Zoeken
Sluit je aan
& inloggen
Lydis

OWASP voor Kubernetes Security

13 januari 2022 09:54

OWASP voor Kubernetes Security

Het applicatielandschap van Kubernetes verandert continu. Updates en specialistische kennis is nodig om fouten in clusters te vermijden. Je kan gebruikmaken van Security bij Design-principes om de veiligheid van je Kubernetes-clusters te verbeteren.

Veiligheidsrisico's, bedreigingen en principes

Waarom is het belangrijk om de veiligheid van jouw Kubernetes-cluster te verbeteren? Omdat Kubernetes complex is. Het is makkelijk om fouten te maken, zonder dat je dit door hebt. Dit willen we natuurlijk voorkomen! Daarom is het goed om te kijken naar de inrichting van jouw Kubernetes-omgeving aan de hand van Security Principes. Deze geven jou een handvat om te weten welke acties jij moet ondernemen om de veiligheid van jouw Kubernetes-cluster te verbeteren.

Voordat je een systeem kan beveiligen is het belangrijk om bekend te zijn met de potentiële risico's en bedreigingen van dit systeem. Om dit in kaart te brengen heeft Microsoft op basis van het MITRE ATT&CK framework een threat matrix voor Kubernetes opgesteld. Dit framework bestaat uit de volgende tactieken:

  • Initial access
  • Execution
  • Persistence
  • Privilege escalation
  • Defense evasion
  • Credential access
  • Discovery
  • Lateral movement
  • Impact

Afbeelding: may be used with permission from Microsoft

Om je cluster te beveiligen is het nodig om mitigerende maatregelen te hebben voor elk van deze tactieken. Door gebruik te maken van OWASP Security by Design kan je op een gestructureerde manier bepalen welke maatregelen er geïmplementeerd dienen te worden om je cluster veilig te houden. De 10 OWASP Security by Design-principes zijn bedoeld om veilige software te ontwikkelen, door bijvoorbeeld de aanvalsoppervlakte te verminderen en verantwoordelijkheden te scheiden.

Implementeren van Security in Kubernetes

De verschillende OWASP-principes onder Security by Design geven je een startpunt om te beginnen met het verbeteren van je cluster security. Zo kan je de aanvalsoppervlakte minimaliseren door alleen container images uit te rollen die noodzakelijke software bevatten of de beschikbare poorten voor binnenkomend netwerkverkeer af te schermen of direct te laten ontsluiten.

Een ander belangrijk principe is least privilege access. Hiermee zorg je ervoor dat software en beheerders alleen de toegang hebben die noodzakelijk is voor het uitvoeren van hun taak. Voor beheerders kan je bijvoorbeeld denken aan read-only toegang tot een database of configuratie. Voor softwarecomponenten kan dit op operating systeemniveau fine-grained worden ingesteld.

Alle maatregelen die je in Kubernetes instelt op basis van OWASP dragen bij aan het implementeren van het principe Defense in Depth. Mocht het toch op een plek niet helemaal goed zijn ingesteld of faalt een maatregel, dan wordt dit op een ander niveau afgedicht, zodat er geen security impact is.

Op deze manier is het mogelijk om op basis van elke OWASP Security by Design-principe een set aan maatregelen toe te voegen, waardoor je de veiligheid van je Kubernetes-clusters kan verbeteren. Benieuwd hoe je dit voor elk Security by Design-principe kunt doen? In dit artikel wordt elk Security by Design-principe uitgebreid toegelicht aan de hand van voorbeelden.

Avisi Managed Environments

Wanneer je gebruikmaakt van Avisi Managed Environments, helpt Avisi Cloud je met het implementeren van best practices, zodat je zekerheid hebt over hoe je beveiligingsniveau is. Avisi Cloud doet dit via de Customer-onboarding. Met behulp van onze Production Hardening Guide helpen onze engineers om het meeste uit jouw AME Kubernetes-cluster te halen.

State vs Change

Door de State-mindset van Cloud Provider Hosts kost het developers veel tijd en handwerk om softwarereleases te doen. Wij van Avisi Cloud vinden dat het uitrollen van software geautomatiseerd moet worden en dat vanuit de Change-mindset gehandeld moet worden. Daarom hebben wij Avisi Managed Environments gecreëerd, waarmee jij 20% extra ontwikkelcapaciteit kan behalen. Wil jij ook 20% extra ontwikkelcapaciteit? Neem dan contact met ons op.

Avisi (Avisi Cloud)
Nieuwe Stationsstraat 10
6811 KS Arnhem
Tel. 088 284 74 00
E-mail: info@avisi.cloud
www.avisi.nl

terug

Reacties op dit artikel

Reactie plaatsen? Log in met uw account.

Inloggen
© 2024 Hét ondernemersbelang

Wij zijn graag relevant voor je! Pas hier je persoonlijke instellingen aan.

Maak je keuze
Landelijk
Friesland
Drenthe
Groningen
Overijssel
Gelderland
Flevoland
Utrecht
Noord-Brabant
Limburg
Zeeland
Noord-Holland
Zuid-Holland
Nijmegen-Rivierenland
Arnhem-De Liemers

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.