Das volle Potential von Kubernetes sicher nutzen

Kubernetes ist immer mehr im Kommen. Kein Wunder, denn das Orchestrierungssystem ermöglicht es Unternehmen, rasch und unkompliziert die zahlreichen Vorteile von Containern zu nutzen. Zur Beliebtheit von Kubernetes trägt außerdem bei, dass das System schnell bereitgestellt und implementiert ist.

Doch genau das birgt auch eine Gefahr: Ein Konzept für den Schutz und die dauerhafte Speicherung der unternehmenskritischen Daten in Kubernetes-Anwendungen bleibt häufig auf der Strecke. Das liegt auch daran, dass in puncto Sicherheit von Kubernetes einige Mythen zirkulieren. Wer sie kennt, kann jedoch Abhilfe schaffen. Denn es gibt Mittel und Wege, wie Unternehmen Kubernetes-Umgebungen so in ihre IT-Infrastruktur integrieren, dass ihre Abwehr- und Backup-Strategie auch für die Containerorchestrierung greift.

Kubernetes – was verbirgt sich dahinter und warum ist es so beliebt?

In Produktionsumgebungen sind häufig Millionen von Containern im Einsatz. Sie alle zu installieren, zu disponieren und nach Ausfällen wieder hochzufahren sowie mit externen Systemen zu verbinden, ist Aufgabe der IT-Teams. Gäbe es keine automatisierte Containerorchestrierung, müsste dies manuell erfolgen. In der Folge wären Unternehmen gezwungen, eine große Zahl von Fachkräften zu beschäftigen, die sich nur um das Scheduling der Container kümmern – ein in hohem Maße unwirtschaftliches Unterfangen. Im Umkehrschluss bedeutet das: Unternehmen benötigen ein Instrument für die Orchestrierung von Containeranwendungen, um diese überhaupt nutzen zu können. An dieser Stelle kommt Kubernetes, auch unter dem Namen K8 bekannt, ins Spiel.

Mit der Open-Source-Plattform werden Container verwaltet und in Produktionsumgebungen nutzbar gemacht. Damit lässt sich die Steuerung der Containerorchestrierung konfigurieren und somit die Installation, die Skalierung und der Betrieb automatisieren. Kubernetes versetzt Unternehmen erst in die Lage, Containertechnologie rentabel zu nutzen. Containerisierte Anwendungen selbst helfen im Zusammenspiel mit Kubernetes, Unternehmen die Produktivität in der Entwicklung zu optimieren und die Markteinführung von Produkten zu beschleunigen. Sie erleichtern zudem plattformübergreifend den Betrieb, was wiederum die IT-Kosten senkt. Die Industrie hat rasch realisiert, dass der Einsatz von Kubernetes der Eigenentwicklung einer Orchestrierungsplattform für Container oder der Verwendung einer Alternativtechnologie vorzuziehen ist, sodass sie heute als Standard-Orchestrierungsplattform für Container gilt.

Plattform mit Risiken

Die strategischen und technologischen Vorteile, die Unternehmen aus der Verwendung von Kubernetes ziehen, sorgten für einen schnellen Siegeszug. Dies geht aus einer Studie von Veritas Technologies hervor, für die weltweit 1.100 IT-Entscheidungsträger aus elf Schlüsselmärkten befragt wurden. Schon mehr als 40 Prozent der Unternehmen in Deutschland setzen Kubernetes für ihre geschäftskritischen Anwendungen ein.

„Die Industrie hat rasch realisiert, dass der Einsatz von Kubernetes der Eigenentwicklung einer Orchestrierungsplattform für Container oder der Verwendung einer Alternativtechnologie vorzuziehen ist, sodass sie heute als Standard-Orchestrierungsplattform für Container gilt.“

Ralf Baumann, Veritas Technologies

Besorgniserregend ist jedoch, dass nur etwas mehr als ein Drittel der Befragten angibt, dass die jeweiligen Unternehmen über Anwendungen zum Schutz vor Datenverlusten in Kubernetes-Umgebungen, etwa als Folge eines Ransomware-Angriffs, verfügen. Gleichzeitig sagt mehr als jedes zweite Unternehmen aus, dass es schon zu solchen Attacken auf Containerumgebungen gekommen ist. Auch erkennen annähernd alle Studienteilnehmer (97 Prozent) ein Bedrohungsrisiko für ihr Unternehmen. Trotzdem antwortete die Hälfte der Befragten auch, dass ihre Unternehmen für den Schutz ihrer Kubernetes-Umgebungen Insellösungen einsetzen. Das heißt, sie laufen separat zu den umfassenderen Datenschutzinfrastrukturen.

Doch Kubernetes ist nicht gegen Malware immun. Das zeigt die Entdeckung von Siloscape im Frühjahr des Jahres 2021. Damit war die Zeitenwende bei Ransomware für containerisierte Umgebungen angebrochen. Entweder suchen die Angreifer nach Schwachstellen oder sie nutzen die unter Sicherheitsgesichtspunkten schwache Konfigurationen der Kubernetes-Umgebung aus.

Erschwerend kommt hinzu, dass laut Veritas-Studie in beinahe der Hälfte der Entscheidungen für die Nutzung von Kubernetes (44 Prozent) weder CIO- noch IT-Führungsteams maßgeblich eingebunden sind. Die Ergebnisse der Studie zeigen: was vielerorts fehlt, ist eine ganzheitliche IT-Strategie für die Nutzung von Kubernetes, wodurch das Risiko für den Schutz geschäftskritischer Daten steigt.

