Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

SIGS DATACOM GmbH

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)2241/2341-100

kundenservice@sigs-datacom.de

Network Policies – Teil 1: Good Practices

Beim Deployment von Anwendungen auf managed Kubernetes-Clustern ist der Betrieb für die Sicherheit zuständig, richtig? Nicht ganz! Zwar abstrahiert Kubernetes von der Hardware, seine Programmierschnittstelle bietet Entwicklern dennoch viele Möglichkeiten, die Sicherheit der darauf betriebenen Anwendungen gegenüber der Standardeinstellung zu verbessern. Dieser Artikel erklärt, gegen welche Angriffsvektoren Network Policies schützen können, und zeigt anhand von praktischen Beispielen pragmatische good Practices auf.

Das Netzwerkmodell von Kubernetes mag für viele ungewöhnlich erscheinen: Es fordert ein flaches, nicht hierarchisches Netzwerk, in dem alle (Nodes, Pods, Kubelet usw.) mit allen kommunizieren können [k8s-net]. Der Datenverkehr im Cluster ist also standardmäßig nicht eingeschränkt, auch nicht zwischen Namespaces. Traditionelle SysAdmins fragen an dieser Stelle vergebens nach Netzwerksegmenten und Firewalls.

Dafür bietet Kubernetes die „Network Policy”-Ressource, um Netzwerkverbindungen einzuschrä…