Zum Inhalt

BSI IT-Grundschutz

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Framework für die Umsetzung von Informationssicherheits-Management. Er bietet einen strukturierten, modularen Ansatz zur Implementierung von Sicherheitsmaßnahmen.

Das Framework besteht aus thematisch gruppierten "Bausteinen" (Bausteine), die spezifische Komponenten, Prozesse und Technologien adressieren. Diese Bausteine verknüpfen Sicherheitsziele mit konkreten Umsetzungshinweisen und Verifizierungsschritten zu einem geschlossenen, auditierbaren Framework.

APP.4.4 - Kubernetes

Innerhalb der Anwendungsschicht fokussiert sich APP.4.4 – Kubernetes auf die Absicherung von Container-Orchestrierungsumgebungen. Dieser Baustein wurde in der 2022er-Edition des IT-Grundschutz-Kompendiums eingeführt und adressiert spezifische Risiken von Kubernetes-Clustern – von Konfigurations-Management und Zugriffskontrolle bis hin zu Backup und Recovery.

APP.4.4 ergänzt SYS.1.6 (Containerisierung), indem er allgemeine Container-Security-Prinzipien in Kubernetes-spezifische Maßnahmen übersetzt und sicherstellt, dass sowohl operative Praktiken als auch technische Konfigurationen robusten, verifizierbaren Sicherheitsstandards entsprechen.

Wichtiger Hinweis zur Compliance

Scope und Verantwortlichkeiten

Viele Anforderungen in APP.4.4 können nicht allein durch eine Anwendungsplattform erfüllt werden, da sie von Faktoren außerhalb des Produktscopes abhängen – wie etwa:

  • Deployment und Integration in die Infrastruktur
  • Betriebsprozesse und organisatorische Maßnahmen
  • Entwicklung und Deployment der Anwendungen
  • Konfiguration des umgebenden Infrastruktur-Stacks

Die ayedo Kubernetes Distribution bietet Features und Guardrails (z.B. RBAC, Audit Logs, Network Policies), um diese Controls zu unterstützen. Die vollständige Erfüllung hängt jedoch von:

  • Korrekter Konfiguration der Plattform
  • Sicherer umgebender Infrastruktur
  • Disziplinierten Betriebsprozessen
  • Sicherer Anwendungsentwicklung

ab.

Diese Dokumentation präsentiert daher keine "all green checkboxes" Compliance-Tabelle für APP.4.4. Stattdessen wird für jede relevante Anforderung auf die Teile dieser Dokumentation verwiesen, die erklären, wie die ayedo Kubernetes Distribution die Umsetzung unterstützt oder ermöglicht.

Dieser Ansatz ermöglicht es Plattform-Administratoren, die Fähigkeiten der ayedo Kubernetes Distribution mit ihren eigenen umgebungsspezifischen Konfigurationen, Policies und Prozessen zu kombinieren, um eine realistische und verifizierbare Bewertung sicherzustellen – anstatt einer irreführenden Darstellung vollständiger Out-of-the-Box-Compliance.

Wie die ayedo Kubernetes Distribution APP.4.4 unterstützt

Netzwerksegmentierung und Network Policies

Relevant für: APP.4.4.A3, APP.4.4.A7

Die ayedo Kubernetes Distribution nutzt Cilium mit eBPF für hochperformante Netzwerksegmentierung:

  • Network Policies auf L3/L4: Kontrolle des Pod-zu-Pod-Traffics
  • Network Policies auf L7: HTTP/gRPC-basierte Policies
  • Default Deny: Empfohlene Policy: Deny All, explizites Whitelisting
  • Namespace Isolation: Automatische Isolation zwischen Namespaces

Dokumentation:

Authentifizierung und Autorisierung

Relevant für: APP.4.4.A1, APP.4.4.A4, APP.4.4.A15

RBAC (Role-Based Access Control):

  • Kubernetes-natives RBAC für alle API-Zugriffe
  • ServiceAccounts mit minimalen Berechtigungen (Least Privilege)
  • Namespace-basierte Mandantentrennung
  • Integration mit Identity Providers (Keycloak, Zitadel)

OpenID Connect (OIDC) Integration:

  • SSO via OIDC für User Authentication
  • Integration mit bestehenden Identity Providern
  • Multi-Factor Authentication (MFA)

Dokumentation:

Audit Logging

Relevant für: APP.4.4.A5, APP.4.4.A9

Vollständige Protokollierung aller sicherheitsrelevanten Ereignisse:

  • Kubernetes Audit Logs: Alle API-Server-Zugriffe
  • Tamper-Proof Storage: Logs in separatem System (VictoriaLogs)
  • Long-Term Retention: Konfigurierbare Aufbewahrungsfristen
  • Log Review: Automatische Anomalie-Erkennung

Dokumentation:

Secrets Management

Relevant für: APP.4.4.A8, APP.4.4.A14

Sichere Verwaltung von Credentials und sensiblen Daten:

  • HashiCorp Vault: Zentrales Secrets Management
  • External Secrets Operator: Synchronisation in Kubernetes Secrets
  • Dynamic Secrets: On-Demand-Generierung von Credentials
  • Encryption at Rest: Verschlüsselung aller Secrets

Dokumentation:

Pod Security

Relevant für: APP.4.4.A2, APP.4.4.A10

Absicherung von Container-Workloads:

  • Pod Security Standards: Enforcement von Baseline/Restricted Policies
  • Security Context: Konfiguration von User IDs, Capabilities
  • Read-Only Root Filesystem: Empfohlen für alle Container
  • Non-Root Users: Erzwingung via Policy

Policy Enforcement:

  • Kyverno für Policy as Code
  • Validierung, Mutation und Generierung von Ressourcen
  • Verbot privilegierter Container

Dokumentation:

Image Security

Relevant für: APP.4.4.A13, APP.4.4.A16

Sicherheit der Container Images:

  • Harbor Registry mit Vulnerability Scanning
  • Image Signing: Notary für Content Trust
  • Admission Control: Verbot unsignierter oder vulnerabler Images
  • Private Registry: Keine Verwendung öffentlicher Registries in Produktion

Dokumentation:

Backup und Disaster Recovery

Relevant für: APP.4.4.A18

Umfassende Backup-Strategie:

  • Velero: Automatisierte Backups von Kubernetes-Ressourcen und PVs
  • Scheduled Backups: Tägliche automatische Backups
  • Offsite Storage: Geografisch getrennte Backup-Speicherung
  • Tested Recovery: Regelmäßige Tests der Wiederherstellung

Dokumentation:

Monitoring und Intrusion Detection

Relevant für: APP.4.4.A11, APP.4.4.A19

Kontinuierliche Überwachung und Angriffserkennung:

  • VictoriaMetrics & Grafana: Metriken und Dashboards
  • Falco: Runtime Security Monitoring
  • Cilium Network Observability: Netzwerk-basierte Angriffserkennung
  • 24/7 Monitoring: Proaktives Monitoring durch ayedo-Team

Dokumentation:

Verschlüsselung

Relevant für: APP.4.4.A17, APP.4.4.A20

Verschlüsselung auf allen Ebenen:

  • Data in Transit: TLS 1.3 für alle Verbindungen
  • mTLS: Service-to-Service-Verschlüsselung via Cilium
  • Data at Rest: Verschlüsselung von Persistent Volumes (Infrastructure-Level)
  • Secrets Encryption: Verschlüsselte Speicherung in Vault

Dokumentation:

Updates und Patch Management

Relevant für: APP.4.4.A21

Regelmäßige Wartung und Updates:

  • Kubernetes Updates: Neue Versionen innerhalb von 4 Wochen
  • Security Patches: Automatische OS-Level Patches
  • Component Updates: Regelmäßige Updates der Platform-Komponenten
  • Zero Downtime: Rolling Updates ohne Ausfallzeiten

Dokumentation:

Anforderungen außerhalb des Scopes der Plattform

Folgende Anforderungen liegen außerhalb des direkten Scopes der ayedo Kubernetes Distribution und müssen auf Anwendungs- oder Infrastruktur-Ebene umgesetzt werden:

APP.4.4.A6 - Initialisierung von Pods (S)

Verantwortung: Application Developer

Anwendungsentwickler müssen sicherstellen, dass Initialisierung in Init Containers erfolgt.

APP.4.4.A11 - Überwachung der Container (S)

Verantwortung: Application Developer

Anwendungen müssen Liveness und Readiness Probes implementieren. Beispiel in unserem ohMyHelm Chart.

APP.4.4.A12 - Absicherung der Infrastruktur-Anwendungen (S)

Verantwortung: Infrastructure Team

Die ayedo Kubernetes Distribution ist nur so sicher wie die umgebende Infrastruktur. Stellen Sie sicher:

  • Sichere Backup-Systeme
  • Geschützte Konfigurationsverwaltung
  • Zugriffskontrolle auf Infrastruktur-Ebene

APP.4.4.A20 - Verschlüsselte Datenhaltung bei Pods (H)

Verantwortung: Infrastructure Team

ayedo empfiehlt Full-Disk-Encryption auf Infrastruktur-Ebene. Dies sollte bei der Auswahl des Hosting-Providers berücksichtigt werden.

Weiterführende Dokumentation

Support

Für Fragen zur BSI IT-Grundschutz-Compliance kontaktieren Sie uns: