Lovely - stock.adobe.com

Feature

Post-Quantum-Kryptografie und Zero-Trust mit OpenShift umsetzen

Die aktuelle OpenShift-Version vereint Post‑Quantum‑mTLS mit Zero‑Trust‑Identitäten und externem Secret-Management zu einer sicheren Plattform für hybride, KI- und VM-Workloads.

Ulrike Rieß-Marchive
von
Zuletzt aktualisiert: 04 Dez. 2025

Mit der aktuellen Version OpenShift 4.20 adressiert Red Hat ein zentrales Risiko für die Zukunft: die potenzielle Bedrohung durch Quantencomputer. Zwischen den Komponenten der Control-Plane – etwa API-Server, Scheduler oder Controller-Manager – wird nun mTLS mit ersten Post-Quantum-Kryptografie-(PQK)-Algorithmen unterstützt. Dabei wird ein Hybrid-Ansatz genutzt: Klassische Schlüssel gewährleisten weiterhin TLS-Kompatibilität, während PQK-Algorithmen Schutz gegen zukünftige Quantenangriffe bieten sollen.

Konkret nutzt OpenShift hier den Hybrid-Schlüsselaustausch X25519ML-KEM768, wie in der Go 1.24-Integration dokumentiert.

Parallel zur PQK-Absicherung bringt das Update tiefere Identity- und Sicherheitsmechanismen.  Der Zero Trust Workload Identity Manager auf Basis von SPIFFE/SPIRE wird künftig Identitäten von Pods verifizierbar attestieren, was Workloads eine kurzlebige, kryptographisch gesicherte Identität verleiht. Dies ergänzt RBAC und Netzwerksegmentierung und schafft End-to-End-Schutz innerhalb des Clusters.

Der External Secrets Operator (ESO) ermöglicht OpenShift-Clustern, Secrets aus externen Vaults (etwa HashiCorp Vault, Azure Key Vault, AWS Secrets Manager) zu verwalten und automatisch zu synchronisieren. Dabei wird auch die automatisierte Secret-Rotation unterstützt, was Compliance-relevante Prozesse erheblich vereinfachen soll.

Für die Software-Lieferkettensicherheit sorgt der Anbieter außerdem mit Trusted Artifact Signer und Trusted Profile Analyzer: Die Signierung und Analyse von Artefakten schaffen mehr Transparenz und Vertrauenswürdigkeit. Beide Tools lassen sich direkt in CI/CD-Pipelines integrieren, um Lieferkettensicherheit frühzeitig im Entwicklungsprozess sicherzustellen.

Gleichzeitig kann der Traffic innerhalb des Service-Meshs effizienter abgesichert werden: Der sogenannte ambient mode von Istio ermöglicht pod-zu-pod mTLS ohne Sidecar-Container, wodurch Overhead und Komplexität sinken. Das erleichtert besonders in großen Clustern den Betrieb und spart Ressourcen, ohne die Security zu reduzieren.

Zudem erlaubt OpenShift 4.20 die Nutzung eines eigenen OpenID Connect (OIDC)–Providers, was bestehende Identitätsinfrastrukturen von Unternehmen direkt integrierbar macht. Beispiele sind Active Directory Federation Services oder andere OIDC-konforme Identity Provider.

Diese Kombination aus PQK, Zero-Trust-Identitäten und externem Secret-Management positioniert OpenShift als Plattform, bei der Sicherheit nicht nur traditionell, sondern zukunftsgerichtet gedacht wird, gerade in Szenarien mit hohen Compliance- und Souveränitätsanforderungen. Damit unterstützt OpenShift Anforderungen wie DSGVO, NIST-Standards oder BSI-Vorgaben.

Workload-Konvergenz: Container, VMs und KI auf einer Plattform

Ein wesentliches Ziel dieser OpenShift-Version ist es, unterschiedliche Workload-Typen zu konsolidieren: Cloud-native Container, virtuelle Maschinen (VMs) und große KI-Modelle können nun gemeinsam orchestriert werden.

