Kubernetes von AWS und IONOS härten
Bei den großen Anbietern ist Kubernetes stärker in die Managed-Angebote integriert und somit variiert das Vorgehen zur Absicherung auch stärker. Nach Google und Azure sind diesmal AWS und IONOS an der Reihe.
Für diese Artikelserie wurden neben den bekannten Angeboten auch einheimische Cloud-Service-Provider (CSP) ausgewählt. Digitale Souveränität, einfachere Datenschutz-Folgenabschätzungen und weniger Risiko von Industriespionage durch die Geheimdienste der Heimatländer der CSP sind für viele Organisationen gewichtige Argumente. Auch der Preis der Dienste spricht für die kleineren CSP. Teilweise sind es Größenordnungen, um die sich die Anbieter hier voneinander unterscheiden.
Jeder Anbieter nimmt mit einem Demo-Cluster an der Auswertung teil. Diese sind soweit möglich alle gleich aufgebaut. Die Installation folgt dabei den Empfehlungen des Anbieters, die in den Anleitungen zu finden sind. Die Cluster sind für den Test aus dem Internet erreichbar und auch der Master ist öffentlich zugänglich, auch wenn das in einer Produktionsumgebung natürlich tunlichst zu vermeiden ist. Wo es möglch ist, sind die Master-Server als sogenannte Hidden Master konfiguriert. Dabei ist der Server zwar sichtbar, aber der CSP verwaltet diesen vollständig und der Kunde hat keinen Zugriff auf den Server, auf dem der K8s-API-Server läuft. Viele Sicherheitstests nach dem CIS-Benchmark sind damit nicht möglich.