Alle Artikel
Kubernetes

Kubernetes Security: RBAC, Network Policies, Pod Security und mehr

Kubernetes Security Best Practices: RBAC, Network Policies, Pod Security Standards, Secrets Management, Image Security und Runtime Protection.

C
CFTools Software
Autor
19. November 2025
6 min Lesezeit

Kubernetes Security

Sicherheitsebenen

  1. Cluster-Ebene
  2. Node-Ebene
  3. Pod/Container-Ebene
  4. Application-Ebene

RBAC (Role-Based Access Control)

Komponenten

  • Role/ClusterRole: Berechtigungen
  • RoleBinding/ClusterRoleBinding: Zuweisung
  • ServiceAccount: Identität für Pods
  • Users/Groups: Menschliche Identitäten

Best Practices

  • Least Privilege Principle
  • Namespace-spezifische Roles
  • Regelmäßige Audits
  • ServiceAccounts pro Workload

Network Policies

Funktionsweise

  • Firewall-Regeln für Pods
  • Ingress/Egress Kontrolle
  • Label-basierte Selektion

Beispiel

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: api-policy
spec:
  podSelector:
    matchLabels:
      app: api
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - port: 8080

Pod Security Standards

Levels

  • Privileged: Keine Einschränkungen
  • Baseline: Minimal restriktiv
  • Restricted: Best Practice

Enforcement

  • Pod Security Admission (PSA)
  • Namespace Labels
  • warn, audit, enforce Modes

Secrets Management

Native Secrets

  • Base64-kodiert (nicht verschlüsselt!)
  • etcd Encryption at Rest
  • RBAC-geschützt

External Secrets

  • HashiCorp Vault
  • AWS Secrets Manager
  • External Secrets Operator
  • Sealed Secrets

Image Security

Best Practices

  • Trusted Base Images
  • Minimale Images (Distroless)
  • Regular Updates
  • No root User

Image Scanning

  • Trivy
  • Snyk
  • Prisma Cloud
  • In CI/CD Pipeline

Image Signing

  • Cosign
  • Notary
  • Admission Policies

Runtime Security

Container Runtime

  • seccomp Profiles
  • AppArmor/SELinux
  • Capabilities dropping
  • Read-only Filesystem

Runtime Monitoring

  • Falco
  • Sysdig
  • Aqua Runtime Protection

Service Mesh Security

  • mTLS automatisch
  • Certificate Rotation
  • Access Policies
  • Istio, Linkerd

Audit Logging

  • API Server Audit Logs
  • Pod-Level Logging
  • SIEM Integration
  • Compliance Requirements

Security Checkliste

  1. RBAC konfiguriert
  2. Network Policies aktiv
  3. Pod Security Standards
  4. Secrets verschlüsselt
  5. Images gescannt
  6. Audit Logging aktiv

CFTools Software implementiert umfassende Kubernetes-Security-Konzepte.

Tags:
Kubernetes Security
RBAC
Network Policies
Pod Security
Image Security
mTLS
C

CFTools Software

Geschäftsführer und Gründer von CFTools Software GmbH. Leidenschaftlich in der Entwicklung skalierbarer Softwarelösungen und Cloud-Native-Architekturen.

Artikel nicht verfügbar

Dieser Artikel ist für Ihren Zugangstyp nicht verfügbar.

Alle Artikel anzeigen