Kubernetes ist nun schon seit ein paar Jährchen eine etablierte Technologie um Herr über Container Deployments zu werden. Kaum ein Kunde möchte noch auf die Vorteile der Orchestrierungssoftware verzichten. Helmchart Repositories und einsatzfertige Container schießen aus dem Boden wie Spargel im Mai. Schnell steht ein HA-Setup, dessen Erstellung mit handelsüblichen VMs wochenlang dauern kann. DevOps reiben sich die Hände aufgrund der vielen Möglichkeiten diese Setups zu skalieren, zu steuern und auch wieder abzureißen. Agilität bricht sich Bahn. Alle sind begeistert. Alle? Nein, nicht alle. Security Engineers schlagen verzweifelt die Hände über dem Kopf zusammen.
Wie wird gewährleistet, dass Sicherheitslücken erkannt, gestopft und dokumentiert werden?
Normalerweise wird dafür ein Zoo an verschiedenen Tools eingesetzt. PopEye für Best-Practices in puncto elementare Konfiguration des Kubernetes Clusters. Harbor und Trivy um Container Images zu scannen, die Einsatz finden sollen. Workload Scanning mit Starboard, Kubei oder Falco. Es gibt der Tools noch viele mehr. Alle erfordern aufwändige Konfiguration, Spezialwissen, (Wo)Manpower für Maintenance. Eine Lösung (neben dem unlängst von Redhat freigegebenen StackRox), die das alles aus einer Hand liefert, ist NeuVector. Der Paukenschlag von Suse, das Tool nach dem Kauf unter die AGPL zu stellen, hat Begeisterungsstürme ausgelöst. Der Sourcecode steht auf Github bereit – inklusive Helmchart und umfassender Dokumentation.
Die ersten Gehversuche mit NeuVector sind sehr vielversprechend. Nach dem Login erwartet den Administrator ein übersichtliches Dashboard. Wie Viele Container wurden gescannt? Die Top Ten Security Events. Herunterladbare Reports. Eine aus Usability Sicht bewährte Sidebar macht die Navigation kinderleicht.
Wie nun also deckt NeuVector die unterschiedlichen Aspekte der Containersicherheit ab?
NeuVector sammelt nach dem ersten Deployment sofort umfangreiche Daten des Clusters in dem er installiert wurde. Sämtliche Nodes und Pods tauchen unter “Assets” auf und sind übersichtlich gruppiert. Registries, die Images für den zu überwachenden Cluster liefern, können unter Beobachtung gestellt werden. Ein typischer Workflow sieht dann folgendermaßen aus:
Nach der ersten Installation befindet sich NeuVector erstmal im Discover Mode. Hier werden Netzwerkverkehr und Aktionen in den Containern in eine Whitelist eingetragen. Das Konzept erinnert ein wenig an die F5 ASM, die ja auch erstmal im Learning Mode startet. Ist man sicher, dass sämtliches erwünschtes Verhalten erfasst und gelernt wurde, kann in den Monitor Mode umgeschaltet werden. Nun führen Ereignisse, wie DDoS und Logins in Container, die im Discover Mode nicht stattgefunden haben, zu Alarmen. Diese können vor einem Umschalten in den Protect Mode, in dem Ereignisse die nicht gewhitelistet sind, geblockt werden, nochmals eingeschätzt und bei Bedarf abgenickt werden.
Automated Security!
Automated Security, die natürlich auch mal übers Ziel hinausschießen kann. Für den Fall kann eine in den Manager Pod eingebaute CLI die Rettung sein. Hier können Container, die unberechtigterweise in Quarantäne gerauscht sind, wieder befreit werden. Jedem sollte klar sein, dass eine Software, die meine Services einfach abschaltet, eine riskante Angelegenheit darstellt. Sorglos aktivierte Response Rules können schnell dazu führen, dass sämtliche Pods eines Clusters in der Quarantäne landen. Daher sollte man sich sehr sicher sein, die Lage zu überblicken, bevor man NeuVector den Ausschalter in die Hand drückt. KI kann auch in diesem Fall die NI (natürliche Intelligenz) nicht ersetzen. Ist man sich dieser Risiken bewusst, und quittiert sie mit mehr als einem Schulterzucken, erhält man mit NeuVector ein mächtiges Werkzeug. Integrierte Web Applikation Firewall (WAF) und Data Leak Protection (DLP) beruhigen so manchen IT Sicherheitsbeauftragten. Alerting via SysLogServer, Webhook (Rocketchat, Slack) oder Prometheus Exporter + Grafana Dashboard lassen keine Wünsche offen.
Unser Fazit
NeuVector ist auf alle Fälle ein paar Blicke wert, sollte sich die Suche nach einem Tool für Kubernetes Sicherheit schwierig gestalten. Die Software macht einen kompletten und durchdachten Eindruck. Das GUI ermöglicht auch Menschen ohne tiefgreifendes Kubernetes Know How eine erste Einschätzung über den Sicherheitszustand des Clusters abzugeben. Um das gesamte Potential von NeuVector auszuschöpfen, ist dann aber doch wieder, Überraschung, fundiertes Wissen nötig.
Wir werden uns NeuVector auf jeden Fall weiterhin genauer ansehen und halten Euch auf dem Laufenden. Habt ihr Fragen oder Feedback zum Thema? Dann meldet Euch gern bei uns, wir freuen uns auf einen Austausch mit Euch.
