Container: Kubernetes-Audit hält System für zu kompliziert

Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer.

Artikel veröffentlicht am ,
Das Audit von Kubernetes ist verfügbar.
Das Audit von Kubernetes ist verfügbar. (Bild: David Spender, flickr.com/CC-BY 2.0)

In der IT-Industrie ist es inzwischen üblich, die Sicherheit großer Softwareprojekte durch externe Prüfer untersuchen zu lassen. Die Cloud Native Computing Foundation (CNCF) hat nun die Ergebnisse solch eines Audits für die Container-Orchestrierung Kubernetes veröffentlicht. Die Prüfer haben nicht nur einige Sicherheitslücken gefunden, sondern bemängeln auch deutlich den Aufbau des Projekts und dessen Codequalität.

Stellenmarkt
  1. Berater Krankenhausinformationssystem (KIS) Neueinführungen (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
  2. Delphi - Entwickler (m/w/d)
    medavis GmbH, Karlsruhe
Detailsuche

Das zuständige Team der beteiligten Firmen Trail of Bits und Atredis Partners hat dem Abschlussbericht zufolge insgesamt 37 Sicherheitslücken gefunden, wovon fünf mit einer hohen Gefahr bewertet worden sind. Bei der schieren Größe des Projektes ist diese Anzahl wenig verwunderlich.

Die Prüfer haben sich allerdings bei der Untersuchung auch nur auf acht Kernkomponenten der Software beschränkt und nur jene Probleme der Implementierung betrachtet, die "offensichtlich falsch" seien. Auch habe der Fokus der Untersuchung eher auf "Breite statt Tiefe" gelegen.

Kein guter Code

Interessant an der Auswertung ist vor allem die Einordnung von Kubernetes durch die Prüfer unabhängig von den gefundenen Lücken selbst. So wird Kubernetes als System mit "erheblicher Komplexität" bezeichnet. Ebenso seien die Konfiguration und das Deployment nicht trivial. Das wieder liege an "verwirrenden Standardeinstellungen, fehlenden Steuerungselementen und nur implizit definierten Security-Kontrollelementen".

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
Weitere IT-Trainings

Die Kritik geht aber noch weiter: So habe die riesige Codebasis große Teile mit nur "minimaler Dokumentation" sowie zahlreiche externe Abhängigkeiten. Außerdem gebe es viele Stellen, an denen bestimmte Programmlogik einfach reimplementiert wird. Hier wäre es besser, diese in zentrale Helferbibliotheken auszulagern.

Kubernetes nutzt dem Audit zufolge auch standardmäßig unsicheres TLS, enthüllt Zugangsdaten über Umgebungsvariablen oder Kommandozeilenargumente; sogenannte Secrets, also sicherheitsrelevante Daten, die eigentlich geheim gehalten werden sollten, werden in Logdaten abgelegt. Die Prüfer bemängeln letztlich auch, dass Kubernetes die Linux-Technik Seccomp nicht verwendet.

Die Sicherheitsarbeitsgruppe von Kubernetes hat zusätzlich zu dem Audit selbst weiteres Material der Untersuchung auf Github veröffentlicht. Dazu gehören Analysen zu Angriffsarten und Verteidigungsmöglichkeiten von Kubernetes-Installationen sowie möglicher Bedrohungsszenarien und ein Security-Whitepaper.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  2. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /