Free

Kubernetes mit KBOM sicherer machen : Was ist eine Kubernetes Bill of Materials und wie funktioniert sie?

Während die Erstellung einer SBOM für Anwendungen eine Standardpraxis ist, gibt es eine weitere zu sichernde Infrastruktur, auf der moderne Anwendungen aufbauen: Kubernetes. Die Sicherheit der Kubernetes-Infrastruktur wird üblicherweise durch Sicherheitsscanner überprüft. Solche Scanner können, ähnlich wie eine SBOM, Schwachstellen für Kubernetes-Cluster inklusive der Komponenten, aus denen sie bestehen, bewerten. Das Ergebnis eines solchen Scans wird analog als KBOM bezeichnet. Wie eine KBOM genau funktioniert, erläutert unser Autor.

Lesezeit 2 Min.

Kubernetes ist eine wichtige Komponente zwischen vielen anderen grundlegenden Schichten wie Netzwerk, Container Laufzeit, Cloud-Infrastruktur, Storage und mehr. Dabei ist Kubernetes sehr komplex und hat viele bewegliche Komponenten. Die Abbildung und Aufzeichnung der Zusammensetzung von Kubernetes-Clustern über eine KBOM ist daher ein wichtiges (Sicherheits-)Ziel. Ähnlich einer Software Bill of Materials (SBOM) ist eine KBOM das Manifest aller wichtigen Komponenten, aus denen ein Kubernetes-Cluster besteht: Control-Plane-Komponenten, Node-Komponenten und Add-Ons, einschließlich ihrer Versionen und Images. Anstatt einen bestehenden Cluster nachträglich zu analysieren, können Kubernetes-Entwickler ihre Ergebnisse im KBOM-Format melden.

Welche Vorteile bietet eine KBOM?

Eine KBOM gibt detaillierte Antworten auf Fragen wie: „Welche „api-server“-Version wird verwendet?“ „Welche Variante von „kubelet“ läuft auf jedem Knoten?“ oder „Welche Art von Netzwerk-Plugin wird derzeit verwendet?“ Sie hilft somit, Sicherheitsprobleme zu erkennen und zu wissen, wann ein Upgrade der Clusterkomponenten erforderlich ist. Die Transparenz, die durch die Erstellung einer KBOM und das Scannen von Komponenten auf Sicherheitslücken gewonnen wird, ist nicht nur für Unternehmen wichtig, die eine eigene Kubernetes-Umgebung betreiben. Auch Unternehmen, die einen verwalteten Kubernetes-Dienst nutzen, benötigen diesen Grad an Transparenz und Sicherheit, um festzustellen, ob ihre Service-Provider verwundbare Komponenten verwenden, die ein Risiko für sie darstellen könnten.

Wie wird eine KBOM erstellt?

KBOMs können auf unterschiedliche Weise erstellt werden. Im Kubernetes-Ökosystem gibt es verschiedene Tools, die bei der Verwaltung und Verfolgung von Komponentenversionen helfen können. Die in der Community meistgenutzte Lösung ist der Open-Source-Schwachstellenscanner „Trivy“. Trivy beinhaltet seit Anfang 2023 die Generierung von KBOMs und verwendet die Kubernetes-API zur Erkennung des Clusters. Er wurde mit gängigen Kubernetes-Distributionen wie OpenShift, Rancher, minikube und kind getestet. Die Erstellung einer KBOM über ein entsprechendes Tool ist somit an sich nicht sonderlich schwierig. Wichtiger als das Wissen über die Komponenten selbst, ist zu wissen, ob es Schwachstellen gibt, die diese Komponenten betreffen. Denn viele Infrastrukturscanner können nur Fehlkonfigurationen erkennen und die Kubernetes-Komponenten nicht auf Schwachstellen hin analysieren. Die neueste Version von Trivy aus dem November 2023 bietet über die Generierung von KBOMs nun auch Schwachstellen-Scan für Kubernetes-Komponenten an. Nutzer können so einfach eine KBOM für ihre Kubernetes-Umgebung erstellen und diese gleichzeitig nach Schwachstellen scannen. So können sie die Sicherheitsrisiken ihrer Kubernetes-Cluster besser verstehen und das Risiko deutlich reduzieren.

Fazit

Viele Unternehmen sind zu Recht besorgt über die Sicherheit von Kubernetes und insbesondere über Schwachstellen und Fehlkonfigurationen. So wie SBOM entscheidend für die Sicherheit von Anwendungen ist, kann KBOM entscheidend für die Sicherheit der Cloud-Infrastruktur sein. Mit der Möglichkeit, nicht nur Workloads und Images zu scannen, sondern auch die Kubernetes-Infrastruktur selbst, haben Anwender nun neue Möglichkeiten zu verstehen, wie sich die Sicherheit ihres Clusters im Laufe der Zeit verändert.

Die Branche arbeitet noch an einem vollständigen Kubernetes-Vulnerability-Scanner. In der Zwischenzeit sollten Unternehmen die entsprechenden Tools nutzen, um vollständige KBOMs ihrer Kubernetes-Infrastruktur zu erstellen und diese auf Schwachstellen zu scannen und so das Sicherheitsrisiko ihrer Kubernetes-Cluster deutlich zu reduzieren.

Arne Jacobsen ist Director of Sales EMEA bei Aqua Security.