Kubernetes beter beveiligen, met hulp van de NSA
Gebruik van containtertechnologie en het Kubernetes-systeem voor beheer daarvan zit in de lift, maar beveiliging van dat complexe geheel blijkt lastig. De Amerikaanse overheid, in de vorm van inlichtingendienst NSA, biedt hulp. De tips voor het verstevigen ('hardening') van Kubernetes zijn eerder al uitgebracht, maar laatst nog bijgewerkt.
© Shutterstock
Shutterstock
Het opensourcesysteem van Kubernetes biedt geautomatiseerde mogelijkheden voor het uitrollen, opschalen en beheren van applicaties die in containers draaien. Dit soort virtuele infrastructuur, veelal in gebruik in cloudomgevingen, biedt diverse voordelen voor flexibiliteit en ook beveiliging, merkt de NSA op. Dat is dan in vergelijking met traditionele, monolithische softwareplatformen. Er komt echter andere complexiteit kijken bij het secuur beheren van de microservices die draaien bij containers, plus dan nog de onderliggende infrastructuur.
Drie oorzaken
De door NSA opgestelde Kubernetes Hardening Guide moet organisaties die Kubernetes gebruiken, of willen gaan gebruiken, helpen om te gaan met de risico's van dat containersysteem. Zo kunnen ze dan de voordelen van die technologie benutten, belooft de NSA in het beveiligingsdocument (PDF). Daarin benoemt de inlichtingendienst samen met de Cybersecurity and Infrastructure Security Agency (CISA) de drie voornaamste oorzaken voor hackaanvallen op en via Kubernetes.
Allereerst zijn er risico's in de supplychain, dan kwaadaardige aanvallers, en tot slot bedreigingen van binnenuit (insiders). De eerstgenoemde is vaak lastig aan te pakken en in te perken, stelt de NSA. Problemen met de toeleveringsketen van software kunnen ontstaan tijdens het buildproces voor containers maar ook bij het aankopen van onderliggende IT-infrastructuur. De tweede oorzaak voor beveiligingsproblemen met Kubernetes zijn kwaadaardige aanvallers (threat actors), die misbruik kunnen maken van kwetsbaarheden in de software en onjuiste configuraties. Dat laatste kan dan in diverse onderdelen van de Kubernetes-architectuur zijn, zoals het beheerdeel, worker nodes, of de in containers verpakte applicaties.
De derde oorzaak voor beveiligingsproblemen met Kubernetes zijn dus insider threats, die uiteenvallen in drie categorieën: beheerder, gebruikers, en cloudaanbieders. Elk van die soorten 'interne gebruikers' hebben in bepaalde mate toegang tot de gebruikte cloudsystemen en de daarop gehoste containers met de daarin draaiende applicaties. "Insiders met speciale toegang tot de Kubernetes-infrastructuur van een organisatie kunnen die privileges misbruiken", waarschuwt de NSA. Voor de drie genoemde oorzaken voor beveiligingsproblemen reikt de Amerikaanse inlichtingendienst stappen aan om die risico's te mitigeren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee