{"id":14688,"date":"2025-08-27T03:55:31","date_gmt":"2025-08-27T03:55:31","guid":{"rendered":"https:\/\/newestek.com\/?p=14688"},"modified":"2025-08-27T03:55:31","modified_gmt":"2025-08-27T03:55:31","slug":"kubernetes-security-wie-sie-ihre-cluster-besser-absichern","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14688","title":{"rendered":"Kubernetes Security: Wie Sie Ihre Cluster (besser) absichern"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><\/figure>\n<p class=\"imageCredit\">Anatoliy Eremin | shutterstock.com<\/p>\n<\/div>\n<p>Kubernetes hat sich unter Enterprise-Softwareentwicklern zu <a title=\"einem durchschlagenden Erfolg\" href=\"https:\/\/www.computerwoche.de\/article\/2813900\/kubernetes-zu-managen-ist-fuer-uns-nicht-schwer.html\" target=\"_blank\">einem durchschlagenden Erfolg<\/a> entwickelt. Das veranlasst kriminelle Hacker zunehmend dazu, entsprechende Installationen mit speziell entwickelten <a title=\"Exploits\" href=\"https:\/\/www.csoonline.com\/article\/3494378\/vulnerability-management-wie-angreifer-exploits-kombinieren.html\" target=\"_blank\">Exploits<\/a> anzugreifen. Dabei werden die Bedrohungsakteure immer besser darin, ihre Schadsoftware zu verstecken, (triviale) Sicherheitskontrollen zu umgehen und sich lateral durch Netzwerke zu bewegen, um weiteren Schaden anzurichten.<\/p>\n<p>Wie die von Sicherheitsanbietern wie Palo Alto, Wiz und Aqua Security eigens aufgesetzten Kubernetes-Honeypots demonstrieren, vergehen inzwischen <a href=\"https:\/\/www.datocms-assets.com\/75231\/1699470366-from-exposure-to-discovery-how-long-does-it-take-for-a-newly-created-cluster-to-get-malicious-scans.png?fm=webp\" title=\"im ung\u00fcnstigsten Fall lediglich knapp zwanzig Minuten\" target=\"_blank\" rel=\"noopener\">im ung\u00fcnstigsten Fall lediglich knapp zwanzig Minuten<\/a>, bis erste Angriffsversuche auf neu erstellte Kubernetes-Cluster erfolgen. Dabei werden die bekannten TCP\/IP-Ports gescannt, die etwa von <a href=\"https:\/\/www.csoonline.com\/article\/3493005\/backup-von-kubernetes-co-wie-sie-container-vor-ransomware-schutzen.html\" title=\"Containern\" target=\"_blank\">Containern<\/a> genutzt werden, um untereinander zu kommunizieren. Solche vorgelagerten Scans laufen demnach t\u00e4glich Dutzende Male ab \u2013 was ein Hinweis darauf ist, dass die kriminellen Hacker auf automatisierte Kompromittierung setzen.<\/p>\n<p>Zwar gibt es einige Best Practices im Bereich <a href=\"https:\/\/www.csoonline.com\/article\/3492981\/missbrauch-von-yaml-datei-neue-kubernetes-schwachstelle-gefahrdet-windows-hosts.html\" title=\"Kubernetes Security\" target=\"_blank\">Kubernetes Security<\/a> \u2013 diese sind allerdings nicht weitl\u00e4ufig bekannt. Zudem erfordern sie teilweise spezielles Knowhow, <a href=\"https:\/\/www.computerwoche.de\/article\/2811568\/15-tools-gegen-die-container-komplexitaet.html\" title=\"Tools\" target=\"_blank\">Tools<\/a> und Taktiken, die sich ganz wesentlich von dem unterscheiden, was n\u00f6tig ist, um gew\u00f6hnliche Cloud-Instanzen oder virtuelle Maschinen abzusichern. Dieser Artikel analysiert zun\u00e4chst ausf\u00fchrlich die Kubernetes-Bedrohungslandschaft. Anschlie\u00dfend erfahren Sie, wie Sie Ihre Cluster (besser) absichern.