Vulnerability Management¶

Kontinuierliches Vulnerability Management ist essentiell für die Sicherheit der ayedo Kubernetes Distribution.

Überblick¶

Die Plattform implementiert mehrschichtige Schwachstellenerkennung und -behebung:

• Image Scanning: Container Images vor Deployment
• Runtime Scanning: Laufende Container
• Infrastructure Scanning: Kubernetes-Komponenten
• Dependency Scanning: Software-Abhängigkeiten

Harbor Image Scanning¶

Harbor scannt automatisch alle Container Images auf bekannte Schwachstellen (CVEs).

Features¶

• Automatisches Scanning: Bei jedem Push
• CVE Database: Täglich aktualisiert
• Severity Levels: Critical, High, Medium, Low
• Scan Reports: Detaillierte Vulnerability-Reports
• Policy Enforcement: Blockierung vulnerabler Images

Severity Levels¶

Critical: Sofortige Behebung erforderlich (SLA: 24h)

• Remote Code Execution
• Privilege Escalation
• Authentication Bypass

High: Behebung innerhalb von 7 Tagen

• Data Exposure
• Denial of Service
• Information Disclosure

Medium: Behebung innerhalb von 30 Tagen

Low: Behebung nach Priorität

Admission Control¶

Kyverno-Policy blockiert Images mit kritischen Schwachstellen:

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: block-vulnerable-images
spec:
  validationFailureAction: enforce
  rules:
  - name: check-image-vulnerabilities
    match:
      resources:
        kinds:
        - Pod
    validate:
      message: "Image contains critical vulnerabilities"
      deny:
        conditions:
        - key: "{{request.object.spec.containers[].image}}"
          operator: In
          value: ["*:vulnerable"]

Runtime Vulnerability Detection¶

Falco erkennt verdächtiges Verhalten in laufenden Containern:

• Unerwartete System Calls
• Privilege Escalation Versuche
• Verdächtige Netzwerkverbindungen
• Ungewöhnliche File Access Patterns

Kubernetes Component Scanning¶

Regelmäßige Scans der Kubernetes-Komponenten:

• kube-apiserver
• kube-controller-manager
• kube-scheduler
• kubelet
• etcd

Tool: kube-bench für CIS Kubernetes Benchmark

Patch Management¶

Automatische Updates¶

• OS-Level: Automatische Security Patches (Ubuntu unattended-upgrades)
• Kubernetes: Updates innerhalb von 4 Wochen nach Release
• Platform Components: Regelmäßige Updates via Polycrate

Update-Prozess¶

1. Security Advisory: CVE-Benachrichtigung
2. Impact Assessment: Bewertung der Auswirkungen
3. Testing: Tests in Staging-Umgebung
4. Deployment: Rolling Update in Production
5. Verification: Überprüfung der Funktionalität

CVE Tracking¶

Alle bekannten CVEs werden getrackt:

• Database: NIST NVD, OSV
• Notification: Automatische Alerts bei neuen CVEs
• Remediation: Priorisierte Behebung

CVE Response SLA¶

Critical CVEs: - Analyse: 4 Stunden - Patch verfügbar: 24 Stunden - Deployment: 48 Stunden

High CVEs: - Analyse: 24 Stunden - Patch verfügbar: 7 Tage - Deployment: 14 Tage

SBOM (Software Bill of Materials)¶

Vollständige SBOM für alle Platform-Komponenten:

• Format: SPDX, CycloneDX
• Inhalt: Alle Dependencies und Versionen
• Verfügbarkeit: Auf Anfrage

Siehe: SBOM

Compliance Mapping¶

• ISO 27001 A.8.8: Management of Technical Vulnerabilities
• NIS2 Art. 21(2)(d): Supply Chain Security
• BSI IT-Grundschutz APP.4.4.A13: Image Security

Weitere Informationen¶

• Harbor auf ayedo.de
• Falco Dokumentation
• NIST NVD

Support¶

• E-Mail: security@ayedo.de