:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9e/929ebd787f23abe1aa1f9154660004bc/0110551740.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/12/3f/123ff52f1eedeb7a255fd95297f8b9ff/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/87/fe87e275bdad6b264f059938465da19f/0109787723.jpeg "Einstieg in Microsoft Graph mit dem Graph-Explorer. (Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02a26f4ed2857373b2e5d90113ca38/0110506169.jpeg "Unternehmen sollten wissen, wie sie das Beste aus ihren Low-Code- oder No-Code-Plattformen herausholen können. (© bsd studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Sicherheit im Container-Cluster Kubernetes-Security bei der Entwicklung
Geht es um die Entwicklung von Container-Apps, spielt natürlich auch die Sicherheit eine wesentliche Rolle. Hier sollten Entwickler bereits frühzeitig planen, damit ihre App optimal an die jeweiligen Sicherheitsfunktionen von Kubernetes angebunden werden können.
Bei der Entwicklung von Microservices-Anwendungen splitten Entwickler ihre Server-Anwendungen häufig in verschiedene Dienste und damit Container auf, allerdings nicht immer mit Schwerpunkt auf die Sicherheit. Maßnahmen für eine bessere Sicherheit spielen auch beim Einsatz von Containern eine wichtige Rolle. Entwickler sollten bei der Bereitstellung von Kubernetes eingebunden werden.
Vor allem bei der Bereitstellung neuer Worker Nodes, also den Clusterknoten in Kubernetes auf denen die Container laufen, sollten Entwickler mit eingebunden werden, um die Sicherheit bereits auf dieser Ebene zu optimieren. Worker Nodes sollten so sicher wie möglich betrieben werden und auch durch entsprechende Monitoring-Lösungen überwacht werden.
:quality(80)/p7i.vogel.de/wcms/89/c1/89c19e7a594df657b9c621176fd43774/91273552.jpeg "Kubernetes kann auch in Windows bereitgestellt oder von Windows aus gesteuert werden.")
:quality(80)/p7i.vogel.de/wcms/cb/e1/cbe131ec90ad99e465b52022bd095476/91273553.jpeg "Kubernetes sollte möglichst sicher betrieben werden.")
Sinnvoll ist auch der Einsatz einer Firewall für die Container-Umgebung. Hier ist es natürlich wichtig, dass Entwickler eingebunden sind, damit die verschiedenen Microservices entsprechend konfiguriert werden können. Hinzu kommen regelmäßige Schwachstellenanalysen stattfinden und Richtlinien-basierte Zugriffe.
Dem DevSecOps-Gedanken folgend sollte die Bereitstellung von Pods, Containern, Worker Nodes und anderen Bestandteilen im Kubernetes-Cluster so weit wie möglich automatisiert werden. So ist gewährleistet, dass alle Komponenten in der Umgebung einem identischen, fest definierten Stand entsprechen.
Test-Umgebung mit Kubernetes aufbauen
Parallel müssen die Administratoren der Umgebung natürlich regelmäßig die Container-Engine und auch die Container-Verwaltung, also in diesem Beispiel Kubernetes, aktualisieren und bekannte Sicherheitslücken schnell schließen. Nach der Aktualisierung müssen die eingebundenen Apps natürlich noch genauso funktionieren wie zuvor. Aus diesem Grund ist es sicherlich sinnvoll, einen Test-Cluster zu betreiben.
Um die Apps vor der Aktualisierung der Produktivumgebung ausführlich auf Kompatibilität zu testen ist also unumgänglich, dass sich Entwickler eine eigene Kubernetes-Umgebung aufbauen. Beim Einsatz von Docker für Windows kann Kubernetes auch als Ein-Knoten-Cluster in Windows 10 bereitgestellt werden. Idealerweise sollte der Cluster möglichst dem Versionsstand und der Konfiguration entsprechen, die auch im produktiven Betrieb laufen.
Neue Versionen kommen in kürzeren Zeiträumen
Beim Einsatz von Microservices werden die Produktzyklen häufig deutlich verkürzt, und es kommen schneller neue Versionen, die auch produktiv genommen werden, als beim traditionellen, monolithischen Ansatz. Beim Einsatz mit Containern kommen in den meisten Fällen auch Automatisierung, Continuous Integration und Continuous Deployment zum Einsatz. DevOps-Ansätze werden in containerisierten Umgebungen besonders häufig eingesetzt. Dieser Ansatz sollte den Grundsätzen für die sichere Bereitstellung von Containern mit Kubernetes entsprechen.
Pods sicher betreiben
Generell kommen Entwickler kaum darum herum, sich mit der Sicherheit der Pods zu beschäftigen, in denen die Container laufen. Es ist also durchaus sinnvoll, dass sich Entwickler mit der Sicherheit der Pods und deren sicheren Erstellung auseinandersetzen. Über die Konfigurationsdateien der Pods kann festgelegt werden, welche Einstellungen für diese gelten und ob Limits hinterlegt werden.
In Pods werden die Container betrieben. Container basieren wiederum auf Container-Images. Auch hier sollten sich Entwickler mit den Möglichkeiten des Systems auseinandersetzen. Die Images für Container sollten zusammen mit den Entwicklern geplant werden, die Apps für die Container entwickeln, die mit dem Image bereitgestellt werden.
Wichtig sind hier die Rechte des Benutzers im Container/Pod und vor allem, mit welchen Rechten ein Pod selbst ausgeführt wird. Hier sollten möglichst minimale Rechte genutzt werden. Außerdem sollten Container-Images aktuell gehalten werden. Sicherheitsrichtlinien für Pods sind idealerweise möglichst eng gefasst, Entwickler müssen ihre App auf diese Sicherheitsanforderungen hin optimieren.
Verbundene Microservices absichern
In vielen Fällen verteilt sich eine Anwendung auf mehrere Microservices, die wiederum in verschiedenen Containern betrieben werden. Die Container werden miteinander vernetzt und bilden dadurch die Funktionen, mit denen die App erst richtig funktioniert. Die Kommunikation zwischen den verschiedenen Containern muss optimal abgesichert werden. Auch zwischen den Microservices, also den einzelnen Diensten einer App, gibt es Authentifizierungen.
Die Daten zwischen den Containern sollten verschlüsselt werden. Damit muss die App klarkommen und die einzelnen Dienste der App müssen sicher miteinander kommunizieren können. Auf der Seite Kubesec.io lassen sich Analysen der Sicherheitsoptionen durchführen.
Im Rahmen der Bereitstellungen sollte ständig überprüft werden, ob die Container, Container-Images, Pods und die bereitgestellten Anwendungen Lücken aufweisen, die geschlossen werden müssen. Sicherheitsanalysen für Container-Umgebungen lassen sich in vielen Fällen bereits in den CI/CD-Prozess mit einbinden.
In jedem Fall sollten für die jeweilige App nur die Container-Images genutzt werden, die Entwickler und Administratoren freigegeben haben, und die durch Sicherheitstests überprüft wurden. Images können zum Beispiel auch signiert werden. Das sollte bei der Bereitstellung der Microservices beachtet werden. So kann zum Beispiel festgelegt werden, dass die Bereitstellung der App nur auf Containern erfolgt, deren Image signiert wurde.
Fazit
Beim Einsatz von Microservices in Container-Umgebungen spielt Kubernetes eine besonders wichtige Rolle. Wird in Umgebungen auf Kubernetes gesetzt, sollten die Sicherheitsoptionen und -Funktionen möglichst bereits vor der Bereitstellung des Clusters definiert werden. Hier sollten Entwickler und Administratoren eng zusammenarbeiten, damit die Apps möglichst sicher und gleichzeitig stabil betrieben werden können.
(ID:46831113)
:quality(80)/images.vogel.de/vogelonline/bdb/1907100/1907111/original.jpg "Selbst in modernen Container-Umgebungen sind Backups unerlässlich. (Alex - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944900/1944962/original.jpg "Kubernetes birgt mit Blick auf die Sicherheit einige Besonderheiten. (shane - stock.adobe.com)")