Kubernetes-Sicherheit

Kubernetes ist heute der De-facto-Orchestrator für Cloud-Native-Workloads, was sein Sicherheitsmodell geschäftskritisch macht. Wichtige Kontrollen sind die Härtung des API-Servers (RBAC nach Least Privilege, Audit-Logs, kein anonymer Zugriff), die Absicherung von kubelet und etcd, die Durchsetzung der Pod Security Standards (keine privilegierten Container, reduzierte Capabilities, Non-Root), NetworkPolicies für Ost-West-Isolation, Secret-Management über externe KMS sowie Admission-Policies mit Kyverno oder OPA. Bedrohungen sind exponierte Dashboards, verwundbare Images, Supply-Chain-Angriffe auf Helm Charts, Container-Escapes und Krypto-Miner. CIS Kubernetes Benchmark sowie der NSA/CISA-Hardening-Guide liefern konkrete Baselines.