifen kann
Die Benutzer/Gruppen einschränken, als die ein Pod ausgeführt werden kann
Die Volumes einschränken, auf die ein Pod zugreifen kann
Andere Parameter wie Laufzeitprofile oder schreibgeschützte Root-Dateisysteme einschränken

Konfigurationsprüfung mit CIS-Benchmarks

Prüfen Sie Clusterkonfigurationen basierend auf CIS-Benchmarks für Kubernetes. Beheben Sie Verstöße schneller mit geführter Fehlerbehebung. Führen Sie nach Bedarf Auswertungen aus und erzeugen Sie detaillierte Berichte, um Zertifizierungsaudits problemlos zu bestehen.

Laufzeit-Bedrohungserkennung

Ermitteln Sie ungewöhnliche Aktivitäten mithilfe von durch die Community entwickelten Richtlinien (d. h. MITRE, FIM, Cryptomining usw.), die auf dem Open-Source-Projekt Falco beruhen. Erstellen Sie präzise Regeln unter Nutzung von aussagekräftigem Kontext aus den Cloudanbieter- und Kubernetes-Umgebungen. Sparen Sie Zeit mit vordefinierten Regeln und ML-basierter Image-Profilerstellung, statt Richtlinien komplett neu erstellen zu müssen.

API-Sicherheit mit Audit-Logs

Senden Sie basierend auf API-Audit-Logs Benachrichtigungen darüber, wer welche Aktion auf Kubernetes-API-Ebene durchgeführt hat. Sie können beispielsweise Folgendes erkennen:

Erstellung und Zerstörung von Pods, Diensten, Bereitstellungen, DaemonSets usw.
Erstellung/Aktualisierung/Entfernung von Konfigurationszuordnungen oder -Secrets
Versuche zur Anmeldung für Änderungen an Endpunkten

Kubernetes-native Mikrosegmentierung

Generieren Sie automatisch Least-Privilege-Netzwerkrichtlinien anhand aussagekräftiger Anwendungs- und Kubernetes-Metadaten. Sie können die Topologie visuell überprüfen, bevor Sie sie in der Produktion anwenden. Über eine einfache Schnittstelle ändern Sie Richtlinien ganz einfach, ohne die YAML ändern zu müssen.

Umfassende Einsichten in Kubernetes

Mithilfe dynamischer Topologie-Maps erhalten Sie umfassende Einsichten in Anwendungen und Dienste in Kubernetes. Visualisieren Sie Systemaufrufdaten (Verbindungen, Latenz, CPU-Auslastung usw.) mit Kubernetes- und Cloudkontext.

Reaktion auf Vorfälle und Forensik

Mithilfe präziser Daten, die um Kubernetes- und Cloud-Metadaten ergänzt werden, können Sie Maßnahmen zur Reaktion auf Vorfälle durchführen. Verfolgen Sie beispielsweise einen kube-exec-Befehl, beginnend bei einem Benutzer bis hin zur Systemaktivität (ausgeführte Befehle, hergestellte Verbindungen, Dateiaktivitäten usw.).

Schwachstellen in Kubernetes

Es werden immer wieder neue Schwachstellen in Kubernetes entdeckt. Lesen Sie mehr über die neuesten CVEs, die Ihre Cluster betreffen, und darüber, wie Sie Risiken minimieren können.

Detecting CVE-2020-14386 with Falco and mitigating potential container escapes (Entdeckung von CVE-2020-14386 mit Falco und Vermeidung potenzieller Ausbrüche aus Containern)
Detect CVE-2020-8557 using Falco (Entdeckung von CVE-2020-8557 mithilfe von Falco)
Understanding and mitigating CVE-2020-8566: Ceph cluster admin credentials leaks… (CVE-2020-8566 verstehen und eindämmen: Anmeldedaten eines Ceph-Cluster-Administrators offengelegt..)

Alle CVE-Blogs lesen

Aktivieren Sie Ihre 30-tägige Testversion in Minutenschnelle!

Umfassender Zugriff auf alle Features und Funktionen. Keine Kreditkarte erforderlich.

Kostenlos loslegen

Häufig gestellte Fragen

Q: Was ist Kubernetes?

A: Kubernetes ist eine Open-Source-Plattform zur Verwaltung von automatisierten Container-Bereitstellungen, Skalierungen, Workloads und Diensten. Kubernetes wurde ursprünglich von Google entwickelt und wird mittlerweile von der CNCF (Cloud Native Computing Foundation) verwaltet. Kubernetes hat zum Zweck, die Vorgänge, die Bereitstellung und die Skalierung von Anwendungs-Containern über Host-Cluster hinweg zu automatisieren. Clouddienste vieler Anbieter bieten nun eine eigene Version von Kubernetes an.

Q: Welche Vorteile bietet die Nutzung von Kubernetes?

