Zum Inhalt

Kapitel 15 und 16
Härtung Cloud-nativer Anwendungen

Hier finden Sie Quellen, die sich primär mit der technischen Sicherheit Cloud-nativer Systeme vor allem im Sinne einer Härtung von Systemen entlang von sogenannten Angriffsvektoren befassen. Diese Systemhärtung betrachtet vor allem die Ebene virtueller Maschinen in Cloud-Infrastrukturen und die Ebene von Containern in Orchestrierungsplattformen.

Härtung virtueller Infrastrukturen

Es gibt eine Vielzahl von Best Practices, die der Absicherung von virtuellen Maschinen in Public-Cloud-IaaS-Infrastrukturen dienen. Es bietet sich daher an, die H√§rtung virtueller Maschinen systematisch und einheitlich durchzuf√ľhren. Der Einsatz folgender Tools (Linux) kann dabei n√ľtzlich sein. Die Liste erhebt keinen Anspruch auf Vollst√§ndigkeit.

Tool Einsatzzweck Anmerkung
lynis Vulnerability Scanner Ermittlung eines "Härtungsgrads" eines bestehenden Systems inkl. Empfehlung von Maßnahmen
 OpenSCAP Vulnerability Scanner Ermittlung einer "Security Compliance" eines bestehenden Systems inkl. Empfehlung von Maßnahmen
 Vuls Vulnerability Scanner Ermittlung von Schwachstellen eines bestehenden Systems inkl. Empfehlung von Maßnahmen
unattended-upgrades Patching Automatische Aktualisierung von Linux Systemen (Debian/Ubuntu)
openssh-server Authentifizierung Sichere Authentifizierung mittels asymmetrischer Verschl√ľsselung (Public/Private Key)
auditd Intrusion Detection Verhaltensbasierte Intrusion Detection
rkhunter Intrusion Detection Signaturbasierte Intrusion Detection (rootkit detection)
FileBeat Log Shipping Log Forwarding und Sicherung des "Forensic Trails"
Fluentd Log Shipping Log Forwarding und Sicherung des "Forensic Trails"
Rsyslog Log Shipping Log Forwarding und Sicherung des "Forensic Trails"
Logstash Log Shipping Log Forwarding und Sicherung des "Forensic Trails"
¬†ufw Firewall Eine einfache Firewall Option f√ľr Ubuntu
fail2ban Firewall Bestimmen und Blockieren bestimmter IP-Adressen, die wahrscheinlich zu Angreifern gehören
firewalld Firewall Eine komplexere Firewall Option von RedHat
iptables Firewall Sehr komplexe Firewall Option f√ľr Linux (die u.a. von den Frontends ufw und firewalld gesteuert wird)

Anmerkungen sowie Erg√§nzungsvorschl√§ge werden gerne √ľber folgenden Kanal angenommen und ber√ľcksichtigt.

Härtung containersierter Workloads

Bei der H√§rtung containerisierter Workloads insbesondere im Kubernetes-Umfeld wird grunds√§tzlich die Ber√ľcksichtigung des Kubernetes Hardening Guide der NSA empfohlen. Die folgenden Tools ber√ľcksichtigen dabei diese Empfehlungen zur Erh√∂hung und H√§rtung containerisierter Workloads in einem Kubernetes-Umfeld. Die Liste erhebt keinen Anspruch auf Vollst√§ndigkeit.

Tool Einsatzzweck Anmerkung
Cert-Manager Zertifikate (HTTPS) Automatisiertes und Verlängeren von Zertifkaten (u.a. mit Let's Encrypt)
Ingress (OAuth2) Authorisierung Authorisierung des Zugriffs auf Ressourcen (HTTPS-Protokoll) mittels einer Remote Authentifizierung
Ingress (Rate Limiting) Denial of DDoS Limitierung von Anfragen von Clients innerhalb eines bestimmten Zeitraums
Network Policy Netzwerkisolation Einschränkung der Kommunikation zwischen Pod zur Erschwerung von Lateral Movements und Datenausleitungen
SELinux Pod Hardening Security-Enhanced Linux (Sicherheitsmechanismus f√ľr den Linux-Kernel von RedHat und der NSA)
AppArmor Pod Hardening Application Armor (Sicherheitsmechanismus f√ľr den Linux-Kernel)
Seccomp Pod Hardening Secure Computing Mode (Sicherheitsmechanismus f√ľr den Linux-Kernel)
Pod Security Standards Pod Hardening Durchsetzung sicherer Pod-Konfigurationen
Kata Containers Container Runtime Isolation Leichtgewichtiger Hypervisor zur Isolation von Container-Instanzen mittels VMs
Firecracker Container Runtime Isolation Leichtgewichtiger Hypervisor zur Isolation von Container-Instanzen mittels Micro-VMs
gVisor Container Runtime Isolation Kernel-basierte Sandbox-Techniken (inkl. VM) zur Isolation von Container-Instanzen
Nabla Containers Container Runtime Isolation Microkernel-basierte Isolation von Container-Instanzen
OpenEBS Volume Encryption Verschl√ľsselung von Volumes (Volume Encryption wird u.a. auch von AWS, Azure, Google angeboten)
Portworx Volume Encryption Verschl√ľsselung von Volumes (Volume Encryption wird u.a. auch von AWS, Azure, Google angeboten)
OPA Workload Policying Open Policy Agent
Audit-Protokollierung Intrusion Detection  Aktivierung der Audit-Protokollierung in Kubernetes (standardmäßig deaktiviert) zur Nutzung von AuditPolicies
Grype Software Composition Analysis Sicherung der Supply Chain mittels SCA
Synk Software Composition Analysis Sicherung der Supply Chain mittels SCA
Bandit Static Application Security Testing for Python Sicherung der Supply Chain mittels SAST
Trivy  Image Scanning  Sicherung der Supply Chain mittels Container Image Scanning
Kubescape Schwachstellen Scanning Kontinuierliches Scanning von Workloads und Konfiguration in K8s Clustern 

Anmerkungen sowie Erg√§nzungsvorschl√§ge werden gerne √ľber folgenden Kanal angenommen und ber√ľcksichtigt.

Common Vulnerabilities and Exposures (CVE) Databases

CVE steht f√ľr Common Vulnerabilities and Exposures (Bekannte Schwachstellen und Expositionen). Es handelt sich um eine √∂ffentlich zug√§ngliche Liste von Informationen zu bekannten Sicherheitsl√ľcken und Schwachstellen in Software und Hardware. Das CVE-System wurde entwickelt, um eine standardisierte Methode zur Identifizierung, Verfolgung und Berichterstattung √ľber Sicherheitsl√ľcken bereitzustellen. CVEs werden u.a. in den folgenden Datenbanken erfasst und kommuniziert. Schwachstellenscanner nutzen diese Datenbanken, um hinsichtlich bekannter und neuer Expositionen warnen zu k√∂nnen.

Datenbank Anmerkung
NVD Die National Vulnerability Database wird vom National Institute of Standards and Technology (NIST) gepflegt.
MITRE Diese Vulnerability Database wird von der MITRE Organisation gepflegt.
 Mend Mend Vulnerability Database for open source vulnerabilities
Synk A Vulnerability Database for open source vulnerabilities and cloud misconfigurations.
 CVEDetails  Uses data from the NVD API but is not endorsed or certified by the NVD.
 Exploit Database  The Exploit Database is maintained by OffSec, an information security training company that provides various Information Security Certifications as well as penetration testing services.

Anmerkungen sowie Erg√§nzungsvorschl√§ge werden gerne √ľber folgenden Kanal angenommen und ber√ľcksichtigt.