Die Fähigkeit von Unternehmen, aus Kubernetes – und allgemeiner aus der Cloud-nativen Technologie – Nutzen zu ziehen, wird durch Sicherheitsbedenken beeinträchtigt. Eine der größten Sorgen spiegelt eine der größten aktuellen Herausforderungen der Branche wider: die Sicherung der Software-Lieferkette.
Red Hats „Bericht zum Stand von Kubernetes 2023" festgestellt, dass Kubernetes-Sicherheit ist bei einigen Unternehmen in Frage gestellt. Basierend auf einer Umfrage unter DevOps-, Technik- und Sicherheitsexperten aus der ganzen Welt kommt der Bericht zu dem Ergebnis, dass 67 % der Befragten die Bereitstellung aufgrund von Kubernetes-Sicherheitsbedenken verzögert oder verlangsamt haben und 37 % Umsatz- oder Kundenverluste aufgrund eines Containers/Kubernetes erlitten haben Sicherheitsvorfall, und 38 % geben an, dass Sicherheit bei Container- und Kubernetes-Strategien ein Hauptanliegen ist.
Die Software-Lieferkette gerät zunehmend unter Beschuss, und Kubernetes-Shops spüren die Hitze. Auf die Frage, welche spezifischen Sicherheitsprobleme in der Software-Lieferkette sie am meisten beunruhigten, antworteten die Befragten der Red Hat-Umfrage:
- Anfällige Anwendungskomponenten (32 %)
- Unzureichende Zugangskontrollen (30 %)
- Fehlende Software-Stücklisten (SBOM) oder Herkunft (29 %)
- Mangelnde Automatisierung (29 %)
- Mangelnde Überprüfbarkeit (28 %)
- Unsichere Containerbilder (27 %)
- Inkonsistente Richtliniendurchsetzung (24 %)
- Schwächen der CI/CD-Pipeline (19 %)
- Unsichere IaC-Vorlagen (19 %)
- Schwachstellen in der Versionskontrolle (17 %)
Diese Bedenken scheinen bei den Befragten begründet zu sein, wobei mehr als die Hälfte angibt, dass sie mit fast allen von ihnen Erfahrungen aus erster Hand haben – insbesondere mit anfälligen Anwendungskomponenten und Schwachstellen der CI/CD-Pipeline.
Es gibt viele Überschneidungen zwischen diesen Themen, aber Unternehmen können Bedenken hinsichtlich all dieser Themen minimieren, indem sie sich auf eines konzentrieren: vertrauenswürdige Inhalte.
Die Fähigkeit, Inhalten zu vertrauen, wird immer schwieriger, da immer mehr Unternehmen Open-Source-Code für die cloudnative Entwicklung verwenden. Mehr als zwei Drittel des Anwendungscodes wird von Open-Source-Abhängigkeiten geerbt, und das Vertrauen in diesen Code ist der Schlüssel zur Verbesserung der Anwendungs- und Plattformsicherheit und damit auch zur größtmöglichen Nutzung der Container-Orchestrierungsplattform.
Tatsächlich können Organisationen keine vertrauenswürdigen Produkte und Dienstleistungen erstellen, es sei denn, sie können dem Code vertrauen, der zu ihrer Erstellung verwendet wurde. Software-Stücklisten sollen dazu beitragen, die Herkunft des Codes sicherzustellen, sollten jedoch nicht isoliert verwendet werden. Vielmehr sollten SBOMs als Teil einer mehrstufigen Strategie zur Sicherung der Software-Lieferkette betrachtet werden, bei der vertrauenswürdige Inhalte im Mittelpunkt stehen.
Keine SBOM ist eine Insel
SBOMs stellen die Informationen bereit, die Entwickler benötigen, um fundierte Entscheidungen über die von ihnen genutzten Komponenten zu treffen. Dies ist besonders wichtig, da Entwickler zum Erstellen von Anwendungen auf mehrere Open-Source-Repositorys und -Bibliotheken zurückgreifen. Das bloße Vorhandensein einer SBOM gewährleistet jedoch nicht die Integrität. Zum einen ein SBOM ist nur so vorteilhaft, wie es aktuell und überprüfbar ist. Zum anderen ist die Auflistung aller Komponenten einer Software nur der erste Schritt. Sobald Sie die Komponenten kennen, müssen Sie feststellen, ob bekannte Probleme für diese Komponenten vorliegen.
Entwickler benötigen vorab Qualitäts- und Sicherheitsinformationen über die Softwarekomponenten, die sie auswählen. Sowohl Softwareanbieter als auch Verbraucher sollten sich auf kuratierte Builds und gehärtete Open-Source-Bibliotheken konzentrieren, die durch Herkunftsprüfungen verifiziert und attestiert wurden. Die Technologie digitaler Signaturen spielt eine wichtige Rolle dabei, sicherzustellen, dass ein Software-Artefakt während der Übertragung vom öffentlichen Repository in die Umgebung des Endbenutzers in keiner Weise verändert wurde.
Selbst wenn all dies vorhanden ist, gibt es natürlich Schwachstellen. Und angesichts der großen Anzahl von Schwachstellen, die im gesamten Spektrum der Softwareentwickler identifiziert wurden, auf die sich Softwareentwickler verlassen, sind zusätzliche Informationen erforderlich, um Teams dabei zu helfen, die tatsächlichen Auswirkungen einer bekannten Schwachstelle einzuschätzen.
VEX-ing-Probleme
Einige Probleme haben größere Auswirkungen als andere. Hier kommt VEX – oder Vulnerability Exploitability eXchange – ins Spiel. Über ein maschinenlesbares VEX-Dokument können Softwareanbieter die Ausnutzbarkeit von Schwachstellen melden, die in Abhängigkeiten ihrer Produkte gefunden werden – optimalerweise durch den Einsatz proaktiver und automatisierter Schwachstellenanalyse- und Benachrichtigungssysteme.
Beachten Sie, dass VEX über die Bereitstellung von Schwachstellendaten und -status hinausgeht. es enthält auch Informationen zur Ausnutzbarkeit. VEX hilft bei der Beantwortung der Frage: Wurde diese Schwachstelle aktiv ausgenutzt? Dadurch können Kunden Prioritäten setzen und Abhilfemaßnahmen effektiv verwalten. So etwas wie Log4j würde beispielsweise sofortiges Handeln erfordern, während eine Schwachstelle ohne bekannten Exploit warten könnte. Zusätzliche Priorisierungsentscheidungen können basierend auf der Feststellung getroffen werden, ob ein Paket vorhanden, aber nicht verwendet oder verfügbar gemacht wird.
Bescheinigung: Das dritte Bein des Hockers
Zusätzlich zu SBOMs und VEX-Dokumentation ist eine Paketbescheinigung erforderlich, um Vertrauen in den Inhalt zu schaffen.
Sie müssen sicher sein, dass der von Ihnen verwendete Code unter Berücksichtigung von Sicherheitsprinzipien entwickelt, kuratiert und erstellt wurde und mit den Metadaten geliefert wird, die Sie zur Überprüfung von Herkunft und Inhalt benötigen. Wenn sowohl SBOMs als auch VEX-Dokumente bereitgestellt werden, haben Sie die Möglichkeit, bekannte Schwachstellen Softwarekomponenten im Paket, das Sie bewerten, zuzuordnen, ohne einen Schwachstellenscanner ausführen zu müssen. Wenn digitale Signaturen zur Bescheinigung von Paketen und zugehörigen Metadaten verwendet werden, haben Sie die Möglichkeit zu überprüfen, ob der Inhalt während der Übertragung nicht manipuliert wurde.
Zusammenfassung
Die genannten Standards, Tools und Best Practices stimmen mit dem DevSecOps-Modell überein (und ergänzen es) und tragen wesentlich dazu bei, die Sicherheitsbedenken auszuräumen, die mit der schnellen Bereitstellungsgeschwindigkeit von Kubernetes einhergehen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- a
- Fähigkeit
- Über Uns
- Zugang
- Action
- aktiv
- präsentieren
- Zusatz
- Zusätzliche
- Zusätzliche Angaben
- ausrichten
- gleich
- Alle
- ebenfalls
- verändert
- unter
- an
- Analyse
- und
- Ein anderer
- beantworten
- jedem
- Anwendung
- Anwendungen
- SIND
- um
- AS
- beurteilen
- damit verbundenen
- At
- Automatisiert
- Automation
- basierend
- BE
- war
- Sein
- vorteilhaft
- BESTE
- Best Practices
- Beyond
- Größte
- Banknoten
- beide
- allgemein
- bauen
- baut
- erbaut
- aber
- by
- CAN
- kann keine
- Kette
- Herausforderungen
- herausfordernd
- Schecks
- Code
- wie die
- kommt
- Unternehmen
- Ergänzung
- Komponenten
- Hautpflegeprobleme
- betroffen
- Bedenken
- betrachtet
- KUNDEN
- Container
- Inhalt
- Smartgeräte App
- Steuerung
- Kernbereich
- Kurs
- erstellen
- kuratiert
- Strom
- Kunde
- Kunden
- technische Daten
- Datum
- Deal
- Entscheidungen
- Verspätet
- geliefert
- Einsatz
- entworfen
- Bestimmen
- Festlegung
- entwickelt
- Entwickler
- Entwicklung
- digital
- Dokument
- Dokumentation
- Unterlagen
- die
- zwei
- effektiv
- ermöglicht
- Ende
- Durchsetzung
- erzeugen
- Entwicklung
- gewährleisten
- Gewährleistung
- Arbeitsumfeld
- insbesondere
- Auswerten
- Sogar
- Beispiel
- Austausch-
- Existenz
- ERFAHRUNGEN
- erfahrensten
- Ausnutzen
- Exploited
- ausgesetzt
- Erweiterung
- findet
- Feuer
- Vorname
- Fokussierung
- Aussichten für
- gefunden
- für
- Gewinnen
- gewinnen
- bekommen
- gegeben
- Globus
- Go
- Goes
- groß
- mehr
- Hälfte
- Pflege
- passieren
- Hut
- Haben
- Hilfe
- hilft
- aber
- HTTPS
- identifiziert
- Bilder
- unmittelbar
- Impact der HXNUMXO Observatorien
- wichtig
- in
- Zwischenfall
- Dazu gehören
- zunehmend
- Energiegewinnung
- Information
- informiert
- Integrität
- Isolierung
- Probleme
- IT
- jpg
- Wesentliche
- Wissen
- bekannt
- grosse
- Nutzung
- Bibliotheken
- Gefällt mir
- listing
- log4j
- Lang
- Verlust
- gemacht
- um
- verwalten
- Karte
- Materialien
- erwähnt
- Metadaten
- könnte
- Geist / Bewusstsein
- Modell
- mehr
- vor allem warme
- mehrere
- fast
- Need
- erforderlich
- bekannt
- Benachrichtigung
- Bemerkens
- Zahlen
- of
- on
- einmal
- EINEM
- einzige
- XNUMXh geöffnet
- Open-Source-
- or
- Orchesterbearbeitung
- Organisationen
- Anders
- Frieden
- Paket
- Pakete
- Teil
- Stück
- Pipeline
- Ort
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- spielt
- Datenschutzrichtlinien
- Praktiken
- Gegenwart
- Grundsätze
- Priorisierung
- Priorität einräumen
- Proaktives Handeln
- Produkte
- Profis
- Herkunft
- die
- vorausgesetzt
- Anbieter
- Bereitstellung
- Öffentlichkeit
- Qualität
- Frage
- schnell
- lieber
- RE
- Rot
- Red Hat
- spiegelt
- verlassen
- berichten
- Quelle
- falls angefordert
- Befragte
- Einnahmen
- Rollen
- Führen Sie
- s
- Verbindung
- Sicherung
- Sicherheitdienst
- scheinen
- Auswahl
- Lösungen
- kompensieren
- Geschäfte
- sollte
- Unterschriften
- Software
- Softwareentwickler
- einige
- etwas
- Quelle
- Quellcode
- spezifisch
- Normen
- Bundesstaat
- Status
- Schritt
- Strategien
- Strategie
- liefern
- Supply Chain
- Umfrage
- Systeme und Techniken
- Teams
- Technologie
- Vorlagen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Informationen
- ihr
- Sie
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- Dritte
- fehlen uns die Worte.
- diejenigen
- während
- anziehen
- zu
- Werkzeuge
- Top
- gegenüber
- Transit
- Vertrauen
- vertraut
- vertrauen
- zwei Drittel
- für
- -
- benutzt
- Mitglied
- Verwendung von
- Wert
- verified
- überprüfen
- sehr
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- warten
- Rechtfertigen
- Weg..
- waren
- wann
- während
- ob
- welche
- während
- werden wir
- mit
- .
- ohne
- würde
- Du
- Zephyrnet