Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

SIGS DATACOM GmbH

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)2241/2341-100

kundenservice@sigs-datacom.de

Security Context – Teil 2: Hintergründe

Werden Anwendungen auf managed Kubernetes-Clustern betrieben, ist auch der Betreiber des Clusters (beispielsweise Amazon oder „der Betrieb”) für die Sicherheit zuständig, oder? Nicht ganz! Zwar abstrahiert Kubernetes von der Hardware, sein API bietet dennoch viele Möglichkeiten, die Sicherheit der darauf betriebenen Anwendungen gegenüber der Standardeinstellung zu verbessern. Dieser Artikel bietet Hintergrundwissen zum Security Context in K8s: Isolation von Containern, Angriffsvektoren, Verteidigung & Tooling.

Ein Container ist im Grunde ein normaler Linux-Prozess, der durch bestimmte Kernel-Komponenten isoliert vom Rest des Systems läuft. Dies macht Container leichtgewichtiger, aber auch angreifbarer als virtuelle Maschinen (VMs). Um diese Angriffsfläche zu reduzieren, bieten Container-Runtimes vielfältige Einstellungen, deren Standardwerte einen Kompromiss zwischen Benutzbarkeit und Sicherheit darstellen.

An dieser Stelle kann man als Entwickler durch einige good Practices die Angriffsfläche verklei…