k8s Security

Kubernetes least privilege Umsetzung am Beispiel der Google Cloud

Jeder kennt es: die Vergabe von Rechten ist immer eine Balance zwischen Sicherheit, Nutzbarkeit und Pflegeaufwand. Werden Berechtigungen sehr großzügig vergeben ist der Aufwand sehr gering und es gibt nur selten Hürden bei der Nutzung; die Sicherheit ist allerdings gefährdet. Bei einer sparsamen Vergabe von Rechten ist die Sicherheit höher, es gibt jedoch aufwändige Prozesse und viel Verwaltungsaufwand.

07.04.2022

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 6: Pod Security Policies (2/2) - Ausnahmen und Fehlersuche

Pod Security Policies (PSP) ermöglichen es Cluster-weit Einstellungen vorzunehmen, die für alle neuen Container gelten. Im Vergleich zum Security Context ist die Verwendung von PSPs aufwändiger. Besonders für große Organisationen mit großen Clustern zahlt es sich aber aus, da Container weniger manuell konfiguriert werden müssen.

28.10.2020

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 5: Pod Security Policies (1/2) – Good Practices

Pod Security Policies (PSP) ermöglichen es Cluster-weit Einstellungen vorzunehmen, die für alle neuen Container gelten. Im Vergleich zum Security Context ist die Verwendung von PSPs aufwändiger. Besonders für große Organisationen mit großen Clustern zahlt es sich aber aus, da Container weniger manuell konfiguriert werden müssen.

30.09.2020

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 4: Security Context (2/2) – Hintergründe & Tipps

Ein Container ist im Grunde ein normaler Linux Prozess ist, der durch bestimmte Kernel-Komponenten isoliert vom Rest des Systems läuft. Dies macht Container leichtgewichtiger aber auch angreifbarer als virtuelle Maschinen (VMs). Um diese Angriffsfläche zu reduzieren bieten Container Runtimes vielfältige Einstellungen, deren Standardwerte einen Kompromiss zwischen Benutzbarkeit und Sicherheit darstellen.

19.05.2020

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 3: Security Context (1/2) – Good Practices

Das virtuelle Konstrukt “Container” ist im Kern ein normaler Linux Prozess, der durch bestimmte Kernel-Komponenten großteils isoliert vom Rest des Systems läuft. Dies macht Container leichtgewichtiger aber auch angreifbarer als virtuelle Maschinen (VMs). Um diese Angriffsfläche zu reduzieren bieten Container Runtimes vielfältige Einstellungen, deren Standardwerte einen Kompromiss zwischen Benutzbarkeit und Sicherheit darstellen.

17.03.2020

Zum Beitrag

Blogartikel

Docs As Code – Continuous Delivery von Präsentationen mit reveal.js und Jenkins – Teil 2

Der erste Teil dieser Artikelserie zeigt Anwendungsfälle und Vorteile, die Präsentationen mit reveal.js haben – sie sind Docs As Code und können deshalb unter Versionsverwaltung gestellt und natürlich auch per Continuous Delivery ausgeliefert werden. Weiterhin wird in einer beispielhaften konkreten Umsetzung gezeigt, wie man mit Jenkins Pipelines auf GitHub Pages deployt. Dieser Teil zeigt weitere Alternativen für das Deployment (Sonatype Nexus und Kubernetes), wobei die generelle Struktur des Jenkinsfile die gleiche bleibt.

11.02.2020

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 2: Network Policies einsetzen (2/2) – Fortgeschrittene Themen und Tipps

In einem Kubernetes-Cluster können standardmäßig alle (Nodes, Pods, Kubelet, etc.) miteinander kommunizieren. Gelingt es einem Angreifer eine Sicherheitslücke in einer der Anwendungen auszunutzen, kann er seinen Angriff dadurch leicht auf alle dahinter liegende Systeme im gleichen Cluster ausbauen. Durch das Kubernetes-Bordmittel Network Policies kann dies eingeschränkt werden.

21.01.2020

Zum Beitrag

Blogartikel

Kubernetes AppOps Security Teil 1: Network Policies einsetzen (1/2) – Grundlagen und Good Practices

Beim Deployment von Anwendungen auf managed Kubernetes-Clustern ist der Betrieb für die Sicherheit zuständig, richtig? Nicht ganz! Zwar abstrahiert Kubernetes von der Hardware, sein API bietet Entwicklern dennoch viele Möglichkeiten, die Sicherheit der darauf betriebenen Anwendungen gegenüber der Standardeinstellung zu verbessern. Dieser Artikel erklärt, gegen welche Angriffsvektoren Network Policies schützen können und zeigt anhand von praktischen Beispielen pragmatische good Practices auf.

29.10.2019

Zum Beitrag

Alle Artikel zum Thema "k8s Security"

Kubernetes least privilege Umsetzung am Beispiel der Google Cloud

Kubernetes AppOps Security Teil 6: Pod Security Policies (2/2) - Ausnahmen und Fehlersuche

Kubernetes AppOps Security Teil 5: Pod Security Policies (1/2) – Good Practices

Kubernetes AppOps Security Teil 4: Security Context (2/2) – Hintergründe & Tipps

Kubernetes AppOps Security Teil 3: Security Context (1/2) – Good Practices

Docs As Code – Continuous Delivery von Präsentationen mit reveal.js und Jenkins – Teil 2

Kubernetes AppOps Security Teil 2: Network Policies einsetzen (2/2) – Fortgeschrittene Themen und Tipps

Kubernetes AppOps Security Teil 1: Network Policies einsetzen (1/2) – Grundlagen und Good Practices