Title (deu)
IDS/IPS in Kubernetes
IDS/IPS für Kubernetes auf der Netzwerkebene
Author
Manuel Karner
Degree supervisor
Christoph Lang-Muhr
Description (deu)
Fachhochschule St. Pölten, Masterarbeit 2024, Information Security
Description (deu)
Die Anzahl der Applikationen, welche mithilfe von Kubernetes in Containern bereitgestellt werden, steigt immer weiter. Gleichzeitig müssen auch immer striktere Sicherheitsmaßnahmen umgesetzt werden um die Verfügbarkeit, Vertraulichkeit und Integrität zu bewahren. Darum wird in „traditionellen“ Netzwerken bereits seit einiger Zeit auf Mikrosegmentierung gesetzt. An den Übergängen zwischen den einzelnen Segmenten wird dabei eine Next Generation Firewall positioniert. Aus der Perspektive des Netzwerkes kann bei Kubernetes in der Standardkonfiguration jeder Pod im Cluster mit jedem anderen uneingeschränkt kommunizieren. Dies ist ein beträchtliches Risiko, welches mitigiert werden muss. Dafür gibt es verschiedene Ansätze, welche sich in ihren Fähigkeiten unterscheiden. Die einfachste Möglichkeit dafür sind die von Kubernetes entwickelten Network Policies. Auch von CNI-Anbietern werden Network Policies bereitgestellt, welche einen erhöhten Funktionsumfang verglichen zu den nativen Network Policies bieten. Ziel dieser Arbeit ist jedoch nicht nur das Aufzeigen von Lösungen zur Segmentierung. Viel mehr soll eine Möglichkeit aufgezeigt werden, wie die Funktionen von Next Generation Firewalls direkt in den Cluster integriert werden können. Die Lösung soll dabei plattformunabhängig sein, direkt im Cluster betrieben werden können und dabei das selbe Schutzniveau wie die Next Generation Firewalls außerhalb des Clusters bieten. Die von Palo Alto Networks entwickelte CN-Series erfüllt diese Anforderungen. Es handelt sich dabei um eine Firewall, welche nativ im Kubernetes-Cluster betrieben wird und den Datenverkehr zwischen den einzelnen Cluster-Ressourcen filtern sowie Angriffe erkennen kann. Die Fähigkeiten dieses Produktes werden im Laufe der Arbeit anhand von verschiedenen Versuchsszenarien gezeigt. Des Weiteren wird auch auf die Funktionsweise des Produktes und die Bereitstellungs-Optionen eingegangen. Durch die CN-Series wird einem Unternehmen ermöglicht, im virtuellen Netzwerk des Clusters die selben Sicherheitsanforderungen wie im Netzwerk außerhalb des Clusters umzusetzen.
Description (eng)
The number of applications deployed in containers using Kubernetes continues to grow. At the same time, more and more stringent security measures need to be implemented to maintain availability, confidentiality and integrity. This is why microsegmentation has been used in „traditional“ networks for some time already. A next-generation firewall is positioned at the boundaries of the individual segments. From a network perspective, in the default configuration of Kubernetes, every Pod in the cluster has the ability to communicate with others without restriction. This is a considerable risk that must be mitigated. There are various approaches for this, which differ in their capabilities. The simplest option for this are the Network Policies developed by Kubernetes. CNI providers also provide Network Policies, which offer an enhanced range of features compared to the native Network Policies. However, the aim of this paper is not only to show solutions for segmentation. The specific aim is to show how the functions of next-generation firewalls can be seamlessly integrated into the cluster. The solution should be platform-independent, it should provide the opportunity to operate directly in the cluster and it should offer the same level of protection as next-generation firewalls outside the cluster. The CN-Series developed by Palo Alto Networks fulfills these requirements. It is a firewall which is operated directly in the Kubernetes cluster and can filter data traffic between the individual cluster resources and detects attacks. The capabilities of this product are demonstrated in this thesis using various test scenarios. Furthermore, the functionality of the product and the deployment options are also covered. The CN-Series enables a company to implement the same security requirements on the virtual network of the cluster as on the network outside the cluster.
Keywords (deu)
ComputersicherheitEindringererkennungKubermetes
Type (eng)
other
Language
[deu]
Persistent identifier
https://phaidra.ustp.at/o:5813
AC number
AC17188960
License
All rights reserved
University of Applied Sciences St. Pölten | Campus-Platz 1 | A-3100 St. Pölten | T +43/2742/313 228-234
Impressum | Terms of Use | Credits