Risiken
Overlay-Netzwerk (CNI)
CNIs schaffen ein virtuelles Netzwerk, das Container über mehrere Host-VMs hinweg miteinander verbindet und ihre automatische Erkennung ermöglicht. Mit CNIs können portable Microservices-basierte Anwendungen, die aus mehreren Containern bestehen, überall ausgeführt werden: auf einer Host-VM, mehreren Host-VMs oder sogar über Cloud-Anbieter und Rechenzentren hinweg. Die Anwendungen nutzen das Netzwerk so, als ob alle Container mit demselben Netzwerk-Switch verbunden wären, ohne dass Port-Mappings, Ambassadors oder Links konfiguriert werden müssen.
Ohne CNIs funktioniert das Cluster nur teilweise; die Kommunikation ist jedoch nur für einige CNIs verschlüsselt. Dies hat zur Folge, dass Netzwerkrichtlinien für solche CNIs einfach ignoriert werden.
Es wird empfohlen, nur CNIs zu verwenden, die die Möglichkeit der verschlüsselten Kommunikation bieten und diese zu aktivieren.
Darüber hinaus wird empfohlen, die CNI in einem separaten Namespace bereitzustellen.
Bedeutung der verschlüsselten Kommunikation in CNI
Einige CNI bieten keine Verschlüsselung an, was erhebliche Sicherheitsrisiken mit sich bringen kann. Im Folgenden werden die wichtigsten Punkte aufgeführt, um zu verstehen, warum Verschlüsselung so wichtig ist und welche Risiken mit unverschlüsselter interner Kommunikation verbunden sind:
Potenzielle Lauschangriffe: Unverschlüsselte Kommunikation innerhalb des Clusters kann von böswilligen Akteuren abgefangen werden. Lauschangriffe können sensible Daten, die zwischen Containern übertragen werden, kompromittieren, was zu Datenverletzungen und unbefugtem Zugriff auf vertrauliche Informationen führen kann.
Risiken für die Datenintegrität: Ohne Verschlüsselung können Daten, die zwischen Containern übertragen werden, verfälscht werden. Das bedeutet, dass ein Angreifer die Daten während der Übertragung verändern könnte, was zu Fehlfunktionen von Anwendungen führen oder bösartige Nutzdaten einschleusen könnte.
Unwirksame Netzwerkrichtlinien: Bei CNIs, die keine verschlüsselte Kommunikation unterstützen, werden Netzwerkrichtlinien möglicherweise ignoriert oder nicht korrekt durchgesetzt. Dadurch kann das Cluster anfällig für unbefugten Zugriff und seitliche Bewegungen von Angreifern innerhalb des Netzwerks werden.
Einhaltung gesetzlicher Vorschriften: In vielen Branchen gibt es strenge gesetzliche Vorschriften für Datenschutz und Verschlüsselung. Die Verwendung von CNIs, die keine Verschlüsselung unterstützen, kann zur Nichteinhaltung dieser Vorschriften führen, was rechtliche und finanzielle Konsequenzen nach sich ziehen kann.
Beispiele für sichere CNI: Weave und Calico sind Beispiele für CNI, die verschlüsselte Kommunikation unterstützen. Diese CNIs stellen sicher, dass alle innerhalb des Clusters übertragenen Daten verschlüsselt werden, was eine zusätzliche Sicherheitsebene darstellt.
Durch die Verwendung von CNIs, die verschlüsselte Kommunikation anbieten und ermöglichen, schützen Sie Ihr Cluster vor Lauschangriffen, gewährleisten die Datenintegrität und halten die gesetzlichen Vorschriften ein. Darüber hinaus kann die Abtrennung der CNI in einen separaten Namensraum die Sicherheit weiter erhöhen, indem Netzwerkkonfigurationen von anderen Ressourcen innerhalb des Clusters isoliert werden.