Container- und Kubernetes-Security: Absicherung cloud-nativer Infrastrukturen

3 Min. Lesezeit

Container und Kubernetes dominieren die moderne IT-Infrastruktur — aber ihre Absicherung hinkt der Adoption um Jahre hinterher. 78 Prozent der Unternehmen mit Kubernetes-Clustern berichten von Sicherheitsvorfaellen, die direkt mit Fehlkonfigurationen zusammenhaengen.

Das Wichtigste in Kuerze

Verbreitung: 96% der Unternehmen evaluieren oder nutzen Kubernetes — aber nur 40% haben eine dedizierte Container-Security-Strategie.
Hauptrisiko: Fehlkonfigurationen: zu permissive RBAC-Policies, Pods mit Root-Rechten und ungescannte Container-Images.
Supply Chain: Oeffentliche Container-Registries enthalten Images mit bekannten Schwachstellen — Sysdig fand in 87% der Images kritische CVEs.
Shift Left: Image-Scanning in der CI/CD-Pipeline ist die wirksamste Einzelmassnahme.
Runtime: Echtzeit-Erkennung von anomalem Container-Verhalten ergaenzt praeventive Massnahmen.

Die Angriffsflaeche verstehen

Ein Kubernetes-Cluster ist ein komplexes System mit vielen Angriffspunkten: Container-Images (Schwachstellen in Basis-Images und Abhaengigkeiten), Cluster-Konfiguration (RBAC, Network Policies, Pod Security Standards), Runtime (Container Escapes, Privilege Escalation), Supply Chain (kompromittierte Images aus oeffentlichen Registries) und Secrets Management (Credentials in Environment-Variablen oder ConfigMaps).

Red Hat berichtet, dass 78 Prozent der Kubernetes-Nutzer Sicherheitsvorfaelle erlebt haben — die meisten durch Fehlkonfigurationen, nicht durch raffinierte Angriffe. Das ist die gute Nachricht: Die meisten Risiken lassen sich durch systematische Haertung eliminieren.

Image-Security: Die Basis

1. Basis-Images minimieren. Alpine oder Distroless statt Ubuntu/Debian. Je weniger Software im Image, desto weniger Angriffsflaeche. Google Distroless-Images enthalten nur die Anwendung — kein Shell, kein Paketmanager.

2. Image-Scanning automatisieren. Trivy, Grype oder Snyk scannen Images auf bekannte CVEs. In die CI/CD-Pipeline integrieren: Kein Image mit kritischen CVEs wird deployed.

3. Image-Signing. Cosign oder Notary v2 stellen sicher, dass nur signierte, verifizierte Images im Cluster laufen. Admission Controller wie Kyverno oder OPA Gatekeeper erzwingen die Signaturpruefung.

Cluster-Haertung: Die fuenf wichtigsten Massnahmen

1. Pod Security Standards. Kubernetes Pod Security Admission (PSA) auf Restricted setzen: Kein Root, keine privilegierten Container, kein Host-Netzwerk.

2. RBAC minimieren. Least-Privilege-Prinzip: Jeder Service Account bekommt nur die Rechte, die er tatsaechlich braucht. Regelmaessig auditieren mit Tools wie kubectl-who-can oder Kubiscan.

3. Network Policies. Default-Deny fuer alle Pods, dann gezielt oeffnen. Ohne Network Policies kann jeder Pod mit jedem anderen kommunizieren — ein Paradies fuer laterale Bewegung.

4. Secrets Management. Keine Secrets in ConfigMaps oder Environment-Variablen. External Secrets Operator mit HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault.

5. Audit Logging. Kubernetes Audit Logs aktivieren und an ein zentrales SIEM weiterleiten. Ohne Logs keine Forensik nach einem Vorfall.

Runtime-Security

Praeventive Massnahmen reichen nicht — Runtime-Erkennung faengt auf, was durch die Maschen schlüpft.

Falco (Open Source, CNCF) ueberwacht Syscalls in Echtzeit und erkennt anomales Verhalten: unerwartete Prozesse, Dateisystem-Aenderungen, Netzwerk-Verbindungen zu unbekannten Zielen.

Tetragon (eBPF-basiert) bietet tiefe Kernel-Level-Observability ohne Performance-Overhead. Ideal fuer Umgebungen mit hohen Anforderungen an Erkennung und Forensik.

Kommerzielle Plattformen wie Sysdig Secure, Aqua Security oder Prisma Cloud kombinieren Image-Scanning, Compliance-Checks und Runtime-Protection in einer integrierten Loesung.

Key Facts auf einen Blick

Kubernetes-Nutzer mit Sicherheitsvorfaellen: 78% (Red Hat State of Kubernetes Security 2024)

Container-Images mit kritischen CVEs: 87% in oeffentlichen Registries (Sysdig)

Haeufigste Fehlkonfiguration: Pods mit Root-Rechten (53% aller Cluster)

Marktgroesse Container-Security: 3,2 Mrd. Dollar bis 2027 (MarketsandMarkets)

Quelle: Red Hat, Sysdig, CNCF, MarketsandMarkets, 2024

Haeufige Fragen

Brauche ich Container-Security wenn ich Managed Kubernetes nutze?

Ja. EKS, AKS und GKE haerten die Control Plane, aber die Verantwortung fuer Workload-Security (Images, RBAC, Network Policies, Runtime) liegt beim Kunden. Shared Responsibility gilt auch fuer Kubernetes.

Was ist der wichtigste erste Schritt?

Image-Scanning in der CI/CD-Pipeline. Es ist die Massnahme mit dem besten Verhaeltnis von Aufwand zu Risikoreduktion. Trivy ist Open Source und in Minuten integriert.

Wie teuer ist Container-Security?

Open-Source-Stack (Trivy + Falco + OPA): kostenlos, aber Personalaufwand fuer Betrieb. Kommerzielle Plattformen: 50-150 Euro pro Node und Monat. Fuer ein Cluster mit 20 Nodes: 12.000-36.000 Euro jaehrlich.

Ist Kubernetes sicherer als VMs?

Anders, nicht per se sicherer. Kubernetes bietet granularere Isolation (Namespaces, Network Policies, Pod Security) aber auch eine groessere Angriffsflaeche durch die Komplexitaet der Plattform. Sicherheit haengt von der Konfiguration ab.

Was ist ein Container Escape?

Ein Angriff, bei dem Schadcode aus einem Container ausbricht und Zugriff auf den Host oder andere Container erhaelt. Ursachen: Kernel-Schwachstellen, privilegierte Container oder gemountete Host-Verzeichnisse. Pod Security Standards verhindern die meisten Escape-Vektoren.