SlideShare ist ein Scribd-Unternehmen logo

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?

QAware GmbH
QAware GmbH

CloudLand 2023, Juni 2023, Markus Zimmermann == Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! == Ein Kubernetes Cluster ist heutzutage schnell aufgesetzt: ob mit Installationsplattformen wie Rancher oder in der Public Cloud als Managed Service wie AWS EKS. Doch die größten Probleme ergeben sich im aktiven Betrieb des Clusters. Im Enterprise-Umfeld hat die Konzern-Security sehr viele Anforderungen an den Cluster, ohne die ein Produktiveinsatz nicht möglich ist. Es stellt sich nun die Frage: Brauche ich Enterprise-Versionen von Security Tools oder gibt es auch gute Open Source Tools, die all meine Anforderungen erfüllen? In meinem Talk möchte ich eine Übersicht über die State-of-the-Art Open Source Tools für verschiedene Kubernetes-Security-Themen geben und zeigen, inwieweit sie allgemeine Enterprise-Anforderungen erfüllen. Die Themen sind unter anderem: - Signierung von Container Images - Mutual TLS zwischen Microservices - Container und Application Vulnerability Scanning - Cluster Runtime Security - Governance durch Policies Dabei ergänze ich jede Vorstellung der Tools mit Erfahrungen und Best Practices aus dem Projektalltag und zeige die Limitierungen der Tools auf.

Daten & Analysen
1 von 53
Downloaden Sie, um offline zu lesen
qaware.de Enterprise-level Kubernetes Security mit Open Source Tools - geht das? Cloudland 2023 Markus Zimmermann markus.zimmermann@qaware.de @markuszm
QAware | 2 Markus Zimmermann Software Architect @markus_zm #golangnerd #qaware
Kapiteltrenner © Tagesschau
Security Vorgaben im Konzern 4 QAware
Agenda ● Definition Enterprise Security ● Kubernetes Security Basics ● Threats und Schutzmaßnahmen ● Open Source Tools Vorstellungen ● Enterprise Tauglichkeit
Was heißt Enterprise Security? 6 QAware © Merriam-Webster https://www.merriam-webster.com/
Definition Enterprise Security ■ Hohe Compliance Anforderungen Bsp. ISO/IEC 27001 – DSGVO hat größeren Impact – Sicherheitskritische Systeme bsp. Bankenwesen ■ Großer Scale: Viele verschiedene Bereiche und diverse Teams und Projekte – Nicht jeder nutzt den gleichen Software Stack oder den gleichen Cloud Provider ■ Komplizierte Netzwerke und IT Infrastrukturen 7 QAware
Was brauchen Tools, um Enterprise-Ready zu sein? ■ Management Visibility – Analyse per Dashboards in zentralisierten UIs und Reporting – Integration in andere Enterprise Tools wie Jira oder Service Now – Anbindungen an SAML/OIDC für Logins und RBAC Konzept ■ Hohe Skalierbarkeit – Software-agnostisch und Provider-agnostisch -> Plugins – Automatisierung per APIs ■ Compliance – Möglichkeit für Self-Hosting oder SaaS Lösung Zertifiziert – Audit Logs – Professional Support 8 QAware
Kubernetes Security Basics
Generelle Security Prinzipien 10 QAware Security auf allen Ebenen Begrenzung der Angriffsfläche “Principle of Least Privilege”
Control Plane absichern ■ Private Networking ■ Authentication mit OIDC oder SAML zum AD ■ Managed Service von Cloud Providern nutzen ■ Kubernetes Dashboard - read-only 11 QAware
Authorization - RBAC 12 QAware Resource
L4 - Network Policies 13 QAware ■ Ingress und Egress Zugriff auf Pod Ebene einschränken ■ Regeln sind Additiv ■ Deny-All Regeln nicht vergessen
Pods und Secrets 14 QAware ■ Automount von Default Service Account deaktivieren ■ Container Image Version nie auf Latest ■ Reduzierte Base Images nutzen ■ Secret Zugriff per RBAC einschränken ■ Secrets verschlüsseln in Repos bsp. mit Sealed Secrets
Was ist mit Pod Security Policies? 15 QAware
Threats und Schutzmaßnahmen
17 QAware Unsere Beispiel Architektur
18 QAware Die Threats Manipulierte Images Vulnerabilities in Code oder Container Falsche Applikation oder Runtime Konfiguration Traffic Manipulation und Überwachung Falscher Netzwerkzugriff Cluster Manipulationen und Host Zugri ff Vulnerabilities in laufenden Services
19 QAware Schutzmaßnahmen Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Open Source Tools Vorstellungen
Auswahlkriterien für Open Source Tools ■ Aktive Community-Unterstützung und regelmäßige Updates ■ Viele Nutzer in Production und “Production Readiness” ■ Qualität der Dokumentation ■ Features und Erweiterbarkeit ■ Unterstützung für gängige Plattformen 21 QAware
22 QAware Schutzmaßnahme - Image Signing Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Image Signing - Zwei populäre Konkurrenten 23
Image Signing - Notary vs Cosign 24 ■ Notary v1 - komplexes Setup mit Server Installation ■ Notary v2/Notation noch im Release Candidate Status ■ Notation hat mehr Features wie Key Revocation und besseren Signature Payload ■ Unterstützung von Standard OCIs - hohe Kompatiblität ■ Keyless Signatures mit Github OIDC ■ Key Management Support für populäre Clouds Notary Cosign
Image Signing - Empfehlung cosign und Connaisseur 25 QAware
Image Signing - Best Practices 26 QAware ■ Als Transparency Log kann man die Public Instanz nutzen aber auch selber hosten ■ k8s System Images oft nicht abgedeckt ■ Historie durch Batch Signierung nachziehen ■ Connaisseur unterstützt mehrere Public Keys somit lassen sich mehrere Sources abdecken
27 QAware Schutzmaßnahme - Vulnerability Scanning Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Vulnerability Scanning - Zwei populäre Konkurrenten 28
Vulnerability Scanning - Trivy vs Clair 29 ■ Simples Setup - nur eine Binary ■ Schnellere Scans ■ Application Scanning von 8 Programmiersprachen und Container Scanning ■ Kompliziertes Server und Vulnerability Datenbank Setup ■ Nur Container Scanning ■ Mehr Flexibilität bei Vulnerability Databases Trivy Clair
Vulnerability Scanning - Empfehlung Container Scanning mit Trivy in CI 30 ■ Scannt nahezu alle OS Package Systeme ■ Kann auch Application Dependencies scannen (nutzt dafür die Github Datenbank) ■ Simples Setup - keine Datenbank oder Server Instanz notwendig ■ Leicht in CI integrierbar QAware
Vulnerability Scanning - Empfehlung Trivy Operator im Cluster 31
Vulnerability Scanning - Best Practices 32 QAware ■ Entwickler werden sich über False Positives beschweren -> Suppressions notwendig ■ Belohnungen notwendig damit Vulnerabilities auch konstant gefixt werden ■ Container Vulnerabilities sind eine Blackbox für Entwickler -> Automatische Updates der Base Images ■ Statische Dependency Analyse kann natürlich nicht genau bestimmen ob eine Vulnerability wirklich ausgenutzt werden kann
33 QAware Schutzmaßnahme - Policy Management Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Policy Management - Zwei populäre Konkurrenten 34
Policy Management - OPA vs Kyverno 35 ■ Policy in Rego ■ Komplexe Policies möglich ■ Außerhalb von k8s auch einsetzbar bsp. Terraform ■ Validation, Mutation ■ Simpler zu nutzen, da Policies k8s nativ ■ Validation, Mutation, Generation ■ Image Verification von Signaturen (beta) OPA / Gatekeeper Kyverno
Policy Management - Beispiel Kyverno 36 Source: https://kyverno.io/docs/introduction/
Policy Management - Best Practices 37 QAware ■ Policies immer vorher testen bevor auf Prod -> Erst Audit dann Enforce ■ Default Policies aka Pod Security Standards verwenden ■ Beispiel Policies in den Policy Libraries nutzen ■ Bei GitOps darauf achten bei Mutation Felder zu ignorieren ■ Kyverno reicht für Kubernetes-only - bei komplexeren Policies oder Self-Service Platform lieber OPA nutzen
38 QAware Schutzmaßnahme - Service Mesh Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Service Mesh - Zwei populäre Konkurrenten 39 Istio
Service Mesh - Zwei Möglichkeiten 40 ■ Beide sind in Production im Einsatz bei vielen Unternehmen ■ Linkerd ist simpler aber hat weniger Features in Sachen Traffic Management und Zero Trust Networking ■ Vom Observability Aspekt ähnlich Wer die Features braucht nimmt Istio QAware
Wie hilft ein Service Mesh hier bei mTLS? 41 Beispiel mit Istio
Service Mesh - Best Practices 42 ■ Gute Testphase wichtig und Blue/Green ausrollen ■ Production Runbook von Linkerd beachten https://buoyant.io/runbook/linkerd-runbook ■ Ohne Probleme ist es nicht einsetzbar - Zeitpuffer einplanen ■ LINUX Netzwerk Verständnis unersetzlich QAware
43 QAware Schutzmaßnahme - Runtime Security Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
Runtime Security - Viele Optionen 44 QAware Cilium Tetragon
Runtime Security - Tool Vergleich 45 ■ Alle drei können Security Violations mit Policies auf System Calls erkennen ■ Tetragon in Cilium und Aqua Tracee sind von Anfang an eBPF basiert, Falco zieht ihre Regeln nach ■ Aqua Tracee kann mit Forensics interessante Artifacts analyisieren ■ Falco und Tetragon können auch Policies enforcen
Runtime Security - Beispiel Falco 46 Source: https://falco.org
Runtime Security - Erfahrungen mit Falco 47 QAware ■ Default Regeln verursachen sehr viel Noise ■ Viele false positives die gefiltert werden müssen ■ Policy Management als Admission Hook schränkt auch schon viel ein ■ Bräuchte ML um bessere Erkennung zu bekommen weil unklar ist was ein Angriff ist und was nicht
Open Source Tools Vorstellungen
Enterprisetauglichkeit der Lösungen 49 QAware ■ Management Visibility – Analyse per Dashboards und Reporting – Integration in andere Enterprise Tools – Falls UI - Loginanbindung und RBAC Skala von gut bis schlecht erfüllt ■ Hohe Skalierbarkeit – Software-agnostisch und Provider-agnostisch – Automatisierung per APIs ■ Compliance – Möglichkeit für Self-Hosting – Audit Logs – Professional Support
Wann SaaS Lösung? 50 ■ Zertifiziert und DSGVO Konform ■ Eigene Betriebs- und Entwicklungskosten zu groß ■ Kein eigenes Knowledge im Thema und keine Kapazität ■ Vergleich der Kosten: – Enterprise self-hosting – Entwicklungskosten mit Opensource – SaaS Lösung QAware
Zusammenfassung 51 QAware ■ Kubernetes Security Basics im Kopf behalten ■ Open Source Tooling hat die richtigen Features aber fürs Enterprise sind Erweiterungen nötig im Bereich Reporting und Integrationen sowie Compliance ■ Professional Support meistens einkaufbar mit Enterprise Produkten basierend auf den Open Source Tools ■ Contribute!
Tiefer einsteigen auf der Cloudland 52 QAware
qaware.de QAware GmbH Aschauer Straße 32 81549 München Tel. +49 89 232315-0 info@qaware.de twitter.com/qaware linkedin.com/company/qaware-gmbh xing.com/companies/qawaregmbh slideshare.net/qaware github.com/qaware Q&A

Empfohlen

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse QAware GmbH
 
Policy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentPolicy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentQAware GmbH
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozessx-celerate
 
50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdf50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdfQAware GmbH
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringQAware GmbH
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererQAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 

Empfohlen

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse QAware GmbH
 
Policy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentPolicy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentQAware GmbH
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozessx-celerate
 
50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdf50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdfQAware GmbH
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringQAware GmbH
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererQAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringQAware GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Lizenzmanagement in der Praxis
Lizenzmanagement in der PraxisLizenzmanagement in der Praxis
Lizenzmanagement in der PraxisDigicomp Academy AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOpsEduard van den Bongard
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013NETWAYS
 
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See... Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...QAware GmbH
 
Clean Architecture
Clean ArchitectureClean Architecture
Clean ArchitectureQAware GmbH
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“QAware GmbH
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
 
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...QAware GmbH
 
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzFully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzQAware GmbH
 

Weitere ähnliche Inhalte

Ähnlich wie Enterprise-level Kubernetes Security mit Open Source Tools - geht das?

Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringQAware GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013NETWAYS
 
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See... Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...QAware GmbH
 
Clean Architecture
Clean ArchitectureClean Architecture
Clean ArchitectureQAware GmbH
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“QAware GmbH
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
 

Ähnlich wie Enterprise-level Kubernetes Security mit Open Source Tools - geht das? (20)

Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform Engineering
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Lizenzmanagement in der Praxis
Lizenzmanagement in der PraxisLizenzmanagement in der Praxis
Lizenzmanagement in der Praxis
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
 
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See... Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
 
Clean Architecture
Clean ArchitectureClean Architecture
Clean Architecture
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
 
ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“ROSIK Stammtisch „Clean Architecture“
ROSIK Stammtisch „Clean Architecture“
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
 

Mehr von QAware GmbH

Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...QAware GmbH
 
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzFully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzQAware GmbH
 
Down the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile ArchitectureDown the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile ArchitectureQAware GmbH
 
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!QAware GmbH
 
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit PlaywrightDer Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit PlaywrightQAware GmbH
 
Was kommt nach den SPAs
Was kommt nach den SPAsWas kommt nach den SPAs
Was kommt nach den SPAsQAware GmbH
 
Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo QAware GmbH
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster QAware GmbH
 
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.QAware GmbH
 
Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!QAware GmbH
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s AutoscalingQAware GmbH
 
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAPKontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAPQAware GmbH
 
Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.QAware GmbH
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s AutoscalingQAware GmbH
 
Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.QAware GmbH
 
Per Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API GatewaysPer Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API GatewaysQAware GmbH
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster QAware GmbH
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration TestsQAware GmbH
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-ClusterAus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-ClusterQAware GmbH
 
Cloud Migration – Eine Strategie die funktioniert
Cloud Migration – Eine Strategie die funktioniertCloud Migration – Eine Strategie die funktioniert
Cloud Migration – Eine Strategie die funktioniertQAware GmbH
 

Mehr von QAware GmbH (20)

Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
 
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzFully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
 
Down the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile ArchitectureDown the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile Architecture
 
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
 
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit PlaywrightDer Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
 
Was kommt nach den SPAs
Was kommt nach den SPAsWas kommt nach den SPAs
Was kommt nach den SPAs
 
Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
 
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
 
Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling
 
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAPKontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
 
Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling
 
Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.
 
Per Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API GatewaysPer Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API Gateways
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration Tests
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-ClusterAus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
 
Cloud Migration – Eine Strategie die funktioniert
Cloud Migration – Eine Strategie die funktioniertCloud Migration – Eine Strategie die funktioniert
Cloud Migration – Eine Strategie die funktioniert
 

Enterprise-level Kubernetes Security mit Open Source Tools - geht das?

  • 1. qaware.de Enterprise-level Kubernetes Security mit Open Source Tools - geht das? Cloudland 2023 Markus Zimmermann markus.zimmermann@qaware.de @markuszm
  • 2. QAware | 2 Markus Zimmermann Software Architect @markus_zm #golangnerd #qaware
  • 4. Security Vorgaben im Konzern 4 QAware
  • 5. Agenda ● Definition Enterprise Security ● Kubernetes Security Basics ● Threats und Schutzmaßnahmen ● Open Source Tools Vorstellungen ● Enterprise Tauglichkeit
  • 6. Was heißt Enterprise Security? 6 QAware © Merriam-Webster https://www.merriam-webster.com/
  • 7. Definition Enterprise Security ■ Hohe Compliance Anforderungen Bsp. ISO/IEC 27001 – DSGVO hat größeren Impact – Sicherheitskritische Systeme bsp. Bankenwesen ■ Großer Scale: Viele verschiedene Bereiche und diverse Teams und Projekte – Nicht jeder nutzt den gleichen Software Stack oder den gleichen Cloud Provider ■ Komplizierte Netzwerke und IT Infrastrukturen 7 QAware
  • 8. Was brauchen Tools, um Enterprise-Ready zu sein? ■ Management Visibility – Analyse per Dashboards in zentralisierten UIs und Reporting – Integration in andere Enterprise Tools wie Jira oder Service Now – Anbindungen an SAML/OIDC für Logins und RBAC Konzept ■ Hohe Skalierbarkeit – Software-agnostisch und Provider-agnostisch -> Plugins – Automatisierung per APIs ■ Compliance – Möglichkeit für Self-Hosting oder SaaS Lösung Zertifiziert – Audit Logs – Professional Support 8 QAware
  • 10. Generelle Security Prinzipien 10 QAware Security auf allen Ebenen Begrenzung der Angriffsfläche “Principle of Least Privilege”
  • 11. Control Plane absichern ■ Private Networking ■ Authentication mit OIDC oder SAML zum AD ■ Managed Service von Cloud Providern nutzen ■ Kubernetes Dashboard - read-only 11 QAware
  • 13. L4 - Network Policies 13 QAware ■ Ingress und Egress Zugriff auf Pod Ebene einschränken ■ Regeln sind Additiv ■ Deny-All Regeln nicht vergessen
  • 14. Pods und Secrets 14 QAware ■ Automount von Default Service Account deaktivieren ■ Container Image Version nie auf Latest ■ Reduzierte Base Images nutzen ■ Secret Zugriff per RBAC einschränken ■ Secrets verschlüsseln in Repos bsp. mit Sealed Secrets
  • 15. Was ist mit Pod Security Policies? 15 QAware
  • 18. 18 QAware Die Threats Manipulierte Images Vulnerabilities in Code oder Container Falsche Applikation oder Runtime Konfiguration Traffic Manipulation und Überwachung Falscher Netzwerkzugriff Cluster Manipulationen und Host Zugri ff Vulnerabilities in laufenden Services
  • 19. 19 QAware Schutzmaßnahmen Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 20. Open Source Tools Vorstellungen
  • 21. Auswahlkriterien für Open Source Tools ■ Aktive Community-Unterstützung und regelmäßige Updates ■ Viele Nutzer in Production und “Production Readiness” ■ Qualität der Dokumentation ■ Features und Erweiterbarkeit ■ Unterstützung für gängige Plattformen 21 QAware
  • 22. 22 QAware Schutzmaßnahme - Image Signing Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 23. Image Signing - Zwei populäre Konkurrenten 23
  • 24. Image Signing - Notary vs Cosign 24 ■ Notary v1 - komplexes Setup mit Server Installation ■ Notary v2/Notation noch im Release Candidate Status ■ Notation hat mehr Features wie Key Revocation und besseren Signature Payload ■ Unterstützung von Standard OCIs - hohe Kompatiblität ■ Keyless Signatures mit Github OIDC ■ Key Management Support für populäre Clouds Notary Cosign
  • 25. Image Signing - Empfehlung cosign und Connaisseur 25 QAware
  • 26. Image Signing - Best Practices 26 QAware ■ Als Transparency Log kann man die Public Instanz nutzen aber auch selber hosten ■ k8s System Images oft nicht abgedeckt ■ Historie durch Batch Signierung nachziehen ■ Connaisseur unterstützt mehrere Public Keys somit lassen sich mehrere Sources abdecken
  • 27. 27 QAware Schutzmaßnahme - Vulnerability Scanning Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 28. Vulnerability Scanning - Zwei populäre Konkurrenten 28
  • 29. Vulnerability Scanning - Trivy vs Clair 29 ■ Simples Setup - nur eine Binary ■ Schnellere Scans ■ Application Scanning von 8 Programmiersprachen und Container Scanning ■ Kompliziertes Server und Vulnerability Datenbank Setup ■ Nur Container Scanning ■ Mehr Flexibilität bei Vulnerability Databases Trivy Clair
  • 30. Vulnerability Scanning - Empfehlung Container Scanning mit Trivy in CI 30 ■ Scannt nahezu alle OS Package Systeme ■ Kann auch Application Dependencies scannen (nutzt dafür die Github Datenbank) ■ Simples Setup - keine Datenbank oder Server Instanz notwendig ■ Leicht in CI integrierbar QAware
  • 31. Vulnerability Scanning - Empfehlung Trivy Operator im Cluster 31
  • 32. Vulnerability Scanning - Best Practices 32 QAware ■ Entwickler werden sich über False Positives beschweren -> Suppressions notwendig ■ Belohnungen notwendig damit Vulnerabilities auch konstant gefixt werden ■ Container Vulnerabilities sind eine Blackbox für Entwickler -> Automatische Updates der Base Images ■ Statische Dependency Analyse kann natürlich nicht genau bestimmen ob eine Vulnerability wirklich ausgenutzt werden kann
  • 33. 33 QAware Schutzmaßnahme - Policy Management Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 34. Policy Management - Zwei populäre Konkurrenten 34
  • 35. Policy Management - OPA vs Kyverno 35 ■ Policy in Rego ■ Komplexe Policies möglich ■ Außerhalb von k8s auch einsetzbar bsp. Terraform ■ Validation, Mutation ■ Simpler zu nutzen, da Policies k8s nativ ■ Validation, Mutation, Generation ■ Image Verification von Signaturen (beta) OPA / Gatekeeper Kyverno
  • 36. Policy Management - Beispiel Kyverno 36 Source: https://kyverno.io/docs/introduction/
  • 37. Policy Management - Best Practices 37 QAware ■ Policies immer vorher testen bevor auf Prod -> Erst Audit dann Enforce ■ Default Policies aka Pod Security Standards verwenden ■ Beispiel Policies in den Policy Libraries nutzen ■ Bei GitOps darauf achten bei Mutation Felder zu ignorieren ■ Kyverno reicht für Kubernetes-only - bei komplexeren Policies oder Self-Service Platform lieber OPA nutzen
  • 38. 38 QAware Schutzmaßnahme - Service Mesh Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 39. Service Mesh - Zwei populäre Konkurrenten 39 Istio
  • 40. Service Mesh - Zwei Möglichkeiten 40 ■ Beide sind in Production im Einsatz bei vielen Unternehmen ■ Linkerd ist simpler aber hat weniger Features in Sachen Traffic Management und Zero Trust Networking ■ Vom Observability Aspekt ähnlich Wer die Features braucht nimmt Istio QAware
  • 41. Wie hilft ein Service Mesh hier bei mTLS? 41 Beispiel mit Istio
  • 42. Service Mesh - Best Practices 42 ■ Gute Testphase wichtig und Blue/Green ausrollen ■ Production Runbook von Linkerd beachten https://buoyant.io/runbook/linkerd-runbook ■ Ohne Probleme ist es nicht einsetzbar - Zeitpuffer einplanen ■ LINUX Netzwerk Verständnis unersetzlich QAware
  • 43. 43 QAware Schutzmaßnahme - Runtime Security Image Signing Vulnerability Scanning Governance durch Policies Mutual TLS und L7 Policies Runtime Security Vulnerabilities Scanning im Cluster
  • 44. Runtime Security - Viele Optionen 44 QAware Cilium Tetragon
  • 45. Runtime Security - Tool Vergleich 45 ■ Alle drei können Security Violations mit Policies auf System Calls erkennen ■ Tetragon in Cilium und Aqua Tracee sind von Anfang an eBPF basiert, Falco zieht ihre Regeln nach ■ Aqua Tracee kann mit Forensics interessante Artifacts analyisieren ■ Falco und Tetragon können auch Policies enforcen
  • 46. Runtime Security - Beispiel Falco 46 Source: https://falco.org
  • 47. Runtime Security - Erfahrungen mit Falco 47 QAware ■ Default Regeln verursachen sehr viel Noise ■ Viele false positives die gefiltert werden müssen ■ Policy Management als Admission Hook schränkt auch schon viel ein ■ Bräuchte ML um bessere Erkennung zu bekommen weil unklar ist was ein Angriff ist und was nicht
  • 48. Open Source Tools Vorstellungen
  • 49. Enterprisetauglichkeit der Lösungen 49 QAware ■ Management Visibility – Analyse per Dashboards und Reporting – Integration in andere Enterprise Tools – Falls UI - Loginanbindung und RBAC Skala von gut bis schlecht erfüllt ■ Hohe Skalierbarkeit – Software-agnostisch und Provider-agnostisch – Automatisierung per APIs ■ Compliance – Möglichkeit für Self-Hosting – Audit Logs – Professional Support
  • 50. Wann SaaS Lösung? 50 ■ Zertifiziert und DSGVO Konform ■ Eigene Betriebs- und Entwicklungskosten zu groß ■ Kein eigenes Knowledge im Thema und keine Kapazität ■ Vergleich der Kosten: – Enterprise self-hosting – Entwicklungskosten mit Opensource – SaaS Lösung QAware
  • 51. Zusammenfassung 51 QAware ■ Kubernetes Security Basics im Kopf behalten ■ Open Source Tooling hat die richtigen Features aber fürs Enterprise sind Erweiterungen nötig im Bereich Reporting und Integrationen sowie Compliance ■ Professional Support meistens einkaufbar mit Enterprise Produkten basierend auf den Open Source Tools ■ Contribute!
  • 52. Tiefer einsteigen auf der Cloudland 52 QAware
  • 53. qaware.de QAware GmbH Aschauer Straße 32 81549 München Tel. +49 89 232315-0 info@qaware.de twitter.com/qaware linkedin.com/company/qaware-gmbh xing.com/companies/qawaregmbh slideshare.net/qaware github.com/qaware Q&A