<\/p>\n<h3 class=\"wp-block-heading\" id=\"die-kubernetes-bedrohungslandschaft\">Die Kubernetes-Bedrohungslandschaft<\/h3>\n<p>Wie komplex die Datenfl\u00fcsse, Abh\u00e4ngigkeiten und Prozesse der Kubernetes-Landschaft miteinander verwoben sind, dar\u00fcber gibt ein <a href=\"https:\/\/www.cncf.io\/blog\/2019\/08\/19\/how-kubernetes-works\/\" title=\"Blogbeitrag der Cloud Native Computing Foundation\" target=\"_blank\" rel=\"noopener\">Blogbeitrag der Cloud Native Computing Foundation<\/a> (CNCF) Aufschluss. S\u00e4mtliche Komponenten m\u00fcssen dabei jeweils mit eigenen Methoden abgesichert werden, um:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p> die Kommunikation zu verschl\u00fcsseln,<\/p>\n<\/li>\n<li>\n<p> Container, Storage Repositories und User angemessen zu authentifizieren sowie<\/p>\n<\/li>\n<li>\n<p> Container vor Exploits zu sch\u00fctzen.<\/p>\n<\/li>\n<\/ul>\n<p><a href=\"https:\/\/documents.trendmicro.com\/images\/TEx\/articles\/state-of-kubernetes-p1_fig05cwuB4N0.jpg\" target=\"_blank\" rel=\"noreferrer noopener\">Dieses Diagramm<\/a> (die Basis stammt von der CNCF, die Interpretation von Trend Micro) l\u00e4sst erahnen, wie steil die Lernkurve ist, wenn es darum geht, das komplexe Kubernetes-Beziehungsgeflecht zu durchdringen.<\/p>\n<p>Assaf Morag, Datenanalyst bei Aqua Security, erkl\u00e4rt, warum das so ist: \u201cDie Komplexit\u00e4t dieser Architektur wurde absichtlich geschaffen, denn <a href=\"https:\/\/www.computerwoche.de\/article\/2801739\/was-ist-kubernetes.html\" title=\"Kubernetes\" target=\"_blank\">Kubernetes<\/a> ist darauf konzipiert, den Benutzern Freiheiten, eine offene Architektur und ein standardm\u00e4\u00dfig offenes Sicherheitsmodell zu erm\u00f6glichen.\u201d Wie die Spezialisten von Palo Alto in ihrem \u201c<a href=\"https:\/\/start.paloaltonetworks.com\/complete-guide-kubernetes\" title=\"Complete Guide to Kubernetes Security\" target=\"_blank\" rel=\"noopener\">Complete Guide to Kubernetes Security<\/a>\u201d (Download gegen Daten) schreiben, ist das jedoch kein Grund zu verzweifeln. Die Tatsache, dass Kubernetes eine weitverbreitete Plattform mit vielen Integrationen sei, erleichtere es, automatisierte, systematische Prozesse zu entwickeln, die die Security zum Herzst\u00fcck des Kubernetes-Build- und Deployment-Prozesses machen.<\/p>\n<p>Diese inh\u00e4rente Offenheit von Kubernetes bedeutet jedoch auch: Es gibt kein allgemeines Security-Toolset, um das zu bewerkstelligen. Deshalb haben wir im Gespr\u00e4ch mit Cybersicherheitsexperten herausgefunden, wo der Schuh in Sachen Kubernetes-Sicherheit erfahrungsgem\u00e4\u00df am meisten dr\u00fcckt. Leider mussten wir diesbez\u00fcglich nicht lange suchen. Denn oft fallen mit Blick auf Container bereits <a href=\"https:\/\/www.computerwoche.de\/article\/2812179\/10-pflicht-tools-fuer-netzwerk-und-security-profis.html\" title=\"grundlegende Ma\u00dfnahmen der Netzwerksicherheit\" target=\"_blank\">grundlegende Ma\u00dfnahmen der Netzwerksicherheit<\/a> unter den Tisch. Dabei wird zum Beispiel vers\u00e4umt:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>Encryption Keys geheimzuhalten.<\/p>\n<\/li>\n<li>\n<p>komplexe Passw\u00f6rter festzulegen.<\/p>\n<\/li>\n<li>\n<p>verschiedene Segmentierungsschemata anzuwenden.<\/p>\n<\/li>\n<li>\n<p>dem Least-Privilege-Prinzip zu folgen.