Virtualisierung mit Intelligenz

OpenShift Virtualization erhält mit dieser Version mehrere technische Verbesserungen:

  • CPU-Last-Aware Rebalancing: Diese Funktion gleicht automatisch VMs über Cluster hinweg aus, indem es CPU-Auslastung und Ressourcen bewertet.
  • Live-Migration wird weiter optimiert: Dank Storage-Offloading-Funktionen im Migrations-Toolkit können VMs aus Legacy-Umgebungen effizienter in OpenShift migriert werden.
  • ARM-Unterstützung wird erweitert, was die Plattform flexibler für unterschiedliche Hardwareprofile macht.
  • BGP-Routing: Über OVN-Kubernetes lässt sich nun BGP im virtuellen Netzwerk aktivieren. Routes können bidirektional mit externem Netz ausgetauscht werden, was insbesondere für On-Premises-Umgebungen mit physikalischen Netzwerken relevant ist. Diese Funktionen unterstützen Hybrid-Cloud-Szenarien und erhöhen die Flexibilität für Unternehmensnetzwerke.

Damit sollen neue Anforderungen an Flexibilität, Effizienz und optimaler Ressourcenauslastung in großen IT-Umgebungen adressiert werden.

KI-Workloads produktiv skalieren

Mit OpenShift 4.20 wurden gezielt Features eingeführt, die den Einsatz von KI-Modellen im Enterprise-Umfeld vereinfachen sollen:

  • LeaderWorkerSet (LWS) API: Mit dieser API lassen sich verteilte KI-Workloads orchestrieren: Ein Leader-Pod koordiniert mehrere Worker-Pods, was Skalierung, Kommunikation und Fehlertoleranz im KI-Betrieb verbessert.
  • Image Volume Source: Statt Container neu zu bauen, wenn sich ein Modell ändert, können KI-Modelldaten als Volume (OCI Image) gemountet werden. Das ermöglicht schnelle Aktualisierungen großer Modelldateien ohne Container-Rebuild.
  • Model Context Protocol (MCP): OpenShift 4.20 führt außerdem einen MCP-Server ein, der Cluster-Verwaltung via natürlicher Sprache ermöglicht. Tools wie Visual Studio Code können mit dem Cluster kommunizieren, Logs auswerten oder Workloads steuern – gesteuert durch ein KI-Modul. (MCP ist aktuell im Developer Preview – Stand November 2025 – und sollte noch nicht in produktiven Szenarien als vollwertig funktionierendes Feature betrachtet werden.)

Diese Funktionen erlauben es großen Unternehmen, KI-Workflows nicht nur experimentell, sondern in ihre produktive Infrastruktur zu integrieren, ohne separate Plattformen oder isolierte KI-Inseln betreiben zu müssen.

OpenShift Markteinschätzung

Im Vergleich zu anderen Cloud- und Plattformanbietern zeigt OpenShift 4.20 klare Stärken in der Kombination seiner Funktionen:

  • Sicherheit: Während viele Kubernetes-Anbieter TLS und RBAC abdecken, setzt Red Hat mit PQC-mTLS sowie Zero-Trust-Workload-Identitäten einen strategischen Fokus auf langfristig resistente Kommunikation.
  • Virtualisierung: Mit CPU-Rebalancing, ARM-Support und Storage-Offloading positioniert sich OpenShift als ernstzunehmende Alternative zu traditionellen Hypervisor-Umgebungen oder rein containerbasierten Plattformen.
  • KI: Die LWS-API und das Image-Volume-Konzept ermöglichen ein flexibleres Deployment von Modellen im Vergleich zu Plattformen, die Modell-Updates nur via Container-Rebuild erlauben.

OpenShift differenziert sich von anderen Kubernetes-Distributionen wie AKS, EKS oder GKE durch die Kombination aus PQK, Zero Trust, integriertem Virtualisierungs-Management und KI-Workload-Support.

Diese Bündelung macht diese Version besonders attraktiv für Unternehmen, die auf eine einheitliche, sichere Plattform für vielfältige Workload-Typen setzen wollen. 

Die aktuellen Kubernetes-Plattformen von Red Hat (OpenShift 4.20), Microsoft (AKS), Amazon (EKS) und Google (GKE) bieten jeweils eigene Stärken und Zielgruppen. Wesentliche Unterschiede zeigen sich in Funktionstiefe, Automatisierung, Sicherheit und Integrationsmöglichkeiten. 

