1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Container: Kubernetes-Audit hält…

Kubernetes ist nichts für Laien

  1. Thema

Neues Thema Ansicht wechseln


  1. Kubernetes ist nichts für Laien

    Autor: hyrsh 09.08.19 - 23:46

    Teile des Audits sind wirklich schlecht dargestellt.

    Man kann die "getesteten" Komponenten von Kubernetes natürlich als Developer Instanz betreiben; ohne TLS oder weitere Sicherheit. Die Darstellung, dass "insecure" Flags (die natürlich nicht umsonst so heißen) als potenzielle Sicherheitslücke dienen, ist meiner Meinung nach eine etwas verzerrte Betrachtung.

    Desweiteren sind die beschriebenen Mängel sehr oft auf leichtsinnige oder laienhafte Konfiguration zurückzuführen und haben nichts mit dem System Kubernetes an sich zu tun.
    Wer zum Beispiel Datenbanken öffentlich exposed, sollte die Finger von verteilten Systemen lassen. Das gilt für jegliche sensiblen Komponenten (Datenbanken, Clientsysteme mit Steuerungsanteilen etc.). Wenn ein Admin seine Oracle Datenbank öffentlich ins Netz stellt und "password" als Passwort setzt, ist Oracle nicht automatisch ein schlechtes System.

    Fast schon eine Frechheit sind die benutzten "Testumgebungen" auf Basis von Hyperkube und Kind. Die KubeADM Wrapper sind nichts für produktive Umgebungen. Das interessante sind hier aber nicht die Sicherheitslücken, sondern die Third-Party-Dependency der Control-Plane Komponenten.

    Wer Kubernetes produktiv einsetzen will, sollte nicht auf eine "Knopfdruck-Installation" pochen und einen Sicherheitsstandard vom Weißen Haus erwarten.

    Wenn man so ein System aufsetzen will, muss man mit dem Design der Infrastruktur ebenso viel Zeit investieren.

    Nachtrag:
    Die Geschichte mit "kubectl" und "port-forward" als "nichtauthentifizierte Verbindungsstelle zum Cluster" ist sehr verfälscht beschrieben. Das RBAC Konzept hinter einem Service Account zwingt den User eine valide Konfiguration für das entsprechende Cluster zu haben, um ein Portforwarding durchführen zu können; hinzu kommt, dass man Portforwarding per RBAC verbieten kann (was die Lücke schließt bei korrekter Anwendung).

    Fazit:
    Der Aufwand steigt mit dem Anspruch an Sicherheit. Man kann Kubernetes sicher betreiben; in jeder Umgebung.
    Wenn man aber keine Ahnung von einem System hat, sollte man es nicht produktiv einsetzen.
    Leute sterben beim Einsatz von Smartphones; Darwinismus at its finest!



    1 mal bearbeitet, zuletzt am 09.08.19 23:48 durch hyrsh.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Raum Lörrach
  2. akquinet AG, Hamburg
  3. ARRI Media GmbH, München
  4. Mitsubishi Electric Europe B.V., Ratingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  2. 299,00€ (Bestpreis! zzgl. Versand)
  3. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Top-Level-Domains: Wem gehören .amazon, .ostsee und .angkorwat?
Top-Level-Domains
Wem gehören .amazon, .ostsee und .angkorwat?

Südamerikanische Regierungen streiten sich seit Jahren mit Amazon um die Top-Level-Domain .amazon. Bislang stehen die Regierungen als Verlierer da. Ein anderer Verlierer ist jedoch die Icann, die es nicht schafft, das öffentliche Interesse an solch einer Domain ausreichend zu berücksichtigen.
Von Katrin Ohlmer

  1. Icann Namecheap startet Beschwerde wegen .org-Preisen
  2. Domain-Registrierung Icann drückt .org-Vertrag ohne Preisschranken durch
  3. Domain-Registrierung Mehrheit widerspricht Icann-Plan zur .org-Preiserhöhung

Ryzen 9 3950X im Test: AMDs konkurrenzlose 16 Kerne
Ryzen 9 3950X im Test
AMDs konkurrenzlose 16 Kerne

Der Ryzen 9 3950X ist vorerst die Krönung für den Sockel AM4: Die CPU rechnet schneller als alle anderen Mittelklasse-Chips, selbst Intels deutlich teurere Modelle mit 18 Kernen überholt das AMD-Modell locker.
Ein Test von Marc Sauter

  1. Zen-CPUs AMD nennt konkrete Termine für Ryzen 3950X und Threadripper
  2. Castle Peak AMDs Threadripper v3 sollen am 19. November erscheinen
  3. OEM & China AMD bringt Ryzen 3900 und Ryzen 3500X