Red Hat Advanced Cluster Security for Kubernetes 

2. August 2023
Ressourcentyp: Datenblatt

Cloudnative Anwendungen erfordern erweiterte Sicherheitskontrollen

Der Schutz cloudnativer Anwendungen erfordert erhebliche Änderungen hinsichtlich unseres Sicherheitsansatzes. Wir müssen Kontrollen schon früher im Anwendungsentwicklungs-Lifecycle einsetzen, die Infrastruktur selbst zur Anwendung von dieser Kontrollen nutzen, entwicklerfreundliche Richtlinien schaffen und mit den immer kürzeren Release-Zeitplänen Schritt halten.

Red Hat® Advanced Cluster Security for Kubernetes basiert auf StackRox-Technologie und schützt wichtige Anwendungen bei der Entwicklung, beim Deployment und zur Laufzeit. Unsere Software wird in Ihrer Kubernetes-Infrastruktur als selbst gemanagte Sicherheitslösung eingesetzt. Optional können Sie sie auch als vollständig gemanagte SaaS (Software-as-a-Service) nutzen. Darüber hinaus lässt sie sich in Ihre bestehenden DevOps-Tools und -Workflows  integrieren und sorgt so für mehr Sicherheit und Compliance. Die Richtlinien-Engine umfasst Hunderte integrierter Kontrollen zur Durchsetzung von DevOps und sicherheitsorientierten Best Practices, die auf Branchenstandards wie den Center for Internet Security (CIS) Benchmarks und den Richtlinien des National Institute of Standards Technology (NIST), dem Konfigurationsmanagement von Containern und Kubernetes sowie der Laufzeitsicherheit basieren. 

Red Hat Advanced Cluster Security bietet eine Kubernetes-native Architektur für Plattform- und Anwendungssicherheit. Diese ermöglicht es DevOps- und InfoSec-Teams, Sicherheit zu operationalisieren.

Funktionen und Vorteile von Red Hat Advanced Cluster Security for Kubernetes 

  • Geringere Betriebskosten
    • Führen Sie Entwicklungs-, Betriebs- und Sicherheitsteams zu einer gemeinsamen Sprache und Source of Truth, um die Betriebskosten isolierter Teams zu senken.
    • Verwenden Sie Kubernetes-native Kontrollen über die Entwicklungs-, Deployment- und Laufzeitphasen der Anwendung hinweg, um Transparenz und Management von Schwachstellen, Richtlinien- und Konfigurationsverletzungen sowie das Laufzeitverhalten der Anwendung zu verbessern.
    • Reduzieren Sie die Kosten für die Behebung eines Sicherheitsproblems, indem Sie es bereits in der Entwicklungsphase erkennen und beseitigen.
  • Verringertes operatives Risiko
    • Abstimmung von Sicherheit und Infrastruktur zur Verringerung der Ausfallzeiten von Anwendungen mithilfe integrierter Kubernetes-Funktionen, wie Netzwerkrichtlinien zur Segmentierung und Zugangskontrollen zur Durchsetzung von Sicherheitsrichtlinien
    • Mit Kubernetes-nativen Sicherheitskontrollen können Sie auf Bedrohungen reagieren und Sicherheitsrichtlinien durchsetzen, um potenzielle Auswirkungen auf Ihre Anwendungen und Infrastrukturabläufe zu minimieren. Die Kontrollen können beispielsweise dazu dienen, einen erfolgreichen Angriff einzudämmen, indem sie Kubernetes automatisch anweisen, verdächtige Pods auf Null zu skalieren oder Instanzen der angegriffenen Anwendungen zu beenden und neu zu starten.
  • Gesteigerte Entwicklungsproduktivität
    • Nutzen Sie die Vorteile von Kubernetes und bestehenden CI/CD-Tools (Continuous Integration und Continuous Delivery), um integrierte Sicherheitsrichtlinien zu erstellen, mit denen die Geschwindigkeit der Entwicklungsteams unterstützt und gleichzeitig die gewünschte Sicherheitslage aufrechterhalten wird. 
    • Beschleunigen Sie das Innovationstempo in Ihrem Unternehmen und bieten Sie Entwicklungsteams umsetzbare Richtlinien, indem Sie Kubernetes als gemeinsame Plattform für deklarative und kontinuierliche Sicherheit in Entwicklung, Sicherheit und bei Abläufen standardisieren.

Die Vorteile im Detail

Bereich Vorteile
Transparenz

  • Bietet einen umfassenden Überblick über Ihre Kubernetes-Umgebung, einschließlich sämtlicher Images, Pods, Deployments, Namensräume und Konfigurationen

  •  Erkennt Netzwerkverkehr und zeigt diesen in den Clustern an, die Namespaces, Deployments und Pods umfassen 

  • Erfasst zur Erkennung von Zwischenfällen in den Containern kritische Ereignisse auf Systemebene
Schwachstellenmanagement
  • Scannt Bilder auf bekannte Schwachstellen, basierend auf bestimmten Sprachen, Paketen und Bildebenen 

  • Verfügt über ein Dashboard, das die bedenklichsten Image-Schwachstellen und Deployments hervorhebt

  • Verifiziert Bildsignaturen anhand vorkonfigurierter Schlüssel zur Zertifizierung und Authentizität von Bilddaten

  • Korreliert Schwachstellen mit laufenden Deployments, nicht nur mit Images

  • Setzt Richtlinien auf Grundlage der Details von Schwachstellen um – während der Entwicklung mithilfe von CI/CD-Integrationen, während des Deployments mithilfe dynamischer Zugangskontrollen und zur Laufzeit mithilfe Kubernetes-nativer Kontrollen

  • Ermöglicht die Anpassung der Risikoakzeptanz für eine verbesserte risikobasierte Priorisierung von Schwachstellen und die Reduzierung von Fehlalarmen
Compliance
  • Ermöglicht Unternehmen die Durchführung von On-Demand-Selbstbewertungen zur Automatisierung von Compliance-Audits
  • Bewertet die Einhaltung von Hunderten Kontrollen für CIS Benchmarks, Payment Card Industry (PCI), Health Insurance Portability and Accountability Act (HIPAA), North American Electric Reliability Corporation Critical Infrastructure Protection (NERC-CIP) sowie NIST SP 800-190 und 800-53
  • Zeigt übersichtliche Dashboards zur insgesamten Compliance der Kontrollen der einzelnen Standards mit Nachweisexport, um Anforderungen der Prüfer gerecht zu werden
  • Bietet eine detaillierte Compliance-Ansicht, um Cluster, Namensräume, Knoten oder Deployments zu ermitteln, die nicht bestimmten Standards und Kontrollen entsprechen
Netzwerksegmentierung
  • Zeigt zulässigen und aktiven Datenverkehr zwischen Namespaces, Deployments und Pods, einschließlich externer Zugriffe
  • Nutzt in Kubernetes integrierte Funktionen zur Netzwerkdurchsetzung, um eine konsistente, portierbare und skalierbare Segmentierung zu gewährleisten
  • Erfasst die Netzwerkaktivität und empfiehlt neue Kubernetes-Netzwerkrichtlinien zur Beseitigung unnötiger Verbindungen
  • Simuliert Änderungen der Netzwerkrichtlinien vor der Implementierung, um operative Risiken für die Umgebung zu minimieren
Risikoprofiling
  • Nimmt durch Kombination von Red Hat Advanced Cluster Security Daten zu priorisierten Schwachstellen mit Konfigurationsdetails und Laufzeitaktivitäten eine heuristische Einstufung Ihrer laufenden Deployments nach ihrem allgemeinen Sicherheitsrisiko vor 
  • Verfolgt Verbesserungen der Sicherheitslage Ihrer Kubernetes-Deployments zur Prüfung der Auswirkungen der Maßnahmen Ihres Sicherheitsteams

Konfigurationsmanagement
  • Setzt vordefinierte DevOps- und Sicherheitsrichtlinien zur Identifizierung von Konfigurationsverstößen im Zusammenhang mit Netzwerkangreifbarkeit, Container-Berechtigungen, als Root laufenden Prozessen und der Compliance mit Branchenstandards ein
  • Analysiert die Einstellungen der RBAC (Role-based Access Control) von Kubernetes, um die Berechtigungen von Benutzer- oder Service-Konten und Fehlkonfigurationen zu ermitteln
  • Verfolgt Verschlüsselungen und erkennt, welche Deployments diese zur Zugangsbeschränkung verwenden
  • Setzt Konfigurationsrichtlinien während der Entwicklung mit CI/CD-Integration und während des Deployments mit dynamischer Zugangskontrolle durch
Erkennung und Reaktion der Runtime
  • Überwacht Ereignisse auf Systemebene in Containern zur Erkennung auf Bedrohungen hindeutender, auffälliger Aktivitäten und reagiert automatisch unter Verwendung Kubernetes-nativer Kontrollen
  • Definiert Prozessaktivitäten in Containern, um Prozesse automatisch statt manuell auf die Zulassungsliste setzen zu können
  • Nutzt vorgefertigte Richtlinien zur Erkennung von Krypto-Mining, Berechtigungseskalation und verschiedenen Exploits
  • Ermöglicht die flexible Datenerfassung auf Systemebene entweder mittels erweitertem Berkeley Packet Filter (eBPF) oder über ein Kernel-Modul für wichtige Linux®-Distributionen
Integrationen
  • Verfügt über eine umfassende API (Application Programming Interface)und vorgefertigte Plugins zur Integration in DevOps-Systeme, einschließlich CI/CD-Tools, Image-Scanner, Sigstore, Registries, Container-Laufzeiten, SIEM-Lösungen (Security Integration Event Management) und Benachrichtigungs-Tools

Möchten Sie Red Hat Advanced Cluster Security in Aktion sehen? 

Noch heute kostenlos testen.

Zur Testversion