Blog
/
Eindämmung von Ransomware

Kubernetes ist nicht immun gegen Ransomware — und wie Illumio helfen kann

Christer Swartz
,
Marketingleiter für Lösungen
September 5, 2023
23 min. Lesedauer

Ransomware ist in Kubernetes kein Problem, oder? Behälter Konstrukte sind so dynamisch und kurzlebig, dass das Risiko gering ist, dass Ransomware beispielsweise Zeit hat, einen Pod zu kapern und dann zu versuchen, bösartige Payloads zwischen Namespaces zu verbreiten. Pods werden so dynamisch hoch- und heruntergefahren, dass Ransomware in Kubernetes kaum ein Problem darstellt. Somit ist mein Cluster vor dieser spezifischen Cybersicherheitsbedrohung sicher, oder?

Leider hat sich diese Annahme zu oft als falsch erwiesen. Ransomware funktioniert in Kubernetes in der Regel anders als außerhalb von Container-Clustern, aber es handelt sich um ein sehr reales Cybersicherheitsrisiko, das sich DevSecOps-Architekten nicht leisten können, zu ignorieren. Ransomware kann in einem Kubernetes-Cluster sehr realen Schaden anrichten, und die beste Form der Behebung ist die Vorbeugung.

Illumio kann verhindern, dass Ransomware Ihren Kubernetes-Cluster kapert, sodass Ihr Unternehmen nicht das nächste Opfer eines Cyberangriffs ist, das in den Nachrichten auftaucht.

Wie sich Ransomware in Kubernetes verbreitet

Bei Workloads, die keine Container sind, kapert Ransomware einen Host und sucht dann nach offenen Ports. Gängige Ports, die bei vielen Workloads standardmäßig geöffnet sind, sind RDP, SSH und SMB. Für Ransomware ist es trivial, Verbindungen über diese Ports zu fälschen und eine Verbindung zu einem benachbarten Host herzustellen. Sobald die Verbindung hergestellt ist, kann Ransomware schnell reagieren bösartige Nutzlast zum nächsten Host, übernimm die Kontrolle darüber und suche nach offenen Ports, wobei dieser Vorgang auf allen benachbarten Hosts sehr schnell wiederholt wird.

Ransomware bewegt sich gerne. Sobald Ransomware in das Netzwerk gelangt ist, kann sie sich schnell lateral ausbreiten.

Diese Ausbreitung zwischen Hosts kann schneller erfolgen, als die meisten Erkennungs- und Reaktionslösungen vor Schadsoftware erkennen und darauf reagieren können. Schon bald kann die gesamte Infrastruktur als Geisel genommen werden.

In Kubernetes sind Hosts — auch bekannt als „Nodes“ — virtuelle Maschinen (VMs) oder Bare-Metal-Hosts, auf denen Containercode ausgeführt wird. Sie bilden eine Abstraktionsebene über dem dem Knoten zugrunde liegenden Betriebssystem (OS). Ein Cluster wird erstellt, wenn Pods und Dienste einem Namespace zugeordnet werden und dieser Namespace den gesamten Code und die Bibliotheken enthält, die von der darin ausgeführten Anwendung benötigt werden. Die Konstrukte innerhalb eines Namespaces sind dynamisch: Wenn die Rechenressourcen horizontal skaliert werden, starten die Pods und führen Code aus. Anschließend können sie schnell wieder heruntergefahren werden, nur um zu einem späteren Zeitpunkt mit einer anderen IP-Adresse wieder hochgefahren zu werden.

Die Lebensdauer eines Pods kann sehr kurz sein, und die meisten Pods verwenden keine offenen Ports wie RDP oder SSH. Das liegt daran, dass Pods diese Protokolle in der Regel nicht verwenden, um mit anderen Pods zu kommunizieren. Daher wird Ransomware innerhalb eines Clusters oft als wenig relevant wahrgenommen.

Ransomware ist eine große Bedrohung in Kubernetes

Jedoch Ransomware kann in einem Kubernetes-Cluster schnell zu einer Cyberkatastrophe werden. Bösartiger Code kann früh im Lebenszyklus der Codeentwicklung eingeführt werden, aber nicht erkannt werden, da er noch nicht ausgeführt wird. Bösartige Payloads können auch über exponierte APIs, schwache Authentifizierungseinstellungen, ungepatchte Software oder das vielleicht häufigste Risiko: falsch konfigurierte Einstellungen, in einen Kubernetes-Cluster eingeschleust werden.