<\/p>\n<\/li>\n<\/ul>\n<p>Mit dem letztgenannten Basisvers\u00e4umnis h\u00e4ngt ein weiteres zusammen, wie Nathaniel Quist, Manager of Cloud Threat Intelligence bei Palo Alto Networks konstatiert: \u201cRollenbasierten Zugriff zu implementieren, kann sich diffiziler gestalten als bei anderen Cloud-Anwendungen. Das liegt am \u00e4u\u00dferst komplexen Modell von Kubernetes.\u201d<\/p>\n<p>Analysten von Aqua Security konnten im April 2023 einen der ersten <a href=\"https:\/\/blog.aquasec.com\/leveraging-kubernetes-rbac-to-backdoor-clusters\" title=\"Backdoor-Angriffe auf Kubernetes-Cluster\" target=\"_blank\" rel=\"noopener\">Backdoor-Angriffe auf Kubernetes-Cluster<\/a> \u00fcber rollenbasierte Zugangskontrollen beobachten. Dieser zielte laut den Experten auf mindestens sechzig unterschiedliche Cluster ab und f\u00fchrte zur erfolgreichen Installation von <a href=\"https:\/\/www.computerwoche.de\/article\/2770992\/cryptomining-wider-willen.html\" title=\"Cryptomining-Malware\" target=\"_blank\">Cryptomining-Malware<\/a>. Dabei wurden die Zugriffsrechte so manipuliert, dass die Schadsoftware \u00fcber Admin-Rechte verf\u00fcgte.<\/p>\n<p>Shay Berkovich, Threat Researcher bei Wiz, ordnet ein: \u201cDiese krypto-basierten Angriffe sind auf dem Vormarsch. Vor allem, weil sich Kubernetes-Cluster als hocheffiziente Execution-Plattformen ideal f\u00fcr solche Workloads eignen.\u201d Beispielhaft f\u00fchrt der Sicherheitsexperte die von seinem Arbeitgeber identifizierten Cryptomining-Angriffskampagnen <a href=\"https:\/\/www.wiz.io\/blog\/cryptojacking-attacks-summer-2023\" title='\"PyLoose\" und \"newhello\" an' target=\"_blank\" rel=\"noopener\">\u201cPyLoose\u201d und \u201cnewhello\u201d an<\/a>. Ein neues Ph\u00e4nomen ist Cryptomining-Malware in Zusammenhang mit Kubernetes allerdings nicht. E-Auto-Pionier Tesla wurde bereits <a href=\"https:\/\/arstechnica.com\/information-technology\/2018\/02\/tesla-cloud-resources-are-hacked-to-run-cryptocurrency-mining-malware\/\" title=\"im Jahr 2018 mit Malware infiltriert\" target=\"_blank\" rel=\"noopener\">im Jahr 2018 mit Malware infiltriert<\/a>, die Kryptow\u00e4hrungen sch\u00fcrft. Die Ursache war dabei offenbar ein unzureichend konfiguriertes Kubernetes-Dashboard. <\/p>\n<p>Venkat Thiruvengadam, CEO beim DevOps-Spezialisten DuploCloud, erg\u00e4nzt: \u201cDen Nutzern unter Einhaltung des Least-Privilege-Prinzips Zugriff auf die <a href=\"https:\/\/kubernetes.io\/docs\/concepts\/overview\/kubernetes-api\/\" title=\"Kubernetes-API\" target=\"_blank\" rel=\"noopener\">Kubernetes-API<\/a> zu erm\u00f6glichen, ist eine schwierige, aber entscheidende Aufgabe. Eine standardisierte und automatisierte Methode zu etablieren, um diesen Zugang zu gew\u00e4hrleisten, stellt einen essenziellen Schritt dar, um Kubernetes-Umgebungen sicher zu gestalten.\u201d<\/p>\n<p>Eine andere Herausforderung ergibt sich aus der verteilten Architektur von Kubernetes, wie Rani Sonat, SVP of Strategy bei Aqua Security, erkl\u00e4rt: \u201cAuch wenn es um Code geht, gilt: Zu viele K\u00f6che verderben den Brei. M\u00f6glicherweise gibt es jeweils eigene Teams, um Cluster zu betreiben, Entwicklungs-Pipelines zu managen und Zugriffskontrollen durchzusetzen. Wenn diese Teams nicht konsequent miteinander kommunizieren, kann ein Governance-Mangel entstehen.\u201d<\/p>\n<p>Laut Ami Lutwak, CTO bei Wiz, kann in einem solchen Setup auch die gemeinsame Nutzung von Code Repositories problematisch sein: \u201cDas kann zwar zur Effektivit\u00e4t beitragen, birgt aber auch Risiken, wenn der gemeinsam genutzte Code <a href=\"https:\/\/www.csoonline.com\/article\/3492659\/datenlecks-finden-so-verhindern-sie-repository-leaks.html\" title=\"kompromittiert wird\" target=\"_blank\">kompromittiert wird<\/a>. Getrennt arbeitende Teams sollten ihren Code auch in getrennten Clustern ausf\u00fchren. Das ist noch lange keine g\u00e4ngige Praxis.\u201d<\/p>\n<p>Das vielleicht gr\u00f6\u00dfte Problem in Sachen Kubernetes-Sicherheit ist jedoch, dass es im Handumdrehen Supply-Chain-Angriffe automatisieren kann \u2013 insbesondere in Zusammenhang mit offengelegten geheimen Informationen und Schl\u00fcsseln. Sicherheitsforscher von Aqua Security konnten im Rahmen von Recherchen hunderte von Datens\u00e4tzen identifizieren, die solche Geheimnisse offenlegten. Dazu durchsuchten die Experten die GitHub-API nach Anmeldeinformationen, wie sie in einem <a href=\"https:\/\/www.aquasec.com\/blog\/the-ticking-supply-chain-attack-bomb-of-exposed-kubernetes-secrets\/\" title=\"detaillierten Blogbeitrag beschreiben\" target=\"_blank\" rel=\"noopener\">detaillierten Blogbeitrag beschreiben<\/a>. \u201cEs besteht ein klarer Bedarf f\u00fcr quelloffene Tools und Secrets Scanners, um die Detection-F\u00e4higkeiten zu erh\u00f6hen, wenn es um kodierte Geheimnisse geht\u201d, res\u00fcmieren die Aqua-Experten.<\/p>\n<h3 class=\"wp-block-heading\" id=\"5-best-practices-gegen-kubernetes-exploits\">5 Best Practices gegen Kubernetes-Exploits<\/h3>\n<p>Folgende Best Practices empfehlen die Experten, mit denen wir gesprochen haben, um zu verhindern, dass Kubernetes-Cluster kompromittiert werden:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>umfassende, rollenbasierte Zugriffskontrollen, die Netzwerk-Richtlinien und User Namespaces voneinander trennen;<\/p>\n<\/li>\n<li>\n<p>\u201cIn-Cluster Separation\u201d-Sicherheitsma\u00dfnahmen;<\/p>\n<\/li>\n<li>\n<p>Key und Secret Management (Services);<\/p>\n<\/li>\n<li>\n<p>regelm\u00e4\u00dfige Cluster-Audits, um Fehlkonfigurationen zu identifizieren und zu beheben;<\/p>\n<\/li>\n<li>\n<p>entsprechende Schulungen f\u00fcr Mitarbeiter und Entwickler.<\/p>\n<\/li>\n<\/ul>\n<p>Das \u201c<a href=\"https:\/\/cheatsheetseries.owasp.org\/cheatsheets\/Kubernetes_Security_Cheat_Sheet.html\" title=\"Kubernetes Security Cheat Sheet\" target=\"_blank\" rel=\"noopener\">Kubernetes Security Cheat Sheet<\/a>\u201d von OWASP enth\u00e4lt diverse weitere, sehr spezifische Empfehlungen, um Ihre Cluster nachhaltig abzusichern.<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Anatoliy Eremin | shutterstock.com Kubernetes hat sich unter Enterprise-Softwareentwicklern zu einem durchschlagenden Erfolg entwickelt. Das veranlasst kriminelle Hacker zunehmend dazu, entsprechende Installationen mit speziell entwickelten Exploits anzugreifen. Dabei werden die Bedrohungsakteure immer besser darin, ihre Schadsoftware zu verstecken, (triviale) Sicherheitskontrollen zu umgehen und sich lateral durch Netzwerke zu bewegen, um weiteren Schaden anzurichten. Wie die von Sicherheitsanbietern wie Palo Alto, Wiz und Aqua Security eigens&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14688\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14688","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14688"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14688\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}