Für containerisierte Orchestrierungsplattformen wie Kubernetes und OpenShift besteht weiterhin das Risiko, von feindlichen Akteuren angegriffen zu werden. Die Public Key Infrastructure (PKI) spielt eine wichtige Rolle bei der Sicherung von Kubernetes-Workloads. Sie hilft, eine zuverlässige Kommunikation aufrechtzuerhalten, die Identität von Komponenten zu überprüfen und Daten während der Übertragung zu verschlüsseln.
Was sind Kubernetes und cert-manager?
Kubernetes ist das größte Container-Orchestrierungstool zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Das ursprünglich von Google entwickelte Kubernetes, auch als K8s bezeichnet, wird von der Cloud Native Computing Foundation (CNCF) gepflegt.
cert-manager ist ein Cloud-natives Tool zur Verwaltung von X.509-Zertifikaten, das speziell zur Sicherung von Kubernetes- und OpenShift-Workloads entwickelt wurde. cert-manager verzeichnet täglich über 5 Millionen Downloads und hat über 8000 Slack-Mitglieder. Es ist ein leistungsfähiges Tool, das den Abruf öffentlicher und privater Vertrauenszertifikate verschiedener Aussteller erleichtert, um Anwendungen in einem Kubernetes-Cluster zu sichern.
Warum muss Kubernetes abgesichert werden?
Innerhalb eines Kubernetes-Clusters müssen viele Dienste mit SSL/TLS-Zertifikaten gesichert werden, um Kommunikation, Verschlüsselung und Authentifizierung zu gewährleisten. Dazu gehören die Kommunikation zwischen Pods, Kubelet-Authentifizierung, Ingress-Sicherheit, Nodes und Kube-APIs oder Service-Mesh innerhalb eines Clusters wie Istio.
Public Trust SSL/TLS schaffen eine vertrauenswürdige Kommunikationsumgebung, und das sowohl innerhalb eines Clusters als auch bei der Zusammenarbeit mit externen Stellen. Damit sind sie entscheidend für die Wahrung der Vertraulichkeit von Daten und die Integrität der Anwendungsentwicklung. Aufgrund dieser Merkmale lässt sich der Cluster sicher in Produktionsumgebungen integrieren.
Die Bereitstellung von X.509-Zertifikaten ermöglicht Folgendes:
- Sichere Kommunikation und Verschlüsselung zum Aufbau von Vertrauen zwischen mehreren Diensten
- Verhinderung von unberechtigtem Zugriff oder Man-in-the-Middle-Angriffen in Produktionsumgebungen
- Ermöglichung einer vertrauenswürdigen Kommunikation innerhalb einer Kubernetes-Infrastruktur
- Verschlüsselung der Kommunikation zwischen Nodes, Pods und Diensten
- Absicherung von internen Web- und Client-Servern
GlobalSigns Issuer zur Verwaltung der Sicherheit in Ihren Kubernetes-Umgebungen
Mit GlobalSigns cert-manager Issuer erhalten Entwickler GlobalSigns vertrauenswürdige SSL/TLS-Zertifikate, um damit einen Kubernetes-Cluster abzusichern. Dieser Issuer ist eine Integration in GlobalSigns digitale Identitätsplattform Atlas, mit der vertrauenswürdige SSL/TLS-Zertifikate für Kubernetes-Cluster nach Bedarf ausgestellt werden. Er ist zur Sicherung verschiedener Kubernetes-Anwendungsfälle einsetzbar:
- Absicherung von Ingress durch SSL/TLS-Zertifikate
- Absicherung der Kommunikation zwischen Kubelet und Kube API Server durch Server-Zertifikate
- Authentifizierung von Kubelet gegenüber API-Servern durch Client-Zertifikate
- Absicherung der Pod-zu-Pod-Kommunikation
- Absicherung von internen Web- und Client-Servern
5 Schritte zu mehr Sicherheit
Mit fünf einfachen Schritten können Sie mithilfe von GlobalSigns Atlas Issuer for cert-manager Ihre Kubernetes-Workloads absichern:
- Sie laden GlobalSigns Atlas Issuer for cert-manager aus dem Github-Repository herunter und installieren ihn
- Sie erhalten API-Zugangsdaten von GlobalSigns Atlas-Portal
- Sie erstellen mithilfe Ihrer von GlobalSign ausgestellten API-Anmeldeinformationen eine Issuer-Ressource
- Sobald die Issuer-Ressource konfiguriert ist, erstellen Sie eine Certificate Signing Request (CSR) für Ihre Kubernetes-Ressource
- Nach deren Genehmigung wird von Atlas ein Zertifikat ausgestellt
Sichern Sie Ihre Kubernetes-Workloads
Mit unserem Atlas Issuer for cert-manager können Entwickler zahlreiche Anwendungsfälle durch vertrauenswürdige SSL/TLS-Zertifikate sichern – und sich wieder auf die Anwendungsentwicklung konzentrieren. Er kann HIER aus unserem GitHub-Repository heruntergeladen und installiert werden.
Erfahren Sie mehr: