Unsichere Voreinstellungen: Wie Standard-Helm-Charts Kubernetes-Daten gefährden : Microsoft zeigt, wie falsch konfigurierte Kubernetes-Deployments Daten gefährden.
Microsoft warnt: Der Einsatz vorgefertigter Templates wie Standard-Helm-Charts kann bei Kubernetes-Einrichtungen zu Fehlkonfigurationen führen – und im schlimmsten Fall sensible Daten ungewollt nach außen tragen. Wer sich auf „Out-of-the-Box“-Lösungen verlässt, ohne sie sicherheitsbewusst anzupassen, riskiert gravierende Sicherheitslücken in der Container-Infrastruktur.
In vielen Kubernetes-Projekten werden Helm-Charts verwendet, um Anwendungen schnell und einfach bereitzustellen. Doch Sicherheitsexperten warnen: Die Standardeinstellungen in diesen Charts sind oft nicht sicher. Sie können dazu führen, dass vertrauliche Daten versehentlich offengelegt werden – zum Beispiel durch schlecht geschützte Zugangsdaten, öffentlich erreichbare Dienste oder fehlende Zugriffsbeschränkungen.
„Diese Plug-and-Play-Lösungen vereinfachen zwar den Einstieg erheblich, setzen jedoch oft Benutzerfreundlichkeit über Sicherheit“, erklären Michael Katchinskiy und Yossi Weizman vom Microsoft Defender for Cloud Research Team.
„Die Folge: Zahlreiche Anwendungen werden in einer unsicheren Standardkonfiguration bereitgestellt – und damit für Angreifer potenziell zugänglich. Vertrauliche Daten, Cloud-Ressourcen oder sogar komplette Umgebungen können dadurch gefährdet sein.“
Helm ist ein Paketmanager für Kubernetes, mit dem sich Anwendungen und Dienste als sogenannte Charts (YAML-Manifeste und Templates) definieren, konfigurieren und einrichten lassen. Die Charts sind Teil der Cloud Native Computing Foundation (CNCF) und werden häufig in Open-Source-Projekten als sofort einsatzfähige Standardlösungen mitgeliefert.
Laut Microsoft birgt genau das ein Risiko: Viele dieser vorgefertigten Templates priorisieren eine einfache Nutzung – zulasten der Sicherheit. Die beiden Hauptprobleme:
- Dienste werden ohne Netzwerkschutz nach außen geöffnet
- Es fehlt an integrierter Authentifizierung und Autorisierung
Wer solche Charts nutzt, ohne ihre Inhalte sorgfältig zu prüfen und anzupassen, läuft Gefahr, Anwendungen unbeabsichtigt öffentlich zugänglich zu machen – mit teils gravierenden Folgen. Besonders kritisch wird es, wenn diese Apps auf sensible Schnittstellen zugreifen oder administrative Funktionen ermöglichen.
Beispielhafte Schwachstellen in verbreiteten Projekten
- Apache Pinot: Die Komponenten pinot-controller und pinot-broker werden per LoadBalancer ohne Authentifizierung ins Internet exponiert.
- Meshery: Die Benutzeroberfläche ist über eine externe IP-Adresse frei zugänglich – jeder kann sich registrieren, Pods einrichten und somit beliebigen Code ausführen.
- Selenium Grid: Ein NodePort wird auf allen Cluster-Nodes geöffnet – die einzige Schutzmaßnahme bleibt eine externe Firewall.
Empfohlene Schutzmaßnahmen
- Sicherheitsbewertung und individuelle Anpassung aller Helm-Charts und YAML-Manifeste
- Regelmäßiges Scannen öffentlich erreichbarer Interfaces
- Laufende Überwachung der Container auf verdächtige oder schädliche Aktivitäten
„Viele im Internet beobachtete Angriffe auf containerisierte Anwendungen gehen auf falsch konfigurierte Workloads zurück – häufig, weil die Standardwerte unverändert übernommen wurden“, warnen die Microsoft-Analysten. „Die ungeprüfte Übernahme von bequemen Voreinstellungen nach dem Motto ‚läuft sofort‘ stellt ein erhebliches Sicherheitsrisiko dar.“