Um Cloud-native Anwendungen besser zu schützen und CI/CD-Pipelines sicher und konform zu betreiben, benötigen Unternehmen neue Strategien.
Containerisierte Anwendungen und Kubernetes-Infrastrukturen rücken immer stärker in den Fokus von Angreifern. Mit herkömmlichen Security-Produkten lassen sich die hochdynamischen Umgebungen aber nicht ausreichend vor wachsenden Risiken schützen.
Um der neuen Bedrohungslage proaktiv zu begegnen, setzen daher immer mehr Unternehmen auf eine Zero-Trust-Strategie. Dieses Sicherheitskonzept geht davon aus, dass Benutzern, Anwendungen, Netzwerken, Servern, Diensten und APIs – egal ob intern oder extern – nicht vertraut werden kann, bis das Gegenteil bewiesen ist.
Wie lässt sich das Zero-Trust-Prinzip in einer Container-Umgebung anwenden? Darüber spricht Holger Moenius in seinem Vortrag. Fünf Maßnahmen sind dabei aus seiner Sicht besonders wichtig:
- Schützen Sie die gesamte Container Supply Chain
Um die gesamte Lieferkette vor Bedrohungen zu schützen, müssen IT-Abteilungen darauf achten, dass alle Komponenten – einschließlich der Kubernetes-Software selbst – aus vertrauenswürdigen Quellen stammen. Bevor Container-Images in einer Umgebung eingesetzt werden, sollten sie daher einen umfassenden Verifizierungsprozess durchlaufen. Nur mit verifizierten Images stellen Sie sicher, dass Ihre Cluster nicht durch kompromittierte Container oder bösartigen Code gefährdet werden.
- Schließen Sie durch Automatisierung Fehlerquellen aus
In hochdynamischen Kubernetes-Umgebungen ist es wichtig, die Schutzmaßnahmen so weit wie möglich zu automatisieren. Ein wichtiges Werkzeug dafür sind zum Beispiel Custom Resource Definitions (CRDs). DevOps-Teams können damit das zulässige Verhalten ihrer Container-Workloads deklarieren, das dann in einer Produktionsumgebung automatisch überwacht wird.
- Identifizieren Sie Schwachstellen durch regelmäßige Vulnerability Scans
Mittlerweile gibt es eine Vielzahl von Lösungen für das Schwachstellenmanagement im Container-Umfeld. Automatisierte Tools liefern in Echtzeit einen schnellen Überblick über bekannte Schwachstellen und geben Empfehlungen zu deren Behebung. Anomalie-basierte Verfahren sind darüber hinaus in der Lage, neue Schwachstellen zu erkennen, die von Angreifern ausgenutzt werden. Mit virtuellen Patch-Funktionen können IT-Abteilungen auch diese Zero-Day-Exploits zuverlässig blockieren.
- Kontrollieren Sie die Container-Kommunikation durch Segmentierung
Die Container-Segmentierung in Kubernetes-Clustern sorgt dafür, dass nur autorisierte Kommunikation zwischen Anwendungen erlaubt ist und nicht autorisierte Kommunikation konsequent eingeschränkt wird. Dies erleichtert es, unbefugte Zugriffe zu verhindern und individuelle Sicherheitsrichtlinien für verschiedene Gruppen von Anwendungen durchzusetzen.
- Vergeben Sie Zugriffsrechte nach dem Least-Privilege-Prinzip
Rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC) in Kubernetes-Umgebungen stellt sicher, dass Benutzer nur die Aktionen ausführen können, für die sie berechtigt sind. Gehen Sie bei der Vergabe von Zugriffsrechten immer restriktiv vor und beschränken Sie den Zugriff auf die Daten und Ressourcen, die für die jeweilige Aufgabe tatsächlich benötigt werden.
Container-Umgebungen lassen sich nur mit weitgehend automatisierten Sicherheitsarchitekturen vor wachsenden Cyberrisiken schützen. Eine Lösung, die genau dafür entwickelt wurde, ist NeuVector Prime. Die Container-Security-Plattform integriert unterschiedliche Schlüsseltechnologien wie Zero-Trust-Security, WAF und CVE-Scans, um die gesamte Container-Pipeline von der Erstellung über die Auslieferung bis zur Ausführung automatisch abzusichern.
NeuVector Prime hilft Unternehmen zudem, Compliance-Richtlinien bei der Umstellung auf Kubernetes und Cloud-native Infrastrukturen zu erfüllen. Um das Reporting für Audits zu vereinfachen, bietet NeuVector Prime vorkonfigurierte, anpassbare Berichte für PCI, DSGVO, HIPAA und NIST-Compliance. Damit wird Compliance out-of the-box im Container-Umfeld möglich.
Weitere Informationen über NeuVector Prime finden Sie hier
