Container: Kubernetes-Audit hält System für zu kompliziert

Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer.

Artikel veröffentlicht am ,
Das Audit von Kubernetes ist verfügbar.
Das Audit von Kubernetes ist verfügbar. (Bild: David Spender, flickr.com/CC-BY 2.0)

In der IT-Industrie ist es inzwischen üblich, die Sicherheit großer Softwareprojekte durch externe Prüfer untersuchen zu lassen. Die Cloud Native Computing Foundation (CNCF) hat nun die Ergebnisse solch eines Audits für die Container-Orchestrierung Kubernetes veröffentlicht. Die Prüfer haben nicht nur einige Sicherheitslücken gefunden, sondern bemängeln auch deutlich den Aufbau des Projekts und dessen Codequalität.

Das zuständige Team der beteiligten Firmen Trail of Bits und Atredis Partners hat dem Abschlussbericht zufolge insgesamt 37 Sicherheitslücken gefunden, wovon fünf mit einer hohen Gefahr bewertet worden sind. Bei der schieren Größe des Projektes ist diese Anzahl wenig verwunderlich.

Die Prüfer haben sich allerdings bei der Untersuchung auch nur auf acht Kernkomponenten der Software beschränkt und nur jene Probleme der Implementierung betrachtet, die "offensichtlich falsch" seien. Auch habe der Fokus der Untersuchung eher auf "Breite statt Tiefe" gelegen.

Kein guter Code

Interessant an der Auswertung ist vor allem die Einordnung von Kubernetes durch die Prüfer unabhängig von den gefundenen Lücken selbst. So wird Kubernetes als System mit "erheblicher Komplexität" bezeichnet. Ebenso seien die Konfiguration und das Deployment nicht trivial. Das wieder liege an "verwirrenden Standardeinstellungen, fehlenden Steuerungselementen und nur implizit definierten Security-Kontrollelementen".

Die Kritik geht aber noch weiter: So habe die riesige Codebasis große Teile mit nur "minimaler Dokumentation" sowie zahlreiche externe Abhängigkeiten. Außerdem gebe es viele Stellen, an denen bestimmte Programmlogik einfach reimplementiert wird. Hier wäre es besser, diese in zentrale Helferbibliotheken auszulagern.

Kubernetes nutzt dem Audit zufolge auch standardmäßig unsicheres TLS, enthüllt Zugangsdaten über Umgebungsvariablen oder Kommandozeilenargumente; sogenannte Secrets, also sicherheitsrelevante Daten, die eigentlich geheim gehalten werden sollten, werden in Logdaten abgelegt. Die Prüfer bemängeln letztlich auch, dass Kubernetes die Linux-Technik Seccomp nicht verwendet.

Die Sicherheitsarbeitsgruppe von Kubernetes hat zusätzlich zu dem Audit selbst weiteres Material der Untersuchung auf Github veröffentlicht. Dazu gehören Analysen zu Angriffsarten und Verteidigungsmöglichkeiten von Kubernetes-Installationen sowie möglicher Bedrohungsszenarien und ein Security-Whitepaper.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


hyrsh 09. Aug 2019

Teile des Audits sind wirklich schlecht dargestellt. Man kann die "getesteten...

uschatko 09. Aug 2019

war klar. Schön das es mal jemand sagt, das könnte vielleicht mal ein Gegengewicht zum...

eisbart 08. Aug 2019

Kommt immer drauf an und ist aus der ferne nicht kommentierbar. Ich nehme an es handelt...



Aktuell auf der Startseite von Golem.de
Galaxy S23 im Hands-on
Viel Leistung und viel Kamera

Samsungs neue Galaxy-S23-Modelle sind sehr leistungsstark und hochwertig. Die 200-Megapixel-Kamera bekommt nur das Ultra-Modell.
Ein Hands-on von Tobias Költzsch

Galaxy S23 im Hands-on: Viel Leistung und viel Kamera
Artikel
  1. Energiespargeräte und Diskokugeln: Bundesnetzagentur zieht 15 Millionen Geräte aus dem Verkehr
    Energiespargeräte und Diskokugeln
    Bundesnetzagentur zieht 15 Millionen Geräte aus dem Verkehr

    Die Bundesnetzagentur hat im vergangenen Jahr zahlreiche Produkte verboten. Darunter sind Energiespargeräte, Fernbedienungen und Diskokugeln.

  2. Western Australia: Eine radioaktive Kapsel - irgendwo im australischen Outback
    Western Australia
    Eine radioaktive Kapsel - irgendwo im australischen Outback

    Wie eine radioaktive Kapsel in Australien verlorengehen konnte, ob sie gefährlich ist, warum sie so schwierig zu finden war und wofür solche Kapseln gut sind.
    Ein Bericht von Werner Pluta

  3. Galaxy Book 3: Samsung stellt die Galaxy-Book-3-Serie vor
    Galaxy Book 3
    Samsung stellt die Galaxy-Book-3-Serie vor

    Neben der Hardware legt Samsung Wert auf die mitgelieferte Software. Damit sollen sich Notebook und Mobilgeräte leichter gemeinsam nutzen lassen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 77% Rabatt auf Fernseher bei Otto • Roccat Kone Pro -56% • Xbox Series S + Dead Space 299,99€ • PCGH Cyber Week • MindStar: ASRock RX 7900 XT 949€ • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ [Werbung]
    •  /