Abo
  • IT-Karriere:

Container: Kubernetes-Audit hält System für zu kompliziert

Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer.

Artikel veröffentlicht am ,
Das Audit von Kubernetes ist verfügbar.
Das Audit von Kubernetes ist verfügbar. (Bild: David Spender, flickr.com/CC-BY 2.0)

In der IT-Industrie ist es inzwischen üblich, die Sicherheit großer Softwareprojekte durch externe Prüfer untersuchen zu lassen. Die Cloud Native Computing Foundation (CNCF) hat nun die Ergebnisse solch eines Audits für die Container-Orchestrierung Kubernetes veröffentlicht. Die Prüfer haben nicht nur einige Sicherheitslücken gefunden, sondern bemängeln auch deutlich den Aufbau des Projekts und dessen Codequalität.

Stellenmarkt
  1. Versicherungskammer Bayern, Saarbrücken
  2. SSI SCHÄFER Automation GmbH, Giebelstadt

Das zuständige Team der beteiligten Firmen Trail of Bits und Atredis Partners hat dem Abschlussbericht zufolge insgesamt 37 Sicherheitslücken gefunden, wovon fünf mit einer hohen Gefahr bewertet worden sind. Bei der schieren Größe des Projektes ist diese Anzahl wenig verwunderlich.

Die Prüfer haben sich allerdings bei der Untersuchung auch nur auf acht Kernkomponenten der Software beschränkt und nur jene Probleme der Implementierung betrachtet, die "offensichtlich falsch" seien. Auch habe der Fokus der Untersuchung eher auf "Breite statt Tiefe" gelegen.

Kein guter Code

Interessant an der Auswertung ist vor allem die Einordnung von Kubernetes durch die Prüfer unabhängig von den gefundenen Lücken selbst. So wird Kubernetes als System mit "erheblicher Komplexität" bezeichnet. Ebenso seien die Konfiguration und das Deployment nicht trivial. Das wieder liege an "verwirrenden Standardeinstellungen, fehlenden Steuerungselementen und nur implizit definierten Security-Kontrollelementen".

Die Kritik geht aber noch weiter: So habe die riesige Codebasis große Teile mit nur "minimaler Dokumentation" sowie zahlreiche externe Abhängigkeiten. Außerdem gebe es viele Stellen, an denen bestimmte Programmlogik einfach reimplementiert wird. Hier wäre es besser, diese in zentrale Helferbibliotheken auszulagern.

Kubernetes nutzt dem Audit zufolge auch standardmäßig unsicheres TLS, enthüllt Zugangsdaten über Umgebungsvariablen oder Kommandozeilenargumente; sogenannte Secrets, also sicherheitsrelevante Daten, die eigentlich geheim gehalten werden sollten, werden in Logdaten abgelegt. Die Prüfer bemängeln letztlich auch, dass Kubernetes die Linux-Technik Seccomp nicht verwendet.

Die Sicherheitsarbeitsgruppe von Kubernetes hat zusätzlich zu dem Audit selbst weiteres Material der Untersuchung auf Github veröffentlicht. Dazu gehören Analysen zu Angriffsarten und Verteidigungsmöglichkeiten von Kubernetes-Installationen sowie möglicher Bedrohungsszenarien und ein Security-Whitepaper.



Anzeige
Top-Angebote
  1. 337,00€
  2. 69,99€ (Release am 25. Oktober)
  3. 39,99€ (Release am 3. Dezember)
  4. (aktuell u. a. Corsair Glaive RGB Gaming-Maus für 32,99€, Microsoft Office 365 Home 1 Jahr für...

hyrsh 09. Aug 2019

Teile des Audits sind wirklich schlecht dargestellt. Man kann die "getesteten...

uschatko 09. Aug 2019

war klar. Schön das es mal jemand sagt, das könnte vielleicht mal ein Gegengewicht zum...

eisbart 08. Aug 2019

Kommt immer drauf an und ist aus der ferne nicht kommentierbar. Ich nehme an es handelt...


Folgen Sie uns
       


LG G8x Thinq - Hands on

Das G8x Thinq von LG kann mit einer speziellen Hülle verwendet werden, die dem Smartphone einen zweiten Bildschirm hinzufügt. Golem.de hat sich das Gespann in einem ersten Kurztest angeschaut.

LG G8x Thinq - Hands on Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /