Der Großteil moderner Applikationen wird mittels Containertechnologien betrieben, sei es im klassischen Einzelbetrieb mit Docker oder Podman, oder in einer komplexeren Cloud-Native Infrastruktur in einem Kubernetes-Cluster. Je komplexer die Systeme, desto wichtiger wird dabei die Härtung der Betriebsumgebung und der Deployment-Konfiguration, da sonst ein sicherer Betrieb nicht gewährleistet werden kann.
Unsere Leistung
- Sicherheitseinstellungen (z. B. Pod Security Standards) werden auf Best Practices geprüft.
- Rollenzuordnungen und deren Verwaltung werden auf Angriffsszenarien geprüft, sodass Personen eines Entwicklungsteams kein Projekt anderer Teams angreifen können.
- Schwachstellen in der Infrastruktur (Docker-Host, OpenShift-Cluster, …) und der Integration mit Cloudprovidern (AWS EKS - Elastic Kubernetes Service, AKS - Azure Kubernetes Service, GKE - Google Kubernetes Engine, …) werden identifiziert.
- Security-Einstellungen des Orchestrators werden geprüft.
Testszenarien
- Malicious Container/Service: Das Testteam missbraucht ein Service und versucht das Backend und andere Projekte auf dem Cluster anzugreifen.
- Build Pipeline: Der Build-Prozess wird auf Angriffsoberflächen geprüft, sodass EntwicklerInnen die Rechte am Cluster nicht ausweiten können.
- Berechtigungsprüfung: Das Rechte- und Rollensystem (RBAC) und die konfigurierten Benutzer werden auf unsichere Verwendung geprüft.
- Image Repository: Die Bereitstellung, der Aktualisierungsprozess und die automatischen Prüfmethoden (Image Scanning) werden auf Sicherheitsprobleme untersucht. Ein typisches Szenario ist die Prüfung von Software eines externen Zulieferers bzw. einer Zuliefererin.
Benefits
- Einführung von sicheren und getesteten Administrationspraktiken.
- Identifikation von Schwachstellen im Cluster bzw. angrenzenden Systemen (NAS, Reverse-Proxies).
- Sicherstellung einer sicheren Umgebung für den Betrieb von containerisierten Applikationen.