Sicherheitsmythen rund um Kubernetes

Das mangelnde Sicherheitsbewusstsein vieler Unternehmen beim Umgang mit Kubernetes ist auch auf einige Mythen in puncto Security zurückzuführen.

Mythos 1: Die Standardkonfiguration genügt

Da Kubernetes in gewissem Sinne eine Secure-by-Design-Plattform ist, beinhaltet sie Sicherheitsfunktionen und -mechanismen. Das Sicherheitslevel der Standardkonfiguration ist allerdings der aktuellen Cyberbedrohungslage nicht gewachsen. Daher müssen Unternehmen proaktiv eine komplexere Konfiguration vornehmen, was qualifizierte Experten erfordert. Neben der Konfiguration beeinflussen weitere Aspekte wie zum Beispiel die Berechtigungsverwaltung oder die Netzwerksicherheit die IT-Security.

Mythos 2: Sicherheitsmaßnahmen müssen nur einmal implementiert werden

Zu einer sicheren Kubernetes-Installation gehören auch Wartungsverfahren, etwa für die Konfiguration der Container-Images. Diese müssen ebenso wie die Lieferkette der Open-Source-Bausteine von Kubernetes regelmäßig überprüft werden. Zudem muss die Ursprungskonfiguration turnusmäßig gepatcht und ihre Sicherheit kontrolliert werden. Zusätzlich dürfen bei den regelmäßigen Aktualisierungen der Plattform und der Container-Images die Zugriffskontrollen nicht außen vor bleiben. Nur so lässt sich Schwachstellen und Malware wirksam ein Riegel vorschieben.

Mythos 3: Kubernetes verfügt über eine simple Speicherlösung

Woran es Kubernetes bei aller Flexibilität mangelt, ist eine Standardlösung für die Speicherung. Daher muss das IT-Team vor der Implementierung des Container-Orchestrators zahlreiche offene Punkte klären, Anforderungen eruieren und Entscheidungen treffen, bevor es selbst eine passende Lösung definiert und konfiguriert.

Mythos 4: Daten werden umfassend gesichert

Kubernetes verfügt nur über eine begrenzte Sicherung und auch immanente Funktionen wie die Replikation und der Neustart von Pods bewahren nicht vor dem Verlust von Daten oder Schäden des gesamten Clusters. Daher müssen Unternehmen, die die Orchestrierungsplattform nutzen, den Schutz vor Clusterdatenbeschädigungen oder Datenverlusten selbst in die Hand nehmen. Andernfalls kann eine erfolgreiche Ransomware-Attacke existenzbedrohende Folgen haben.

Mythos 5: Wiederherstellung aus Backups funktioniert anstandslos

Muss ein Backup wiederhergestellt werden, kann es bei Kubernetes zu Komplikationen kommen, etwa Inkompatibilität von Konfigurationen. Regelmäßige Tests der Wiederherstellung von Backups sind daher unumgänglich.

Was diese Mythen zeigen: der Einsatz von Kubernetes als Orchestrierungsplattform für Containeranwendungen in Unternehmen ist kein Selbstläufer. Insbesondere die Punkte Verwaltung, Sicherung und Wiederherstellung der Daten erfordern besonderes Augenmerk sowie ein versiertes IT-Team mit entsprechenden Ressourcen, wenn eine Konfiguration in Eigenregie im Unternehmen erfolgen soll.

Backup-Lösungen für Schutz und Ausfallsicherheit

Auch spezielle Backup-Lösungen können die in Kubernetes fehlenden Tools für die Storage und Failover Tools von Kubernetes kompensieren. Dabei ist unter anderem darauf zu achten, dass solche Anwendungen Wiederherstellungsfunktionen beinhalten, um den Schutz der Daten in geplanten oder ungeplanten Ausfallszenarien zu gewährleisten.

Empfehlenswert sind in diesem Zusammenhang auch Testfunktionen für die Validierung und Prüfung, ob die Kubernetes-Anwendungen im Falle eines Ausfalls der primären Site wiederhergestellt und online gebracht werden können. Idealerweise schützt ein Backup-System ebenfalls vor den Schäden eines Split-Brain-Szenarios, das in jeder Cluster-Umgebung auftreten kann, wenn ein Knoten-/Hardware-Ausfall die Kommunikation und Mitgliedschaft im Cluster unterbricht.

Praktisch sind auch Funktionen für das Speichermanagement, um etwa eine granulare Bereitstellung von Speicherplatz zu ermöglichen – basierend auf den Anforderungen der Anwendung und betrieblichen Standards. Sind Self-Service-Tools und rollenbasierte Zugriffskontrollen enthalten, vereinfacht ein solches Backup-System dem IT-Team zudem den Arbeitsalltag. Moderne Features, um persistenten Speicher und Datenschutz der Enterprise-Klasse für containerisierte Anwendungen zu gewährleisten. Damit können Unternehmen in vollem Umfang von den Vorteilen von Kubernetes profitieren und haben dabei die Gewissheit, dass ihre kritischen Daten jederzeit ausfallsicher gespeichert werden.

Über den Autor:

Ralf Baumann ist Country Manager Germany bei Veritas Technologies.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.