Warum Zero Trust Security?

Das Zero-Trust-Modell für Datensicherheit beruht auf zwei Grundsätzen. Erstens: Vertrauen ist etwas, das missbraucht werden kann. Zweitens: Der sichere Zugriff auf Daten sollte dadurch verstärkt werden, dass der Zugriff auf Netzwerkebene autorisiert wird.  

Zahlreiche Implementierungen konzentrieren sich auf die menschliche Seite der Gleichung. Die menschliche Interaktion mit Systemen zu überwachen macht aber in Wirklichkeit nur ein Bruchteil des Puzzles aus. Betrachten Sie zum Beispiel ein webbasiertes System zur Verarbeitung von IoT-Daten. Vertrauensgrenzen bestehen zwischen Benutzer und Gerät, zwischen Gerät und Webdienst, zwischen Webdienst und Datenspeicher und letztendlich zurück zum Benutzer, der mit den gesammelten Daten interagiert. 

Anzeige

Inzwischen werden Netzwerktopologien so umstrukturiert, dass es keinen Unterschied mehr macht, ob man von innerhalb des Netzwerks oder von außerhalb auf Unternehmensnetz und Daten zugreift. Deshalb sollte man Vorsicht walten lassen, damit die Kommunikation von Gerät zu Gerät und die damit verbundenen Vertrauensgrenzen nicht negativ beeinflusst werden.

Kubernetes

Wenn ein Unternehmen beispielsweise Kubernetes verwendet, um seine containerisierten Anwendungen zu orchestrieren, gibt es einige Areale, in denen Vertrauen angreifbar ist. Bei der Auditierung dieses Trust-Modells kann man beispielsweise die Bestätigung des aktuellen Cluster-Status überprüfen und wer die letzten Änderungen ausgelöst hat. Dies gilt auch für die Konfiguration dessen, wie Interaktionen zwischen den im Cluster bereitgestellten Containerinstanzen definiert werden. 

Unter diesem Paradigma lässt sich der Zugriff auf die Kubernetes-Kontrollebene durch ein Zero Trust-Segmentierungs-Gateway kontrollieren, wobei Kubernetes RBAC die eigentliche Authentifizierung durchführt. Genauso wichtig ist es, Technologien wie Gatekeeper und Pod Security Policies einzusetzen. Sie stellen sicher, dass die Containerinstanzen und Konfigurationen der Containerimages den Governance-Anforderungen entsprechen. 

Anzeige

In Kombination helfen diese Techniken sicherzustellen, dass alle in einem Cluster laufenden Container autorisiert sind und so erwartet werden. Sie verhindern allerdings nicht, dass ein Angreifer vertrauenswürdige Elemente wie die Lebensdauer von Containern oder die Kommunikation zwischen Diensten für sich ausnutzt. Jedes dieser Elemente stellt selbst eine Form von Vertrauen dar.  

Containerinstanzen

“Lifespan trust attacks“ werden gegen langfristige laufende Containerinstanzen mit potenziell anfälligen Anwendungen eingesetzt. Letztere eignen sich besonders um einen ersten Brückenkopf zu installieren. Von diesem wird dann der weitere Verlauf des Angriffs gesteuert. Wenn man dieser Art von Vertrauensangriffen etwas entgegensetzen will, muss man die Lebensdauer in das Vertrauensmodell aufnehmen. Mit anderen Worten, die replizierten Instanzen haben nur eine bestimmte Lebensdauer von x Minuten, bevor sie automatisch recycelt werden.

In ähnlicher Weise sind innerhalb eines Kubernetes Namespace alle Pods standardmäßig in der Lage, Datenverkehr von überall aus zu empfangen. Deshalb empfiehlt sich für den Einsatz in der Produktion ein Netzwerk Service-Mesh. Service-Mesh kann dann einfache Ein- und Ausgangsrichtlinien für die Pods durchsetzen, kann aber auch sicherzustellen, dass die Netzwerkkommunikation nur zwischen zugelassenen Pods erlaubt ist. Anders ausgedrückt: Wenn innerhalb einer Anwendung die Pods nur Punkt-zu-Punkt-Verbindungen verwenden, kann man diese Beziehung innerhalb von Service-Mesh erzwingen.

Die Implementierung eines Zero oder Minimal Trust-Modells in einer Cloud-Umgebung lebt von einem engmaschigen Austausch zwischen Entwicklern, IT, Betrieb und Governance-Verantwortlichen. 

Wie bei jedem komplexen System, wie Softwarelösungen es sind, sollte man bei seinen Sicherheitsbestrebungen darauf achten, die Probleme nicht in anfälligere Bereiche zu verlagern. 

Tim

Mackey

Prinicipal Security Strategist

Synopsys Cybersecurity Research Center (CyRC)

Tim Mackey ist einer der wichtigsten Sicherheitsstrategen des Synopsys CyRC (Cybersecurity Research Center). Er kam im Rahmen der Übernahme von Black Duck Software zu Synopsys, wo er daran arbeitete, die integrierte Sicherheits-Scan-Technologie für Red Hat OpenShift und die Container-Orchestrierungsplattformen von Kubernetes bereitzustellen.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.