Cyberbedrohungen können überall in der Software-Lieferkette eingeführt werden. Wenn beispielsweise das Image eines Containers aus einem Open-Source-Repository heruntergeladen und dann innerhalb eines Clusters ausgeführt wird, kann dieses Image eingebetteten Code enthalten, der ausgeführt werden kann und von einem Pod in den darunter liegenden Knoten „entweicht“. Anschließend wird Ransomware auf dem zugrunde liegenden Knoten installiert. An diesem Punkt kann Ransomware diesen Knoten kapern und über offene Ports Verbindungen zu benachbarten Knoten herstellen, sodass die Bedrohung schnell alle darunter liegenden Knoten, die den Kubernetes-Cluster hosten, kapern oder verschlüsseln kann.

Dies kann dazu führen, dass die Anwendungen, die auf Worker-Nodes laufen, „geblockt“ werden — also quasi heruntergefahren werden. Wenn der Code in einen darunter liegenden Master-Knoten gelangt, kann die Steuerungsebene des Kubernetes-Clusters gekapert werden. Dadurch besteht die Gefahr, dass der gesamte Cluster blockiert wird. Ein kleines Problem, das zu Beginn des Lebenszyklus der Codeentwicklung auftritt, kann schnell zu einer großen Katastrophe werden.

Ein Beispiel für diese Art von Malware ist Silolandschaft, entdeckt im März 2021. Es nutzt Sicherheitslücken in wenig dokumentierten Thread-Prozessen, um auf den zugrunde liegenden Knoten zuzugreifen, und kann dann auf kubectl zugreifen, um Befehle auszuführen, die sich auf benachbarte Knoten ausbreiten. Dies ist ein gutes Beispiel dafür, warum die Steuerungsebene von Kubernetes-Knoten geschützt und der Zugriff durch andere Prozesse eingeschränkt werden muss. Illumio ist in der Lage, den Zugriff auf bestimmte Prozesse auf einem Host durchzusetzen und einzuschränken, wer Zugriff auf diese hat.

Illumio kann in Kubernetes proaktiv vor Ransomware schützen

Illumio erzwingt die Workload-Kommunikation sowohl innerhalb eines Kubernetes-Clusters als auch des zugrunde liegenden Knotens.

In einem Kubernetes-Cluster Illumio erzwingt die Kommunikation zwischen Namespaces oder zwischen Namespaces und Workloads außerhalb eines Ingress-Controllers und verhindert so unnötige Kommunikation zwischen Workloads. Im Gegensatz zu anderen Anbietern erstreckt sich die Sichtbarkeit und Durchsetzung von Illumio auf die gesamte hybride Angriffsfläche, nicht nur auf Container. Dadurch können SecOps-Teams Policy-Silos beseitigen und bestehende Abläufe auf Container ausdehnen, wodurch die Cyber-Resilienz verbessert wird.


Die Anwendungsabhängigkeitskarte von Illumio bietet Transparenz über Cluster und Cloud-Umgebungen hinweg.

Zwischen den darunterliegenden Knoten Illumio wird auch die Kommunikation durchsetzen, sodass, wenn unbekannter bösartiger Code aus dem Kubernetes-Cluster und hinunter zum Knoten entweicht, verhindert wird, dass sich dieser bösartige Code auf benachbarte Knoten ausbreitet. Dies ist möglich, weil Illumio verhindert, dass Sitzungen zwischen diesen Knoten eingerichtet werden. Da Illumio davon ausgeht, dass Sicherheitslücken unvermeidlich sind, selbst durch Bedrohungen, die am Anfang der Software-Lieferkette eingeführt wurden, sind Kubernetes-Cluster vor Ransomware geschützt, die beabsichtigt, die zugrunde liegende Infrastruktur zu stören.

Wie Shift-Left-Sicherheit in Kubernetes mit Illumio

In der Cybersicherheit bezieht sich Shift-Left auf die Einführung von Sicherheitslösungen zu Beginn des Code-Entwicklungszyklus:

  • Das rechte Seite Teil des Lebenszyklus stellt das Hosten von Code als Anwendung dar und das Bereitstellen einer Firewall davor.
  • Das linke Seite steht für die Geburt dieses Codes, während er entwickelt wird.

Wenn ein verwalteter Workload eine unbekannte Bedrohung enthält, die in Code eingebettet ist, der später gestartet wird und versucht, sich auf benachbarte Hosts auszubreiten, verhindert Illumio, dass sich diese Bedrohung ausbreitet.

Dies gilt auch dann, wenn Illumio die Absicht dieser Bedrohung nicht kennt. Die meisten Sicherheitslösungen zur Erkennung und Reaktion versuchen, die Art einer Bedrohung zu verstehen, bevor eine Entscheidung getroffen wird. Illumio verschwendet jedoch keine Zeit damit, dies zu verstehen, bevor eine Entscheidung getroffen wird. Der Umfang der seitlichen Kommunikation, der für die meisten Workloads erforderlich ist, ist begrenzt, und die meisten offenen Ports sollten geschlossen oder kontinuierlich überwacht werden. Geräte können unter Quarantäne gestellt werden und Illumio kann jegliche seitliche Kommunikation verhindern, ohne wissen zu müssen, um welche Art von Beschädigung es sich handelt.

Kubernetes sollte niemals als immun gegen Ransomware angesehen werden. Prävention ist die beste Form der Problembehebung, und Illumio verhindert, dass Ransomware alle Workloads infiziert, auch in Kubernetes.

Möchten Sie mehr darüber erfahren, wie Illumio Kubernetes vor der Ausbreitung von Ransomware schützen kann? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Eindämmung von Ransomware

In Verbindung stehende Artikel

Gehen Sie mit Zero Trust Endpoint Security von Sicherheitslücken aus
Eindämmung von Ransomware

Gehen Sie mit Zero Trust Endpoint Security von Sicherheitslücken aus

Erfahren Sie, warum herkömmliche Ansätze zur Endpunktsicherheit nicht ausreichen und wie Illumio Endpoint Ihre bestehenden Erkennungstools ergänzen kann.

Lesen Sie mehr
Warum zum Schutz Ihres OT keine Layer 7 Deep Packet Inspection erforderlich ist
Eindämmung von Ransomware

Warum zum Schutz Ihres OT keine Layer 7 Deep Packet Inspection erforderlich ist

Erfahren Sie, warum Zero-Trust-Segmentierung die bessere Antwort ist, um die Ausbreitung von Sicherheitsverletzungen zu verhindern.

Lesen Sie mehr
Verteidigung gegen Conti-Ransomware: Warum CISA dringend eine Segmentierung empfiehlt
Eindämmung von Ransomware

Verteidigung gegen Conti-Ransomware: Warum CISA dringend eine Segmentierung empfiehlt

Lesen Sie mehr
Wie Illumio kohärente Sicherheit für Container entwickelt
Zero-Trust-Segmentierung

Wie Illumio kohärente Sicherheit für Container entwickelt

Erfahren Sie, wie Illumio Sicherheitsrichtlinien durchsetzt und vollständige Transparenz in allen Umgebungen bietet — alles auf einer Plattform.

Lesen Sie mehr
Kubernetes Cluster I/O ist ein großes Durcheinander — aber Hilfe ist unterwegs
Cyber-Resilienz

Kubernetes Cluster I/O ist ein großes Durcheinander — aber Hilfe ist unterwegs

Erfahren Sie mehr über die I/O-Verbreitung von Kubernetes-Clustern und die Anstrengungen, die unternommen werden, um die Umgebung zu vereinfachen.

Lesen Sie mehr
100% Wolke? Sie benötigen immer noch eine Zero-Trust-Segmentierung
Zero-Trust-Segmentierung

100% Wolke? Sie benötigen immer noch eine Zero-Trust-Segmentierung

Erfahren Sie, warum die Zero-Trust-Segmentierung die Notwendigkeit einer Eindämmung von Sicherheitslücken durch eine hundertprozentige Cloud-Nutzung nicht zunichte macht und wie Illumio Ihnen helfen kann.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr