Red Hat Advanced Cluster Security for Kubernetes 

31. Oktober 2025
Ressourcentyp: Datenblatt

Einleitung

Der Schutz cloudnativer Anwendungen erfordert erhebliche Änderungen hinsichtlich unseres Sicherheitsansatzes. Wir müssen Kontrollen schon früher im Anwendungsentwicklungs-Lifecycle einsetzen, die Infrastruktur selbst zur Anwendung dieser Kontrollen nutzen, entwicklerfreundliche Richtlinien bereitstellen und mit den immer kürzeren Release-Zeitplänen Schritt halten.

Red Hat® Advanced Cluster Security for Kubernetes basiert auf StackRox-Technologie und schützt wichtige Anwendungen während der Entwicklungs-, Deployment- und Runtime-Phasen. Unsere Software wird in Ihrer Kubernetes-Infrastruktur als selbst gemanagte Sicherheitslösung eingesetzt. Optional können Sie sie auch als vollständig gemanagte SaaS-Lösung (Software as a Service) nutzen. Darüber hinaus lässt sie sich in Ihre bestehenden DevOps-Tools und -Workflows integrieren und sorgt so zuverlässig für mehr Sicherheit und Compliance. Die Richtlinien-Engine umfasst Hunderte integrierter Kontrollen zur Durchsetzung von DevOps und sicherheitsorientierten Praktiken, die auf Branchenstandards wie den CIS-Benchmarks (Center for Internet Security) Benchmarks und den NIST-Richtlinien (National Institute of Standards Technology), dem Konfigurationsmanagement von Containern und Kubernetes sowie der Runtime-Sicherheit basieren.

Red Hat Advanced Cluster Security bietet eine Kubernetes-native Architektur für Plattform- und Anwendungssicherheit. Diese ermöglicht es DevOps- und InfoSec-Teams, Sicherheit zu operationalisieren.

Eine Kubernetes-native Sicherheitslösung für cloudnative Anwendungen

Features und Vorteile

  • Senken der Betriebskosten
    • Ermöglichen Sie Entwicklungs-, Operations- und Sicherheitsteams die Verwendung gemeinsamer, Kubernetes-nativer Sicherheitstools und -praktiken, und bieten Sie Richtlinien für einzelne Nutzende.
    • Verwenden Sie Kubernetes-native Kontrollen während der Entwicklungs-, Deployment- und Runtime-Phasen der Anwendung, um Transparenz und Management von Schwachstellen, Richtlinien- und Konfigurationsverletzungen sowie das Runtime-Verhalten der Anwendung zu verbessern.
    • Reduzieren Sie die Kosten für die Behebung eines Sicherheitsproblems, indem Sie es bereits in der Entwicklungsphase erkennen und beseitigen (Shift Left).
  • Reduzieren des operativen Risikos
    • Richten Sie Sicherheit und Infrastruktur aufeinander aus, um Ausfallzeiten von Anwendungen zu reduzieren. Nutzen Sie dazu integrierte Kubernetes-Funktionen wie Netzwerkrichtlinien für die Segmentierung und Zugangskontrollen für die Durchsetzung von Sicherheitsrichtlinien.
    • Mit Kubernetes-nativen Sicherheitskontrollen können Sie auf Bedrohungen reagieren und Sicherheitsrichtlinien durchsetzen, um potenzielle Auswirkungen auf Ihre Anwendungen und Infrastrukturabläufe zu minimieren. Die Kontrollen können beispielsweise dazu dienen, einen erfolgreichen Angriff einzudämmen, indem Kubernetes automatisch angewiesen wird, verdächtige Pods auf Null zu skalieren oder Instanzen der angegriffenen Anwendungen zu beenden und neu zu starten.
  • Erhöhen der Entwicklungsproduktivität
    • Scannen Sie aktiv Schwachstellen in Repositories, Entwicklungs-Pipelines und in der Produktion.
    • Nutzen Sie die Vorteile von Kubernetes und bestehenden CI/CD-Tools (Continuous Integration und Continuous Delivery), um integrierte Sicherheitsrichtlinien bereitzustellen, mit denen die Geschwindigkeit der Entwicklungsteams unterstützt und gleichzeitig die gewünschte Sicherheitslage aufrechterhalten wird.
    • Synchronisieren Sie Updates und Support mit Red Hat OpenShift® Releases und sorgen Sie so für Kompatibilität und aktuelle Sicherheitsfunktionen.
    • Verwenden Sie von Red Hat zertifizierte Schwachstellendaten, um eine höhere Genauigkeit und Relevanz für Red Hat OpenShift Umgebungen zu gewährleisten.

