• IT-Karriere:
  • Services:

Container: Kubernetes-Audit hält System für zu kompliziert

Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer.

Artikel veröffentlicht am ,
Das Audit von Kubernetes ist verfügbar.
Das Audit von Kubernetes ist verfügbar. (Bild: David Spender, flickr.com/CC-BY 2.0)

In der IT-Industrie ist es inzwischen üblich, die Sicherheit großer Softwareprojekte durch externe Prüfer untersuchen zu lassen. Die Cloud Native Computing Foundation (CNCF) hat nun die Ergebnisse solch eines Audits für die Container-Orchestrierung Kubernetes veröffentlicht. Die Prüfer haben nicht nur einige Sicherheitslücken gefunden, sondern bemängeln auch deutlich den Aufbau des Projekts und dessen Codequalität.

Stellenmarkt
  1. MVTec Software GmbH, München
  2. KION Group AG, Frankfurt am Main

Das zuständige Team der beteiligten Firmen Trail of Bits und Atredis Partners hat dem Abschlussbericht zufolge insgesamt 37 Sicherheitslücken gefunden, wovon fünf mit einer hohen Gefahr bewertet worden sind. Bei der schieren Größe des Projektes ist diese Anzahl wenig verwunderlich.

Die Prüfer haben sich allerdings bei der Untersuchung auch nur auf acht Kernkomponenten der Software beschränkt und nur jene Probleme der Implementierung betrachtet, die "offensichtlich falsch" seien. Auch habe der Fokus der Untersuchung eher auf "Breite statt Tiefe" gelegen.

Kein guter Code

Interessant an der Auswertung ist vor allem die Einordnung von Kubernetes durch die Prüfer unabhängig von den gefundenen Lücken selbst. So wird Kubernetes als System mit "erheblicher Komplexität" bezeichnet. Ebenso seien die Konfiguration und das Deployment nicht trivial. Das wieder liege an "verwirrenden Standardeinstellungen, fehlenden Steuerungselementen und nur implizit definierten Security-Kontrollelementen".

Die Kritik geht aber noch weiter: So habe die riesige Codebasis große Teile mit nur "minimaler Dokumentation" sowie zahlreiche externe Abhängigkeiten. Außerdem gebe es viele Stellen, an denen bestimmte Programmlogik einfach reimplementiert wird. Hier wäre es besser, diese in zentrale Helferbibliotheken auszulagern.

Kubernetes nutzt dem Audit zufolge auch standardmäßig unsicheres TLS, enthüllt Zugangsdaten über Umgebungsvariablen oder Kommandozeilenargumente; sogenannte Secrets, also sicherheitsrelevante Daten, die eigentlich geheim gehalten werden sollten, werden in Logdaten abgelegt. Die Prüfer bemängeln letztlich auch, dass Kubernetes die Linux-Technik Seccomp nicht verwendet.

Die Sicherheitsarbeitsgruppe von Kubernetes hat zusätzlich zu dem Audit selbst weiteres Material der Untersuchung auf Github veröffentlicht. Dazu gehören Analysen zu Angriffsarten und Verteidigungsmöglichkeiten von Kubernetes-Installationen sowie möglicher Bedrohungsszenarien und ein Security-Whitepaper.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

hyrsh 09. Aug 2019

Teile des Audits sind wirklich schlecht dargestellt. Man kann die "getesteten...

uschatko 09. Aug 2019

war klar. Schön das es mal jemand sagt, das könnte vielleicht mal ein Gegengewicht zum...

eisbart 08. Aug 2019

Kommt immer drauf an und ist aus der ferne nicht kommentierbar. Ich nehme an es handelt...


Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /