Kapitel 15 und 16
Härtung Cloud-nativer Anwendungen
Hier finden Sie Quellen, die sich primär mit der technischen Sicherheit Cloud-nativer Systeme vor allem im Sinne einer Härtung von Systemen entlang von sogenannten Angriffsvektoren befassen. Diese Systemhärtung betrachtet vor allem die Ebene virtueller Maschinen in Cloud-Infrastrukturen und die Ebene von Containern in Orchestrierungsplattformen.
Härtung virtueller Infrastrukturen
Es gibt eine Vielzahl von Best Practices, die der Absicherung von virtuellen Maschinen in Public-Cloud-IaaS-Infrastrukturen dienen. Es bietet sich daher an, die Härtung virtueller Maschinen systematisch und einheitlich durchzuführen. Der Einsatz folgender Tools (Linux) kann dabei nützlich sein. Die Liste erhebt keinen Anspruch auf Vollständigkeit.
| Tool | Einsatzzweck | Anmerkung |
|---|---|---|
| lynis | Vulnerability Scanner | Ermittlung eines "Härtungsgrads" eines bestehenden Systems inkl. Empfehlung von Maßnahmen |
| OpenSCAP | Vulnerability Scanner | Ermittlung einer "Security Compliance" eines bestehenden Systems inkl. Empfehlung von Maßnahmen |
| Vuls | Vulnerability Scanner | Ermittlung von Schwachstellen eines bestehenden Systems inkl. Empfehlung von Maßnahmen |
| unattended-upgrades | Patching | Automatische Aktualisierung von Linux Systemen (Debian/Ubuntu) |
| openssh-server | Authentifizierung | Sichere Authentifizierung mittels asymmetrischer Verschlüsselung (Public/Private Key) |
| auditd | Intrusion Detection | Verhaltensbasierte Intrusion Detection |
| rkhunter | Intrusion Detection | Signaturbasierte Intrusion Detection (rootkit detection) |
| FileBeat | Log Shipping | Log Forwarding und Sicherung des "Forensic Trails" |
| Fluentd | Log Shipping | Log Forwarding und Sicherung des "Forensic Trails" |
| Rsyslog | Log Shipping | Log Forwarding und Sicherung des "Forensic Trails" |
| Logstash | Log Shipping | Log Forwarding und Sicherung des "Forensic Trails" |
| ufw | Firewall | Eine einfache Firewall Option für Ubuntu |
| fail2ban | Firewall | Bestimmen und Blockieren bestimmter IP-Adressen, die wahrscheinlich zu Angreifern gehören |
| firewalld | Firewall | Eine komplexere Firewall Option von RedHat |
| iptables | Firewall | Sehr komplexe Firewall Option für Linux (die u.a. von den Frontends ufw und firewalld gesteuert wird) |
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.
Härtung containersierter Workloads
Bei der Härtung containerisierter Workloads insbesondere im Kubernetes-Umfeld wird grundsätzlich die Berücksichtigung des Kubernetes Hardening Guide der NSA empfohlen. Die folgenden Tools berücksichtigen dabei diese Empfehlungen zur Erhöhung und Härtung containerisierter Workloads in einem Kubernetes-Umfeld. Die Liste erhebt keinen Anspruch auf Vollständigkeit.
| Tool | Einsatzzweck | Anmerkung |
|---|---|---|
| Cert-Manager | Zertifikate (HTTPS) | Automatisiertes und Verlängeren von Zertifkaten (u.a. mit Let's Encrypt) |
| Ingress (OAuth2) | Authorisierung | Authorisierung des Zugriffs auf Ressourcen (HTTPS-Protokoll) mittels einer Remote Authentifizierung |
| Ingress (Rate Limiting) | Denial of DDoS | Limitierung von Anfragen von Clients innerhalb eines bestimmten Zeitraums |
| Network Policy | Netzwerkisolation | Einschränkung der Kommunikation zwischen Pod zur Erschwerung von Lateral Movements und Datenausleitungen |
| SELinux | Pod Hardening | Security-Enhanced Linux (Sicherheitsmechanismus für den Linux-Kernel von RedHat und der NSA) |
| AppArmor | Pod Hardening | Application Armor (Sicherheitsmechanismus für den Linux-Kernel) |
| Seccomp | Pod Hardening | Secure Computing Mode (Sicherheitsmechanismus für den Linux-Kernel) |
| Pod Security Standards | Pod Hardening | Durchsetzung sicherer Pod-Konfigurationen |
| Kata Containers | Container Runtime Isolation | Leichtgewichtiger Hypervisor zur Isolation von Container-Instanzen mittels VMs |
| Firecracker | Container Runtime Isolation | Leichtgewichtiger Hypervisor zur Isolation von Container-Instanzen mittels Micro-VMs |
| gVisor | Container Runtime Isolation | Kernel-basierte Sandbox-Techniken (inkl. VM) zur Isolation von Container-Instanzen |
| Nabla Containers | Container Runtime Isolation | Microkernel-basierte Isolation von Container-Instanzen |
| OpenEBS | Volume Encryption | Verschlüsselung von Volumes (Volume Encryption wird u.a. auch von AWS, Azure, Google angeboten) |
| Portworx | Volume Encryption | Verschlüsselung von Volumes (Volume Encryption wird u.a. auch von AWS, Azure, Google angeboten) |
| OPA | Workload Policying | Open Policy Agent |
| Audit-Protokollierung | Intrusion Detection | Aktivierung der Audit-Protokollierung in Kubernetes (standardmäßig deaktiviert) zur Nutzung von AuditPolicies |
| Grype | Software Composition Analysis | Sicherung der Supply Chain mittels SCA |
| Synk | Software Composition Analysis | Sicherung der Supply Chain mittels SCA |
| Bandit | Static Application Security Testing for Python | Sicherung der Supply Chain mittels SAST |
| Trivy | Image Scanning | Sicherung der Supply Chain mittels Container Image Scanning |
| Kubescape | Schwachstellen Scanning | Kontinuierliches Scanning von Workloads und Konfiguration in K8s Clustern |
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.
Common Vulnerabilities and Exposures (CVE) Databases
CVE steht für Common Vulnerabilities and Exposures (Bekannte Schwachstellen und Expositionen). Es handelt sich um eine öffentlich zugängliche Liste von Informationen zu bekannten Sicherheitslücken und Schwachstellen in Software und Hardware. Das CVE-System wurde entwickelt, um eine standardisierte Methode zur Identifizierung, Verfolgung und Berichterstattung über Sicherheitslücken bereitzustellen. CVEs werden u.a. in den folgenden Datenbanken erfasst und kommuniziert. Schwachstellenscanner nutzen diese Datenbanken, um hinsichtlich bekannter und neuer Expositionen warnen zu können.
| Datenbank | Anmerkung |
|---|---|
| NVD | Die National Vulnerability Database wird vom National Institute of Standards and Technology (NIST) gepflegt. |
| MITRE | Diese Vulnerability Database wird von der MITRE Organisation gepflegt. |
| Synk | A Vulnerability Database for open source vulnerabilities and cloud misconfigurations. |
| CVEDetails | Uses data from the NVD API but is not endorsed or certified by the NVD. |
| Exploit Database | The Exploit Database is maintained by OffSec, an information security training company that provides various Information Security Certifications as well as penetration testing services. |
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.