A: Container bündeln und führen Ihre Anwendungen auf effektive Art und Weise aus. In Produktionsumgebungen müssen die Container, in denen Ihre Anwendungen ausgeführt werden, ohne Ausfallzeiten verwaltet werden. Bei Kubernetes handelt es sich um ein Framework, das verteilte Systeme stabil verwaltet. Darüber hinaus verwaltet es die Skalierung und das Failover Ihrer containerisierten Anwendungen. Kubernetes speichert und verwaltet sensible Informationen, startet fehlgeschlagene Container neu, automatisiert Rollbacks und Rollouts, und verwaltet automatisierte Bereitstellungen von Speichersystemen.

Q: Was ist Kubernetes-Sicherheit?

A: Kubernetes-Sicherheitsmechanismen schützen Sie vor containerbasierten Angriffen. Diese Angriffe werden häufig von Hackern ausgeführt, die Schwachstellen in Container-Basis-Images oder sogar externen Bibliotheken ausnutzen. Auch fehlerhafte Konfigurationen von Clustern können dafür verantwortlich sein, dass schädliche Aktivitäten zur Laufzeit unentdeckt bleiben oder dafür sorgen, dass die Compliance cloudnativer Anwendungen gefährdet wird. Deswegen müssen Ihre Teams Sicherheit und Compliance über den gesamten Kubernetes-Lebenszyklus hinweg integrieren. Durch native Kontrollen wie PodSecurityPolicies können Sie Angriffe zur Rechteausweitung verhindern und Bedrohungen zur Laufzeit abwehren. Mit dem Open-Source-Projekt Falco können Sie schädliche Aktivitäten zur Laufzeit erkennen und Benachrichtigungen dazu versenden. Mit einem Kubernetes-Sicherheitstool, das Teil Ihres DevOps-Ökosystems ist, können Sie die Sicherheitsrisiken im Zusammenhang mit der Cloud unter Kontrolle halten.

Q: Was ist ein Kubernetes-Cluster?

Kubernetes bündelt unterschiedliche Knoten in einem Cluster, um cloudnative Anwendungen ausführen zu können. Der Kubernetes-Cluster umfasst mindestens einen Master-Knoten und einen Worker-Knoten. Der Master-Knoten verwaltet den gewünschten Status des Clusters, beispielsweise welche Anwendungen ausgeführt werden und welche Container-Images sie verwenden, und steuert den Worker-Knoten direkt. Die eigentliche Ausführung der Anwendungen und Workloads erfolgt über die Worker-Knoten. Wenn Sie Programme auf dem Cluster bereitstellen, verteilt der Master-Knoten die Aufgaben intelligent auf die einzelnen Knoten. Wenn Knoten hinzugefügt oder entfernt werden, verwaltet Kubernetes Ihren Cluster automatisch, damit er dem gewünschten Status entspricht.

Q: Was ist der Unterschied zwischen Kubernetes und Docker?

Kubernetes und Docker sind grundlegend verschiedene Technologien, die gut kombiniert werden können, um containerisierte Anwendungen zu erstellen, bereitzustellen und zu skalieren. Docker verpackt Software oder Microservices in einem Container, um sie portabler zu machen. Kubernetes ist der Orchestrierer, mit dem Sie mehrere Docker-Container im großen Stil skalieren und verwalten können.

Das könnte Sie ebenfalls interessieren

“Ein entscheidender Pluspunkt von Sysdig war für uns, dass die Lösung unmittelbar kompatibel mit Kubernetes ist. Viele Sicherheitsaspekte rund um Kubernetes sind neu und es ist am Anfang recht schwierig, alles in den Griff zu bekommen. Sysdig hilft uns da in vielen Punkten weiter und wir müssen nicht viel Aufwand für das Verwalten des Sysdig-Stacks betreiben. Das macht unsere Arbeit letztendlich einfacher, sodass wir uns auf das Debuggen unseres eigenen Stacks konzentrieren können.”
Ryan Staatz, Systems Architect at LogDNA

Read the Case Study

Kubernetes-Sicherheit mit Sysdig Secure

Bedenkenlose Ausführung in Kubernetes

Image-scanning

LückenloseCompliance

Laufzeit-Bedrohungserkennung

Netzwerksicherheit

Reaktion auf Vorfälle und Forensik

Riskante Images über Zugangskontrolle verhindern

Least-Privilege-Zugriffskontrolle für Workloads

Konfigurationsprüfung mit CIS-Benchmarks

Laufzeit-Bedrohungserkennung

API-Sicherheit mit Audit-Logs

Kubernetes-native Mikrosegmentierung

Umfassende Einsichten in Kubernetes

Reaktion auf Vorfälle und Forensik

Schwachstellen in Kubernetes

Aktivieren Sie Ihre 30-tägige Testversion in Minutenschnelle!

Häufig gestellte Fragen

Das könnte Sie ebenfalls interessieren

Lückenlose
Compliance