Kubernetes ist zum De-facto-Standard für Container-Orchestrierung geworden. Aber mit Macht kommt Komplexität—und Sicherheitslücken, die Angreifer eifrig ausnutzen. Hier sind sieben Schwachstellen, die selbst erfahrene Teams überraschen.
1. Übermäßig permissives RBAC
Das Problem: Viele Teams beginnen mit Cluster-Admin-Zugriff aus Bequemlichkeit und verschärfen ihn nie. Andere gewähren breite Berechtigungen, weil RBAC komplex zu konfigurieren ist.
Das Risiko: Ein kompromittierter Pod mit übermäßigen Berechtigungen kann auf Secrets über Namespaces hinweg zugreifen oder sogar den Cluster übernehmen.
Die Lösung: RBAC regelmäßig auditieren. Least Privilege anwenden. Tools wie kubectl-who-can verwenden, um tatsächliche Berechtigungen zu verstehen.
2. Exponiertes Kubernetes Dashboard
Das Problem: Das Kubernetes Dashboard ist praktisch, aber häufig dem Internet ausgesetzt, manchmal ohne Authentifizierung.
Das Risiko: Voller Cluster-Zugriff für jeden, der es findet. Teslas Cryptomining-Incident begann mit einem exponierten Dashboard.
Die Lösung: Dashboard niemals öffentlich exponieren. kubectl proxy für lokalen Zugriff verwenden. Starke Authentifizierung verlangen.
3. Fehlende Network Policies
Das Problem: Standardmäßig erlaubt Kubernetes alle Pod-zu-Pod-Kommunikation. Die meisten Teams implementieren nie Network Policies, um dies einzuschränken.
Das Risiko: Ein Angreifer, der einen Pod kompromittiert, kann frei auf andere zugreifen und sich lateral durch Ihren Cluster bewegen.
Die Lösung: Default-Deny-Policies implementieren. Nur erforderliche Kommunikationspfade explizit erlauben.
4. Unverschlüsselt gespeicherte Secrets
Das Problem: Kubernetes Secrets sind Base64-kodiert, nicht verschlüsselt. etcd speichert sie standardmäßig im Klartext.
Das Risiko: Jeder mit etcd-Zugriff oder Backup-Zugriff kann alle Ihre Secrets lesen—API-Keys, Datenbankpasswörter, Zertifikate.
Die Lösung: Encryption at Rest für etcd aktivieren. Externe Secret-Manager verwenden (HashiCorp Vault, AWS Secrets Manager). Secrets nicht als Umgebungsvariablen mounten.
5. Container als Root ausführen
Das Problem: Viele Container-Images laufen standardmäßig als Root. Teams konfigurieren oft keine Security Contexts, um dies zu verhindern.
Das Risiko: Container-Escapes werden viel gefährlicher, wenn der Container-Prozess Root ist. Privilege-Escalation-Pfade multiplizieren sich.
Die Lösung: runAsNonRoot: true in Security Contexts setzen. Pod Security Standards oder Admission Controller zur Durchsetzung verwenden.
6. Ungescannte oder veraltete Images
Das Problem: Teams pullen Images aus öffentlichen Registries ohne sie zu scannen, oder führen Images mit bekannten Schwachstellen aus, weil Aktualisieren unbequem ist.
Das Risiko: Bekannte CVEs in Ihren Base Images sind niedrig hängende Früchte für Angreifer.
Die Lösung: Image-Scanning in CI/CD implementieren. Deployment von Images mit kritischen Schwachstellen blockieren. Base-Image-Updates automatisieren.
7. Unzureichendes Audit Logging
Das Problem: Kubernetes Audit Logging ist oft deaktiviert oder nicht konfiguriert, um nützliche Events zu erfassen. Bei Incidents gibt es keinen Trail zur Untersuchung.
Das Risiko: Sie werden nicht wissen, dass Sie kompromittiert wurden, bis es zu spät ist. Forensik wird unmöglich.
Die Lösung: Audit Logging aktivieren. Logs an ein SIEM weiterleiten. Alerts für verdächtige Aktivitäten einrichten (Secrets-Zugriff, RBAC-Änderungen, Exec in Pods).
Ihre Kubernetes-Sicherheits-Checkliste
- [ ] RBAC folgt dem Least-Privilege-Prinzip
- [ ] Dashboard ist nicht öffentlich exponiert
- [ ] Network Policies beschränken Pod-zu-Pod-Traffic
- [ ] Secrets sind at Rest verschlüsselt
- [ ] Container laufen als Non-Root
- [ ] Images werden vor dem Deployment gescannt
- [ ] Audit Logging ist aktiviert und wird überwacht
Sichern Sie Ihre Kubernetes-Umgebung
Kubernetes-Sicherheit ist kein einmaliges Setup—es ist eine fortlaufende Praxis. Viele dieser Schwachstellen existieren, weil Sicherheit zugunsten des Shippens von Features aufgeschoben wurde. Brauchen Sie eine umfassende Sicherheitsüberprüfung Ihrer Kubernetes-Infrastruktur? Unser Team kann helfen, Schwachstellen zu identifizieren und zu beheben.