Build-Time Security: Nach links schieben

Dieser Abschnitt führt dich anhand von Beispielen durch verschiedene Aspekte der Build-Time-Sicherheit .

Sicherheit während des Einsatzes

Der nächste Schritt zur Sicherung von Workloads ist die Sicherung der Bereitstellung. Dazu musst du deinen Kubernetes-Cluster, in dem die Arbeitslasten bereitgestellt werden, absichern. Du musst die Konfiguration des Kubernetes-Clusters genau überprüfen, um sicherzustellen, dass sie den bewährten Methoden für die Sicherheit entspricht. Beginne damit, ein Vertrauensmodell für die verschiedenen Komponenten deines Clusters zu erstellen. Ein Vertrauensmodell ist ein Rahmen, in dem du ein Bedrohungsprofil überprüfst und Mechanismen definierst, um darauf zu reagieren. Du solltest Tools wie rollenbasierte Zugriffskontrolle (RBAC), Label-Taxonomien, Label-Governance und Zugangskontrollen nutzen, um das Vertrauensmodell zu entwerfen und umzusetzen. Dabei handelt es sich um Mechanismen zur Kontrolle des Zugriffs auf Ressourcen sowie um Kontrollen und Validierungen, die bei der Erstellung von Ressourcen angewendet werden. Diese Themen werden in den Kapiteln 3, 4 und7 ausführlich behandelt. Die anderen kritischen Komponenten deines Clusters sind der Kubernetes-Datenspeicher und der Kubernetes-API-Server. Wenn du das Vertrauensmodell für diese Komponenten entwirfst, musst du auf Details wie Zugriffskontrolle und Datensicherheit achten. Wir empfehlen dir, starke Anmeldeinformationen, eine Public Key Infrastructure (PKI) für den Zugang und Transport Layer Security (TLS) für die Verschlüsselung der Daten während der Übertragung zu verwenden. Die Absicherung der Kubernetes APT und des Datenspeichers wird in Kapitel 2 ausführlich behandelt.

Du solltest den Kubernetes-Cluster, in dem geschäftskritische Workloads eingesetzt werden, als eine Einheit betrachten und dann ein Vertrauensmodell für diese Einheit entwerfen. Dazu musst du die Sicherheitskontrollen am Perimeter überprüfen, was aufgrund der Kubernetes-Bereitstellungsarchitekturen eine Herausforderung darstellt; wir werden dies im nächsten Abschnitt behandeln. Nehmen wir an, dass die aktuellen Produkte, die am Perimeter eingesetzt werden, wie z. B. Web-Zugriffskontroll-Gateways und Firewalls der nächsten Generation, die Architektur von Kubernetes nicht kennen. Wir empfehlen dir, dieses Problem zu lösen, indem du Integrationen mit diesen Geräten erstellst, die ihnen den Kontext des Kubernetes-Clusters bekannt machen, damit sie die Sicherheitskontrollen am Perimeter effektiv anwenden können. Auf diese Weise kannst du eine sehr effektive Sicherheitsstrategie entwickeln, bei der die Perimeter-Sicherheitsgeräte mit den Sicherheitsmaßnahmen innerhalb deines Kubernetes-Clusters zusammenarbeiten. Angenommen, du möchtest, dass diese Geräte die Identität deiner Workloads kennen (IP-Adresse, TCP/UDP-Port usw.). Diese Geräte können die Hosts, aus denen dein Kubernetes-Cluster besteht, wirksam schützen, aber in den meisten Fällen können sie nicht zwischen den Arbeitslasten unterscheiden, die auf einem einzelnen Host laufen. Wenn du in einer Cloud-Provider-Umgebung arbeitest, kannst du Sicherheitsgruppen verwenden. Dabei handelt es sich um virtuelle Firewalls, die die Zugriffskontrolle auf eine Gruppe von Knoten (z. B. EC2-Instanzen in Amazon Web Services) ermöglichen, auf denen Workloads laufen. Sicherheitsgruppen sind besser auf die Kubernetes-Architektur abgestimmt als herkömmliche Firewalls und Sicherheitsgateways. Allerdings kennen auch Sicherheitsgruppen nicht den Kontext der Arbeitslasten, die innerhalb des Clusters laufen.

Zusammenfassend lässt sich sagen, dass du ein Vertrauensmodell für deinen Kubernetes-Cluster implementieren und eine effektive Integration mit Perimeter-Sicherheitsgeräten zum Schutz deines Clusters aufbauen musst, wenn du über die Sicherheit bei der Bereitstellung nachdenkst.

Laufzeitsicherheit

Nachdem du nun eine Strategie zur Sicherung der Build- und Deployment-Phasen hast, musst du dir Gedanken über die Laufzeitsicherheit machen. Der Begriff Laufzeitsicherheit wird für verschiedene Aspekte der Absicherung eines Kubernetes-Clusters verwendet, z. B. auf einem Host, auf dem Software läuft. Aber auch jede Konfiguration, die den Host und die Workloads vor unbefugten Aktivitäten schützt (z. B. Systemaufrufe, Dateizugriff), wird als Laufzeitsicherheit bezeichnet. Kapitel 4 befasst sich ausführlich mit der Host- und Workload-Laufzeitsicherheit. In diesem Abschnitt konzentrieren wir uns auf die bewährten Methoden, die für den sicheren Betrieb des Kubernetes-Cluster-Netzwerks erforderlich sind. Kubernetes ist ein Orchestrator, der Workloads und Anwendungen in einem Netzwerk von Hosts bereitstellt. Die Netzwerksicherheit ist ein sehr wichtiger Aspekt der Laufzeitsicherheit.

Kubernetes verspricht eine höhere Agilität und eine effizientere Nutzung der Rechenressourcen im Vergleich zur statischen Partitionierung und Bereitstellung von Servern oder VMs. Dies geschieht durch die dynamische Planung von Arbeitslasten im gesamten Cluster unter Berücksichtigung der Ressourcennutzung auf jedem Knoten und die Verbindung von Arbeitslasten über ein flaches Netzwerk. Wenn eine neue Arbeitslast bereitgestellt wird, kann der entsprechende Pod standardmäßig auf einem beliebigen Knoten im Cluster mit einer beliebigen IP-Adresse innerhalb der Pod-IP-Adresse eingeplant werden. Wenn der Pod später woanders eingeplant wird, erhält er normalerweise eine andere IP-Adresse. Das bedeutet, dass IP-Adressen von Pods als flüchtig zu betrachten sind. Die IP-Adressen der Pods oder ihr Standort im Netzwerk haben keine langfristige oder besondere Bedeutung.

Betrachten wir nun die traditionellen Ansätze zur Netzwerksicherheit. In der Vergangenheit wurde die Netzwerksicherheit in Unternehmensnetzwerken mit Sicherheits-Appliances (oder virtuellen Versionen von Appliances) wie Firewalls und Routern umgesetzt. Die Regeln, die von diesen Appliances durchgesetzt wurden, basierten oft auf einer Kombination aus der physischen Topologie des Netzwerks und der Zuweisung bestimmter IP-Adressbereiche an verschiedene Klassen von Arbeitslasten.

Da Kubernetes auf einem flachen Netzwerk ohne besondere Bedeutung für die IP-Adressen der Pods basiert, sind nur sehr wenige dieser traditionellen Appliances in der Lage, eine sinnvolle Workload-bezogene Netzwerksicherheit zu bieten und müssen stattdessen den gesamten Cluster als eine Einheit behandeln. Hinzu kommt, dass der Ost-West-Verkehr zwischen zwei Pods, die auf demselben Knoten gehostet werden, nicht einmal über das zugrunde liegende Netzwerk läuft. Diese Appliances sehen diesen Datenverkehr also überhaupt nicht und sind im Wesentlichen auf die Nord-Süd-Sicherheit beschränkt, die den Datenverkehr, der von externen Quellen in den Cluster gelangt, und den Datenverkehr, der von innerhalb des Clusters zu Quellen außerhalb des Clusters geht, schützt.