Die Vorteile im Detail

BereichVorteile
Transparenz
  • Bietet einen umfassenden Überblick über Ihre Kubernetes-Umgebung, einschließlich sämtlicher Images, Pods, Deployments, Namespaces und Konfigurationen
  • Erkennt Netzwerkverkehr und zeigt diesen in den Clustern an, einschließlich Namespaces, Deployments und Pods
  • Erfasst kritische Ereignisse auf Systemebene zur Erkennung von Vorfällen in Containern
Schwachstellenmanagement
  • Erkennt Schwachstellen auf Host-Ebene und potenzielle Sicherheitsbedrohungen in Red Hat Enterprise Linux® CoreOS
  • Scannt Images auf bekannte Schwachstellen, basierend auf bestimmten Sprachen, Paketen und Image-Schichten
  • Hebt die risikoreichsten Image-Schwachstellen und Deployments hervor, um Reaktionen zu priorisieren
  • Korreliert Schwachstellen mit Namespaces, laufenden Deployments und Images
  • Kategorisiert die Ergebnisse nach Plattform, Knoten und Workload, um Nachverfolgung und Eigentümerschaft zu vereinfachen
  • Setzt Richtlinien auf der Grundlage von Details zu Schwachstellen bei Entwicklung, Deployment und Runtime durch
  • Integriert ACS mit Drittanbieterlösungen über roxctl und/oder die API (Application Programming Interface), um in den Tools, die Ihre Teams täglich nutzen (Jira und ServiceNow), Benachrichtigungen über Schwachstellen bereitzustellen
Compliance
  • Bewertet die Compliance mit technischen Kontrollen aus Sicherheits- und Regulierungsframeworks, darunter CIS, Payment Card Industry (PCI), NIST SP 800-53, DISA STIG und NERC-CIP
  • Bietet einen Überblick über die allgemeine Compliance der Kontrollen der einzelnen Standards mit der Möglichkeit, Nachweise für Prüfungszwecke zu exportieren
  • Ermöglicht die Navigation zu detaillierten Ansichten der Compliance-Ergebnisse, um Cluster, Namespaces, Knoten oder Deployment-Namespaces zu ermitteln, bei denen eine Fehlerbehebung erforderlich ist
  • Plant Compliance-Scans und automatisiert die Erstellung evidenzbasierter Berichte
Netzwerksegmentierung
  • Visualisiert zulässigen und aktiven Datenverkehr zwischen Namespaces, Deployments und Pods, einschließlich externer Zugriffe zur Runtime
  • Identifiziert aktive Prozesse, die Ports überwachen
  • Identifiziert anomalen Netzwerkverkehr, konfiguriert Runtime-Richtlinien und setzt diese durch
  • Warnt bei Richtlinienverletzungen mit unzulässigem Datenverkehr
  • Generiert ein Konnektivitätsdiagramm und zeigt kontextbezogene Unterschiede zwischen 2 Versionen der Anwendung vor dem Deployment
  • Simuliert Änderungen der Netzwerkrichtlinien zur Runtime, bevor sie implementiert werden, um operative Risiken für die Umgebung zu minimieren
  • Ermöglicht die Shift Left-Erstellung von Kubernetes-Netzwerkrichtlinien durch Analysieren von Anwendungsmanifesten vor dem Deployment
Risikoprofiling
  • Nimmt eine heuristische Einstufung der ausgeführten Deployments nach ihrem allgemeinen Sicherheitsrisiko vor, indem Faktoren wie Schwachstellen, Verstöße gegen Konfigurationsrichtlinien und Runtime-Aktivität kombiniert werden
  • Verfolgt Verbesserungen der Sicherheitslage Ihrer Kubernetes-Deployments zur Prüfung der Auswirkungen der Maßnahmen Ihres Sicherheitsteams
  • Durchsucht laufende Deployments in sämtlichen Clustern, um Bedrohungsvektoren zu modellieren und Risikomuster festzustellen
Konfigurationsmanagement
  • Setzt vordefinierte DevOps- und Sicherheitsrichtlinien zur Identifizierung von Konfigurationsverstößen im Zusammenhang mit Netzwerkangreifbarkeit, Container-Berechtigungen, als Root laufenden Prozessen und der Compliance mit Branchenstandards ein
  • Analysiert die RBAC-Einstellungen (Role-based Access Control) von Kubernetes, um die Berechtigungen von Benutzer- oder Servicekonten und Fehlkonfigurationen zu ermitteln
  • Verfolgt Secrets und erkennt, welche Deployments diese zur Zugangsbeschränkung verwenden
  • Setzt Konfigurationsrichtlinien während der Entwicklung mit CI/CD-Integration und während des Deployments mit dynamischer Zugangskontrolle durch
Runtime-Erkennung und -Reaktion
  • Überwacht Ereignisse, um anomale Aktivitäten zu erkennen, die auf eine Bedrohung hindeuten und die mit Kubernetes-Objekten korrelieren
  • Implementiert eine zerstörungsfreie automatisierte Reaktion unter Verwendung Kubernetes-nativer Kontrollen mit minimalen Auswirkungen auf den Geschäftsbetrieb
  • Definiert Prozessaktivitäten in Containern, um Prozesse automatisch statt manuell auf die Zulassungsliste setzen zu können
  • Verwendet vorgefertigte Richtlinien, um Krypto-Mining, Berechtigungseskalation und verschiedene Exploits zu erkennen
  • Überwacht Kubernetes-Admin-Ereignisse und blockiert böswilliges Verhalten
  • Mit externen Lösungen für SIEM (Security Integration Event Management) und SOAR (Security Orchestration, Automation and Response) integrierbar, um Workflows für die Fehlerbehebung zu unterstützen 
Sicherheitsrichtlinien
  • Identifiziert Schwachstellen in der Sicherheitskonfiguration wie Netzwerkexpositionen, privilegierte Container und als Root ausgeführte Prozesse mit sofort einsatzbereiten Richtlinien, die bei Entwicklung, Deployment oder Runtime angewendet werden können
  • Erstellt benutzerdefinierte Richtlinien auf Grundlage Kubernetes-nativer Konstrukte, einschließlich Kubernetes-API, Audit-Protokolle und Namespace-Ressourcen
  • Sorgt für Sicherheit in der Lieferkette, indem Advanced Cluster Security in CI/CD-Pipelines integriert wird, um vor dem Deployment auf bekannte Schwachstellen und Fehlkonfigurationen zu prüfen
  • Überprüft Image-Signaturen zur Zertifizierung und Authentizität von Images
  • Analysiert die RBAC-Einstellungen (Role-based Access Control) von Kubernetes, um die Berechtigungen von Benutzer- oder Servicekonten und Fehlkonfigurationen anzuzeigen
  • Verfolgt Secrets und erkennt, welche Deployments diese zur Zugangsbeschränkung verwenden
  • Skaliert das Richtlinienmanagement durch die Verwendung von Kubernetes-Labels und die Verwaltung von Richtlinien als Code (Policy as Code)
Integrationen
  • Verfügt über eine umfassende API (Application Programming Interface) und vorgefertigte Plugins zur Integration in DevOps-Systeme, einschließlich CI/CD-Tools, Image-Scanner, Sigstore, Registries, Container Runtimes, SIEM-Lösungen (Security Integration Event Management) und Benachrichtigungstools


Möchten Sie Red Hat Advanced Cluster Security in Aktion sehen?

Noch heute kostenlos testen

Tags:Automatisierung und Management