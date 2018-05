Kubernetes is dankzij veel diensten makkelijk op te zetten en te configureren. Je hoeft niet per se een hardcore beheerder te zijn als je de juiste tools gebruikt. Dit is een groot voordeel, omdat hierdoor bijvoorbeeld ook sales-mensen bepaalde features kunnen inschakelen en gebruiken. Tegelijkertijd is het een nadeel omdat het beveiligingsproblemen met zich meebrengt.

"Wij zien helaas nog te vaak dat een cloud native development-team begint met het opzetten van een product, waarbij ze allerlei aannames doen over wat zij allemaal kunnen implementeren en gebruiken. Maar als ze dan in de productiefase komen, worden ze teruggefloten door het beveiligingsteam. Want sommige features blijken niet veilig genoeg te zijn," aldus Scott Sneddon, van Juniper Networks.

"Het is niet zozeer dat er specifieke kwetsbaarheden bestaan in de containerwereld. Het gaat vaker mis omdat benodigde stappen en procedures niet (goed) worden gevolgd. Normaal gesproken is het zo binnen grote organisaties dat als er een applicatie wordt gebouwd, er een trouble ticket wordt aangemaakt voor het netwerkteam om deze applicatie te ondersteunen. Daarnaast wordt er een ticket aangemaakt voor het beveiligingsteam om de firewall-regels te schrijven voor deze nieuwe applicatie. Deze processen duren weken en soms zelfs maanden. En dan moet de boel nog op verschillende manieren worden getest."

"Maar het hele idee van een cloud native-aanpak en microservices is juist dat deze applicaties snel kunnen worden gebouwd en bijgewerkt. Hierdoor moeten er concessies worden gedaan. Het beveiligingsteam kan ontwikkelaars dan wel een mooie sandbox geven waarin zij naar hartenlust kunnen ontwikkelen (de security-afdeling zorgt er wel voor dat de slechteriken buiten blijven), maar als ontwikkelaars dan ook nog eens willen dat hun applicatie/container draait op AWS, Google Cloud en tegelijkertijd ook op Azure, is de kans aanwezig dat ze hun eigen creditcard trekken, een account openen en op eigen houtje hun werk online gooien, met alle gevolgen van dien."

Er moet dus een goede strategie worden bedacht om dit soort problemen te ondervangen. Spreek met al je teams af wie wat wanneer doet en koppel dat zo snel mogelijk terug naar het beveiligingsteam. Het helpt ook als het beveiligingsteam alle wensen en eisen van tevoren vastlegt waarin op een simpele manier omschreven staat waar men op moet letten zodat andere teams zich daar makkelijk aan kunnen houden.

Er zijn meer dan genoeg beveiligingstools beschikbaar. Je kan ze krijgen van Google, Amazon en specifieke (native) Kubernetes-beveiligingstools, maar als er geen goede strategie is, en al deze tools worden door elkaar gebruikt, kan het uiteindelijk te veel tijd kosten iets op te zetten dat echt veilig is omdat deze tools op elkaar moeten worden afgestemd.

Wat is Kubernetes eigenlijk?