Eine rotierende Weltkugel mit Charts und Dashboards als Symbol für Monitoring und Überwachung
DevOps IT-Security

Verdächtiges Verhalten in Kubernetes erkennen und darauf reagieren

Von und Lesezeit 4 Min. 70 Aufrufe

Kubernetes ist das Rückgrat vieler moderner Cloud-Native-Anwendungen – aber auch ein attraktives Ziel für Angreifer. Unautorisierte Zugriffe, Privilege Escalation oder schadhafte Container-Images können ganze Cluster kompromittieren. Eine kontinuierliche Überwachung ist daher essenziell, um Sicherheitsrisiken frühzeitig zu erkennen und zu beheben. In diesem Artikel stellen wir zwei leistungsstarke Open-Source-Tools vor, die Kubernetes-Umgebungen sicherer machen: Falco und Kubescape. 

Sie steigen gerade erst ein? Hier finden Sie Teil 1 bis 3 dieser Serie sowie das Video des Webcasts, auf dem die Serie aufbaut:

Teil 1: Kubernetes-Sicherheit im Fokus: Best Practices und Strategie

Teil 2: Unerlaubte Zugriffe in Kubernetes – Ursachen, Risiken und Schutzmaßnahmen

Teil 3: Unsichere Kubernetes-Systeme absichern – Tools, Best Practices und Automation

Video: Kubernetes Security Webcast

Laufzeitüberwachung mit Falco 

Falco ist ein Sicherheitsmonitoring-Tool, das verdächtige Aktivitäten in Echtzeit erkennt. Durch vordefinierte oder benutzerdefinierte Regeln können Angriffe und Fehlkonfigurationen aufgedeckt werden. 

Beispiel: Erkennen einer Shell in einem Container 

Eine der häufigsten Angriffsmethoden ist das Starten einer interaktiven Shell innerhalb eines Containers. Dies kann auf eine Kompromittierung hinweisen. Die folgende Falco-Regel warnt Administratoren, wenn eine Shell in einem laufenden Container gestartet wird: 

- rule: Detect Shell in Container
  desc: "Warnung, wenn eine Shell innerhalb eines Containers ausgeführt wird"
  condition: container and shell
  output: "Shell innerhalb eines Containers ausgeführt (user=%user.name shell=%proc.name)"
  priority: WARNING

Erweiterte Falco-Regel: Unerwartete Dateiänderungen

Falco kann auch ungewollte Änderungen an wichtigen Systemdateien erkennen. Diese Regel löst eine Warnung aus, wenn Dateien in sensiblen Verzeichnissen wie /etc/ oder /var/run/ verändert werden:

- rule: Detect File Modification in Sensitive Directory
  desc: "Warnung bei Änderungen in sensiblen Verzeichnissen"
  condition: open_write and (fd.name startswith /etc/ or fd.name startswith /var/run/)
  output: "Verdächtige Dateiänderung erkannt (user=%user.name file=%fd.name)"
  priority: WARNING

Falco in Kubernetes integrieren

Falco kann als DaemonSet in Kubernetes bereitgestellt werden, um kontinuierlich alle Pods zu überwachen. Die Installation erfolgt mit:

kubectl apply -f https://raw.githubusercontent.com/falcosecurity/charts/master/stable/falco.yaml

Nach der Installation gibt Falco Log-Daten aus oder sendet Warnungen an Monitoring-Tools wie Prometheus oder Grafana.

Laufzeitüberwachung mit Kubescape

Während Falco primär auf System-Calls und Container-Prozesse fokussiert ist, bietet Kubescape zusätzlich eine umfassende Analyse der Cluster-Sicherheit – einschließlich Laufzeitüberwachung und Konfigurationsprüfung.

Wie funktioniert die Laufzeitüberwachung mit Kubescape?

Kubescape kombiniert Verhaltensanalyse, Netzwerküberwachung und System-Call-Monitoring, um verdächtige Aktivitäten frühzeitig zu erkennen. Das Tool identifiziert unter anderem:

  • Ungewohnte Netzwerkverbindungen
  • Nicht autorisierte Prozesse in Containern
  • Manipulationen an wichtigen Systemdateien

Beispiel: Auffällige Container-Aktivitäten erkennen

Um eine Laufzeitüberprüfung durchzuführen, kann folgender Befehl genutzt werden:

kubescape runtime scan

Kubescape in CI/CD-Pipelines integrieren

Um Sicherheitsprüfungen bereits während der Entwicklung zu automatisieren, kann Kubescape in CI/CD-Pipelines eingebunden werden. Hier ein Beispiel für die Integration mit GitHub Actions:

jobs:
  security-scan:
    runs-on: ubuntu-latest
    steps:
      - name: Install Kubescape
        run: curl -s https://raw.githubusercontent.com/kubescape/kubescape/main/install.sh | bash
      - name: Run runtime security scan
        run: kubescape runtime scan --format json --output results.json

Diese Automatisierung stellt sicher, dass verdächtige Aktivitäten erkannt werden, bevor sie in die Produktionsumgebung gelangen.

Fazit: Kubernetes-Sicherheit braucht Echtzeitüberwachung

Sowohl Falco als auch Kubescape sind leistungsstarke Open-Source-Tools, die zur Absicherung von Kubernetes-Clustern beitragen. Während Falco verdächtige Aktivitäten in Echtzeit überwacht, bietet Kubescape eine zusätzliche Laufzeitanalyse und umfassende Sicherheitsprüfungen.

Die Kombination beider Tools bietet eine robuste Sicherheitsstrategie, um Risiken frühzeitig zu minimieren – sei es durch Monitoring in der Produktionsumgebung oder durch automatisierte Prüfungen in CI/CD-Pipelines.

Sind Ihre Kubernetes-Cluster ausreichend geschützt?

  • Nutzen Sie bereits eine Laufzeitüberwachung für Ihre Container?
  • Sind Ihre Sicherheitsrichtlinien in Kubernetes konsequent umgesetzt?
  • Haben Sie automatisierte Tools zur Bedrohungserkennung integriert?

Falls nicht, könnte es an der Zeit sein, Ihre Security-Strategie zu überdenken. Kubernetes-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Wer frühzeitig auf robuste Monitoring-Lösungen setzt, kann sich langfristig vor Angriffen und ungewollten Sicherheitsvorfällen schützen.

Sicher unterwegs mit Kubernetes!

Kubernetes erleichtert moderne Softwarearchitekturen, bringt aber auch Sicherheitsherausforderungen mit sich. In dieser Blogserie geben wir Ihnen praxisnahe Lösungen an die Hand.

Erfahren Sie mehr über:

  • Zugriffsschutz & Berechtigungen
  • Eine sichere Cluster-Architektur
  • Erkennung & Abwehr von Angriffen
  • Sicherheitsmaßnahmen direkt in der Entwicklung

Die Blogserie auf einen Blick:

Teil 1: Kubernetes-Sicherheit im Fokus: Best Practices und Strategie

Teil 2: Unerlaubte Zugriffe in Kubernetes – Ursachen, Risiken und Schutzmaßnahmen

Teil 3: Unsichere Kubernetes-Systeme absichern – Tools, Best Practices und Automation

Teil 4: Verdächtiges Verhalten in Kubernetes erkennen und darauf reagieren

Teil 5: Kubernetes-Sicherheit: Die größten Schwachstellen und wie Sie Ihre Cluster schützen

Teil 6: Shift-Left-Security – Sicherheit von Anfang an in der Softwareentwicklung

Teil 7: Kubernetes-Sicherheit: Fazit und Ausblick

Einen Blick wert: Auf diesem Webcast basiert die Blogserie: Kubernetes Security Webcast

Haben Sie Fragen oder eigene Best Practices? Teilen Sie sie gerne in den Kommentaren oder nehmen Sie direkt Kontakt auf.

Foto: Torsten Jaeschke, OPITZ CONSULTING
Alle Beiträge von Torsten Jaeschke

Torsten Jaeschke ist seit über 20 Jahren in der IT-Branche tätig und hat langjährige Erfahrung in der Architektur und Entwicklung von IT-Lösungen. Schon früh hat er dabei aktiv Container- und Cloudtechnologien genutzt. Seit 2016 ist Torsten Jaeschke bei der OPITZ CONSULTING Deutschland GmbH beschäftigt und arbeitet daran flexible und sichere Lösungsarchitekturen für und mit Kunden zu entwickeln und damit verbundene Veränderungen professionell zu begleiten. Als Teil des Securityteams in der Division Systems kann er dabei seine Leidenschaften DevOps, Sicherheit und Change Facilitation miteinander verbinden und unterstützt Kunden und Mitarbeiter:innen dabei die damit verbundene Kultur, als auch Technologien zu verstehen und einzusetzen.

Alle Beiträge von Björn Gerhart

Björn Gerhart ist ein erfahrener DevOps-Spezialist mit über 20 Jahren Erfahrung im Linux-Umfeld. Die betrifft den gesamten Lebenszyklus von IT-Projekten – von der Konzeption bis Implementierung und Betrieb. So hat er zahlreiche erfolgreiche Projekte im Handel und im Finanzwesen realisiert. Auf technischer Ebene konzipiert und betreibt Björn Kubernetes-Cluster auf Rancher-Basis und nutzt für die Automatisierung Tools wie Ansible und Terraform. Damit setzt er cloudbasierte Pipelines effizient um. Bei seiner Arbeit legt er Wert auf robuste, erweiterbare Lösungen und eine transparente Zusammenarbeit mit seinen Kunden. Auch Perspektivwechsel sind für ihn ein wesentlicher Teil seiner Arbeitsweise.

Ähnliche Posts

6 Kommentare

  1. Pingback: Unsichere Kubernetes-Systeme absichern – Tools & Automation

  2. Björn Gerhart Reply

    Für Falco steht auch ein Helm-Chart bereit: https://github.com/falcosecurity/charts

    Helm ist als Package Manager für Kubernetes bekannt und hat sich als quasi-Standard etabliert. Über Helm lassen sich Deployments direkt zum Installationszeitpunkt konfigurieren und später auch nachvollziehbar auf neuere Versionen aktualisieren.

  3. Pingback: Unerlaubte Zugriffe in Kubernetes verhindern: Was zu tun ist

  4. Pingback: Kubernetes-Sicherheit im Fokus: Best Practices und Strategie

  5. Pingback: Kubernetes-Sicherheit: So schützen Sie Cluster vor Angriffen

  6. Pingback: Shift-Left-Security: Kubernetes-Sicherheit von Anfang an

Schreibe einen Kommentar