Angesichts all dessen sollte klar sein, dass Kubernetes einen neuen Ansatz für die Netzwerksicherheit erfordert. Dieser neue Ansatz muss ein breites Spektrum an Überlegungen abdecken, darunter:

• Neue Wege zur Durchsetzung der Netzwerksicherheit (welche Workloads dürfen mit welchen anderen Workloads kommunizieren), die nicht auf speziellen Bedeutungen von IP-Adressen oder der Netzwerktopologie beruhen und auch dann funktionieren, wenn der Datenverkehr nicht das zugrunde liegende Netzwerk durchquert; die Kubernetes-Netzwerkrichtlinie ist darauf ausgelegt, diese Anforderungen zu erfüllen.

• Neue Tools zur Verwaltung von Netzwerkrichtlinien, die neue Entwicklungsprozesse und den Wunsch nach Microservices unterstützen, um die organisatorische Flexibilität zu erhöhen, wie z. B. Richtlinienempfehlungen, Vorschauen auf die Auswirkungen von Richtlinien und Policy Staging.

• Neue Möglichkeiten, den Netzwerkverkehr zu überwachen und zu visualisieren. Dabei geht es sowohl um ganzheitliche Ansichten auf Clusterebene (z. B. wie man das gesamte Netzwerk und den Netzwerksicherheitsstatus des Clusters einfach einsehen kann) als auch um gezielte topografische Ansichten, um eine Reihe von Microservices aufzuschlüsseln und so bei der Fehlerbehebung oder Diagnose von Anwendungsproblemen zu helfen.

• Neue Wege zur Erkennung von Eindringlingen und zur Abwehr von Bedrohungen, einschließlich Warnmeldungen bei Richtlinienverstößen, Erkennung von Netzwerkanomalien und integrierte Bedrohungsmeldungen.

• Neue Abhilfe-Workflows, damit potenziell gefährdete Workloads während der forensischen Untersuchung schnell und sicher isoliert werden können.

• Neue Mechanismen zur Überprüfung von Konfigurations- und Richtlinienänderungen auf Einhaltung der Vorschriften.

• Neue Mechanismen für das Auditing von Konfigurations- und Richtlinienänderungen sowie Kubernetes-bezogene Netzwerkflussprotokolle, um Compliance-Anforderungen zu erfüllen (da herkömmliche Netzwerkflussprotokolle IP-basiert sind und im Kontext von Kubernetes wenig langfristige Bedeutung haben).

Wir werden ein Beispiel für eine typische Kubernetes-Bereitstellung in einem Unternehmen betrachten, um diese Herausforderungen zu verstehen. Abbildung 1-2 ist eine Darstellung eines gängigen Bereitstellungsmodells für Kubernetes und Microservices in einer Multi-Cloud-Umgebung. In einer Multi-Cloud-Umgebung setzt ein Unternehmen Kubernetes bei mehr als einem Cloud-Provider ein (Amazon Web Services, Google Cloud usw.). Eine hybride Cloud-Umgebung ist eine Umgebung, in der ein Unternehmen Kubernetes in mindestens einem Cloud-Provider einsetzt und eine Kubernetes-Installation vor Ort in seinem Rechenzentrum. Die meisten Unternehmen verfolgen eine Dual-Cloud-Strategie und betreiben Cluster in Amazon Web Services (AWS), Microsoft Azure oder Google Cloud; mehr Unternehmen haben auch einige Legacy-Anwendungen in ihren Rechenzentren laufen. Die Workloads im Rechenzentrum befinden sich wahrscheinlich hinter einem Sicherheitsgateway, das den Datenverkehr filtert, der über den Perimeter hereinkommt. Microservices, die in diesen Kubernetes-Implementierungen laufen, haben wahrscheinlich auch eine oder mehrere Abhängigkeiten von:

• Andere Cloud-Dienste wie AWS RDS oder Azure DB

• API-Endpunkte von Drittanbietern wie Twilio

• SaaS-Dienste wie Salesforce oder Zuora

• Datenbanken oder Legacy-Anwendungen, die im Rechenzentrum laufen

Die Workloads im Rechenzentrum befinden sich wahrscheinlich hinter einem Sicherheitsgateway, das den über den Perimeter eingehenden Datenverkehr filtert.

Observability in Kubernetes ist die Fähigkeit, aus gesammelten Metriken verwertbare Erkenntnisse über den Zustand von Kubernetes abzuleiten (mehr dazu später). Obwohl Observability auch in anderen Bereichen wie der Überwachung und Fehlerbehebung Anwendung findet, ist sie auch im Kontext der Netzwerksicherheit wichtig. Observability-Konzepte, die auf Flow-Logs in Verbindung mit anderen Kubernetes-Metadaten (Pods-Labels, Policies, Namensräume usw.) angewendet werden, dienen dazu, die Kommunikation zwischen Pods in einem Kubernetes-Cluster zu überwachen (und dann abzusichern), bösartige Aktivitäten durch den Vergleich von IP-Adressen mit bekannten bösartigen IP-Adressen zu erkennen und auf maschinellem Lernen basierende Verfahren zur Erkennung bösartiger Aktivitäten einzusetzen. Diese Themen werden im nächsten Abschnitt behandelt. Wie du in Abbildung 1-2 sehen kannst, stellt die Kubernetes-Bereitstellung eine Herausforderung dar, da die Daten in den einzelnen Clustern in Silos gespeichert sind und die Sichtbarkeit verloren gehen kann, wenn ein Workload in einem Cluster mit einem Workload in einem anderen Cluster oder mit einem externen Dienst verknüpft wird.

Abbildung 1-2. Beispiel für einen Kubernetes-Einsatz in einem Unternehmen

Wie in Abbildung 1-2 dargestellt, reicht der Footprint einer Microservices-Anwendung in der Regel über die Grenzen der Virtual Private Cloud (VPC) hinaus, und die Sicherung dieser Anwendungen erfordert einen anderen Ansatz als den traditionellen Perimeter-Sicherheitsansatz. Es ist eine Kombination aus Netzwerksicherheitskontrollen, Beobachtbarkeit, Bedrohungsabwehr und Unternehmenssicherheitskontrollen. Wir werden jeden dieser Punkte als Nächstes behandeln.

Beobachtbarkeit

Die Beobachtbarkeit ist sehr nützlich für die Überwachung und Sicherung eines verteilten Systems wie Kubernetes. Kubernetes abstrahiert viele Details, und um ein solches System zu überwachen, kannst du keine einzelnen Metriken (wie einen einzelnen Netzwerkfluss, ein Pod-Erstellungs-/Destroy-Ereignis oder eine CPU-Spitze auf einem Knoten) erfassen und unabhängig voneinander überwachen. Wir brauchen eine Möglichkeit, diese Kennzahlen im Kontext der Kubernetes zu überwachen. Ein Pod, der mit einem Dienst oder einem Deployment verbunden ist, wird beispielsweise neu gestartet und läuft als eine andere Binary im Vergleich zu seinen Peers, oder eine Pod-Aktivität (Netzwerk, Dateisystem, Kernel-Systemaufrufe) unterscheidet sich von anderen Pods im Deployment. Noch komplexer wird es, wenn du eine Anwendung betrachtest, die mehrere Dienste (Microservices) umfasst, die wiederum von mehreren Pods unterstützt werden.

Observability ist nützlich bei der Fehlersuche und der Überwachung der Sicherheit von Workloads in Kubernetes. Mit Observability im Kontext eines Dienstes in Kubernetes kannst du z. B. Folgendes tun:

• Visualisiere deinen Kubernetes-Cluster als Service-Diagramm, das zeigt, wie Pods mit Services verbunden sind und wie die Kommunikation zwischen den Services abläuft

• Überlagerung von Anwendungs- (Layer 7) und Netzwerkverkehr (Layer 3/Layer 4) auf dem Service-Diagramm als getrennte Schichten, die es dir ermöglichen, Verkehrsmuster und Verkehrslast für Anwendungen und für das zugrunde liegende Netzwerk leicht zu bestimmen

• Zeigen Sie die Metadaten des Knotens an, auf dem ein Pod eingesetzt wird (z. B. Details zu CPU, Speicher oder Host-Betriebssystem).

• Metriken zum Betrieb eines Pods, zur Verkehrslast, zur Anwendungslatenz (z. B. HTTP-Dauer), zur Netzwerklatenz (Netzwerk-Roundtrip-Zeit) oder zum Pod-Betrieb (z. B. RBAC-Richtlinien, Servicekonten oder Container-Neustarts) anzeigen

• DNS-Aktivität (DNS-Antwortcodes, Latenz, Last) für einen bestimmten Dienst (Pods, die den Dienst unterstützen) anzeigen

• Verfolge eine Benutzertransaktion, die eine Kommunikation über mehrere Dienste hinweg erfordert; dies wird auch als verteiltes Tracing bezeichnet

• Ansicht der Netzwerkkommunikation eines bestimmten Dienstes mit externen Stellen

• Kubernetes-Aktivitätsprotokolle (z. B. Audit-Protokolle) für Pods und Ressourcen, die mit einem bestimmten Dienst verbunden sind, anzeigen.

Wir werden die Details der Beobachtbarkeit und Beispiele dafür, wie sie zur Sicherheit beitragen kann, in den folgenden Kapiteln behandeln. In dieser Diskussion werden wir kurz beschreiben, wie du Beobachtbarkeit als Teil deiner Sicherheitsstrategie nutzen kannst.

Sicherheits-Frameworks

Schließlich möchten wir dich noch auf die Sicherheits-Frameworks aufmerksam machen, die der Branche eine gemeinsame Methodik und Terminologie für bewährte Methoden im Sicherheitsbereich bieten. Sicherheitsframeworks sind eine gute Möglichkeit, um Angriffstechniken und bewährte Methoden zur Abwehr und Entschärfung von Angriffen zu verstehen. Du solltest sie nutzen, um deine Sicherheitsstrategie zu entwickeln und zu validieren. Bitte beachte, dass diese Frameworks nicht unbedingt spezifisch für Kubernetes sind, aber sie bieten Einblicke in die Techniken, die von Angreifern bei Angriffen verwendet werden, und Sicherheitsforscher müssen prüfen, ob sie für Kubernetes relevant sind. Wir werden zwei bekannte Frameworks untersuchen - MITRE und Threat Matrix für Kubernetes.

MITRE

MITRE ist eine Wissensdatenbank über Taktiken und Techniken von Angreifern basierend auf realen Beobachtungen von Cyberangriffen. Die MITRE ATT&CK® Matrix für Unternehmen ist nützlich, weil sie die Taktiken und Techniken für jede Stufe der Cybersecurity-Kill-Chain kategorisiert. Die Kill Chain ist eine Beschreibung der Phasen eines Cyberangriffs und ist nützlich, um eine effektive Verteidigung gegen einen Angriff aufzubauen. MITRE bietet auch eine Angriffsmatrix, die auf Cloud-Umgebungen wie AWS, Google Cloud und Microsoft Azure zugeschnitten ist.

Abbildung 1-3 beschreibt die MITRE ATT&CK® Matrix für AWS. Wir empfehlen dir, jede der in der Angriffsmatrix beschriebenen Phasen zu überprüfen, wenn du dein Bedrohungsmodell zur Sicherung deines Kubernetes-Clusters erstellst.

Abbildung 1-3. Angriffsmatrix für Cloud-Umgebungen in AWS

Bedrohungsmatrix für Kubernetes

Das andere Framework ist eine Bedrohungsmatrix , die eine Kubernetes-spezifische Anwendung der generischen MITRE-Angriffsmatrix ist. Sie wurde vom Microsoft-Team auf der Grundlage von Sicherheitsforschung und realen Angriffen veröffentlicht. Dies ist eine weitere hervorragende Ressource, um deine Sicherheitsstrategie zu entwickeln und zu validieren.

Abbildung 1-4 zeigt die Phasen, die für deinen Kubernetes-Cluster relevant sind. Sie entsprechen den verschiedenen Phasen, die wir in diesem Kapitel besprochen haben. So solltest du beispielsweise die kompromittierten Images in der Registry in der Phase des Erstzugriffs, die Cloud-Ressourcen in der Phase der Privilegienerweiterung und das interne Netzwerk des Clusters in der Phase der lateralen Bewegung für die Build-, Deploy- und Runtime-Sicherheit berücksichtigen.

Abbildung 1-4. Bedrohungsmatrix für Kubernetes