Sicherheit und Compliance:
OpenShift hebt sich mit post-quantum-mTLS, Zero-Trust-Identitäten und integriertem Secret-Management ab. Im Vergleich bieten AKS und EKS starke Cloud-native Integration (Azure Active Directory, AWS IAM), GKE punktet mit Shielded GKE Nodes und Binary Authorization für Supply-Chain-Sicherheit.

Virtualisierung:
Während AKS, EKS und GKE klassisch Container-basierte Workloads fokussieren, integriert OpenShift sowohl Container, virtuelle Maschinen als auch KI-Arbeitslasten auf einer Plattform. AKS unterstützt Windows- und Linux-basierte Container besonders gut, GKE ist gut für Multi-Cloud-Szenarien dank Anthos, während EKS eine enge AWS-Anbindung ermöglicht.

Automatisierung und Skalierung:
Alle Plattformen bieten horizontales und vertikales Autoscaling, GKE bietet besonders robuste Cluster-Autoscaler. AKS bietet ein kostenfreies Managementmodell und flexible Windows-Unterstützung, während EKS für AWS-Kunden nahtlose Integration mit über 99,95 Prozent Verfügbarkeit liefert.

Preisgestaltung:
AKS gilt als besonders kosteneffizient, da keine Grundgebühr für das Cluster-Management anfällt. EKS verlangt eine Stundengebühr pro Cluster. GKE und AKS haben gezielte Reserved-Instance-Modelle für größere Einsparungen bei langer Laufzeit.

Das ist für IT-Entscheider wichtig

Für IT-Verantwortliche ergeben sich mit der aktuellen OpenShift-Version mehrere strategisch relevante Handlungsfelder:

  • Sicherheitsstrategie überdenken: Die Integration von PQK und Workload-Identitäten erlaubt es, die Plattform für die kommenden Jahre sicher zu machen – gerade im Hinblick auf Compliance oder Souveränitätsanforderungen.
  • Infrastruktur konsolidieren: Es bietet sich die Chance, VMs, Container und KI-Workloads auf einer Plattform zu betreiben – was Betriebskosten, Schulungsaufwand und Komplexität reduzieren kann.
  • Migration planen: Bestehende VM-Infrastrukturen können über das Migration-Toolkit zu OpenShift migriert werden. Dabei muss geprüft werden: Welche Storage-Lösungen unterstützen Offloading? Welche Netzwerke nutzen BGP?
  • KI operationalisieren: Unternehmen, die KI-Modelle in Produktion bringen wollen, bekommen mit LWS und Image Volume Source Werkzeuge, die den Wechsel von Experiment zu Betrieb erleichtern.
  • Observability und Monitoring: Security-Features sollten durch Audit-Logs, OpenShift Monitoring und SIEM-Integration überwacht werden, um Compliance und Betriebsqualität sicherzustellen.

Mehr als nur Funktionserweiterungen

OpenShift 4.20 ist kein reines Release mit neuen Funktionen, sondern ein konsequenter Ausbau hin zu einer Plattform, die Sicherheit, hybride Workloads und KI nachhaltig integriert. Für IT-Entscheider ergibt sich damit eine strategische Option: Anstatt mehrere spezialisierte Plattformen zu betreiben, kann eine einheitlich verwaltete, zukunftsorientierte Infrastruktur realisiert werden.

Mit PQK, Zero-Trust-Identitäten, konvergenter Virtualisierung und KI-Support setzt Red Hat einen technologischen Schwerpunkt, der nicht nur aktuelle Anforderungen adressiert, sondern auch kommende Entwicklungen antizipiert. Wer heute auf die aktuelle Version von OpenShift setzt, legt den Grundstein für eine robuste, modulare und sichere Plattformarchitektur für die hybride Cloud von morgen. Die Integration von Compliance-Features, Ressourcenoptimierung und Observability macht OpenShift zudem zu einer strategisch relevanten Wahl für IT-Entscheider.

Erfahren Sie mehr über Containervirtualisierung