zhu difeng - Fotolia
Firmen schützen Kubernetes-Container nicht vor Ransomware
Kubernetes-Umgebungen können Schwachstellen aufweisen und somit anfällig für Cyberangriffe sein. Firmen sollten hier wichtige Faktoren berücksichtigen und Backups anpassen.
Der Drang zu schnelleren und flexibleren Entwicklungs-Frameworks lässt die Zahl von Containern und Kubernetes-Implementationen (K8s) steigen. Obwohl Kubernetes theoretisch mehrere Sicherheitsvorteile gegenüber herkömmlichen Anwendungen bietet, ist der Umgang damit nach wie vor eines der Hauptprobleme von Unternehmen auf ihrem Weg zur Cloud-Umgebung. In einem kürzlich veröffentlichten Bericht wurde festgestellt, dass die Kubernetes-Cluster von mehr als 350 Organisationen, darunter mehrere Fortune-500-Unternehmen, offen zugänglich und Cyberangriffen, wie Malwareund Ransomware, frei ausgesetzt waren. Warum also haben Unternehmen so große Probleme mit der Sicherheit von Kubernetes?
Nichts übereilen
Sicherheit wird oft als Wettlauf beschrieben. Dies bezieht sich in der Regel auf Fachleute, die bemüht sind, Hackern einen Schritt voraus zu sein, indem sie neue Technologien einführen und auf neue Techniken und Schwachstellen reagieren. Manchmal geht es aber schlicht darum, mit der eigenen Organisation Schritt zu halten, wenn diese neuen Technologien in anderen Bereichen eingeführt werden. Von der IT-Sicherheit wird also stets erwartet, dass sie am Ball bleibt und den Schutz des Unternehmens gewährleistet, unabhängig davon, in welche Richtung es sich bewegt.
Ein neuer Bericht der Enterprise Strategy Group meint, dass die Nutzung von Kubernetes kurz vor einem Wendepunkt stünde – bis Ende 2024 würden 82 Prozent der Unternehmen schon Container einsetzen. Tatsächlich gibt es Container seit mehr als einem Jahrzehnt, doch die Einführung von Kubernetes ging langsam voran und es gibt immer eine Lernkurve, wenn sich ein Unternehmen für etwas Neues entscheidet. Bei Kubernetes gibt es unsichtbare Fallstricke, die Entwickler und Sicherheitsfachleute übersehen können, wenn sie zu schnell neue Anwendungen implementieren. Der notwendige Kompromiss zwischen Geschwindigkeit und Sicherheit ist den Entwicklern beispielsweise vertraut, doch da einer der Hauptgründe für die Einführung von Containern deren Geschwindigkeit und Flexibilität ist, überrascht es nicht, dass die überhastete Einführung von Kubernetes einige offene Türen hinterlassen hat. Klarzustellen ist: Unsichere Entwicklung ist nie eine bewusste Entscheidung, aber wenn Unternehmen den Druck verspüren, neue Funktionen hinzufügen zu müssen oder neue Produkte von Grund auf zu entwickeln, muss etwas schnell geschehen.
Fehlkonfigurationen meiden
Schwachstellen in Kubernetes sind oft auf Fehlkonfigurationen in der Design- und Entwicklungsphase zurückzuführen. Der bereits erwähnte Zeitrahmen ist ein Faktor, aber ein Mangel an K8-spezifischem Wissen ist meist der Schlüssel. Der Bericht von Aqua Security, in dem Hunderte von anfälligen Containerumgebungen identifiziert wurden, nannte im Wesentlichen zwei zentrale Fehlkonfigurationen: Die erste bestand darin, dass anonyme Benutzer nur eine einzige Authentifizierungsebene benötigten, die, wenn sie erfolgreich genommen wurde, anonymen Zugriff mit Privilegien einschließlich Administratorrechten gewährte. Dies ist vergleichbar mit dem Türschloss eines Sportwagens, während im Inneren der Zündschlüssel steckt. Eine weitere, häufig vorkommende, Schwachstelle bilden falsch konfigurierte Cluster, die an einigen Stellen öffentlich zugänglich sind. Dadurch können sich Angreifer mit Tools wie Kubectl einfach mit dem Kubernetes-Cluster verbinden und Schaden anrichten.
Dieses Problem betrifft nicht nur K8. Anwendungen, die dem Internet ausgesetzt sind, obwohl dies nicht erforderlich ist, sind ein Einfallstor und gefährden alle anderen Arten von Anwendungen. Der Internetzugang an sich ist ein weiterer möglicher Zugang für Angreifer. Gäbe es dieses Einfallstor nicht, gäbe es kein Problem. Hier sind wir bei Zero Trust oder dem Prinzip von Least Privilege, denn auch bei Cloud-nativen Anwendungen sollte nicht alles jederzeit für jeden zugänglich sein.
Backups als beste Verteidigung
Fachleute wachen nicht eines Tages auf und beschließen, Sicherheitslücken in ihre Anwendungen einzubauen. Dies ist lediglich eine Folge von Wissenslücken und zu schnellen Entwicklungszeiten. Sobald die Entwickler mehr Erfahrung mit Cloud-nativen Plattformen haben, werden diese Probleme seltener auftreten. Dies aber wird den Bedarf an robusten Backup- und Wiederherstellungsprozessen erhöhen und Cyberresilienz ist vielschichtig. Auf die erste Verteidigungslinie (Anwendungssicherheit) kann man sich nie ganz verlassen, daher ist es wichtig, dass ein Unternehmen über Ressourcen verfügt, auf die es zurückgreifen kann.
„Schwachstellen in Kubernetes sind oft auf Fehlkonfigurationen in der Design- und Entwicklungsphase zurückzuführen. Ein zu kurzer Zeitrahmen ist ein Faktor dabei, aber ein Mangel an K8-spezifischem Wissen ist meist der entscheidende Schlüssel.“
Michael Cade, Veeam
Leider ist dies ein weiterer Bereich von Kubernetes, in dem eine steile Lernkurve zu sehen ist. Der jüngste Bericht der Enterprise Strategy Group über den Schutz von Kubernetes zeigt, dass 33 Prozent der Unternehmen, die Kubernetes einsetzen, die gleichen Datensicherungs-Tools und -Prozesse nutzen, die sie für normale Anwendungen verwenden. Das ist gefährlich, denn Cloud-native Anwendungen benötigen Cloud-native Backup-Lösungen. Diese Unternehmen verfügen somit zwar über Backups und können davon ausgehen, dass diese sicher sind, aber diese herkömmlichen Backups können den sich bewegenden Teil von Kubernetes nicht nachverfolgen und decken ihn somit nicht ab. Beim Versuch, solche Daten wiederherzustellen, kann es daher zu Leistungseinbrüchen und Datenverlusten kommen.
Fazit
Wenn IT-Sicherheit und Datenwiederherstellung grundlegende Mängel aufweisen, sind Unternehmen Angriffen, darunter Ransomware, schutzlos ausgeliefert. Angesichts der Tatsache, dass im September 2023 eine der höchsten Ransomware-Angriffszahlen aller Zeiten verzeichnet wurde, müssen Unternehmen sicherstellen, dass sie die richtigen Maßnahmen ergriffen haben. Dies ist kein Aufruf, Kubernetes oder containerbasierte Anwendungen zu meiden oder nicht mehr zu verwenden: ganz im Gegenteil!
Aber die IT-Sicherheit muss mit den Entwicklungspraktiken Schritt halten, sonst schlüpfen Cyberkriminelle durch die Lücken. Containerumgebungen können nur im Zusammenspiel der Abteilungen verwaltet werden, deshalb wird DevSecOps wichtig. Diese Zusammenarbeit von Entwicklungs- und Sicherheitsfachleuten ermöglicht die sichere Gestaltung der IT-Infrastruktur und Anwendungen von Anfang an. Auf diese Weise werden Unternehmen wirklich gegen die nicht enden wollende Welle von Ransomware geschützt.
Über den Autor:
Michael Cade ist Global Field CTO Cloud-Native Product Strategy bei Veeam. Michael Cade ist eine erfahrene Technologie-Führungskraft mit mehr als 20 Jahren Erfahrung im Bereich der Datensicherung. Derzeit ist er als Global Field CTO für Veeam im Bereich der Cloud-Native- und Open-Source-Datensicherheit tätig. Seine Forschung konzentriert sich auf die Welt der Cloud-Native- und OSS-Software, da er die Notwendigkeit betonen will, Daten und Workloads innerhalb dieser Plattformen zu schützen. Vor dieser Rolle hatte Cade verschiedene technische Positionen bei Veeam inne, wo er 2015 als Systemingenieur anfing und später in das Produktstrategie-Team wechselte, um sich auf die breitere Veeam-Strategie zu konzentrieren, dafür Inhalte zu erstellen und innerhalb der Community zu teilen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
