Wissen was im Container los ist – gesetzeskonformer Kubernetes-Betrieb

Können wir sicherstellen, dass die Anwendungen, die auf Container-Infrastrukturen laufen, tatsächlich compliant sind, sprich den Anforderungen von ISO 270001, DSGVO und branchenspezifischen Vorgaben wie etwa PCI-DSS genügen? Eine wichtige Herausforderung für Datenschützer, IT-Verantwortliche aber auch die Geschäftsleitung von Unternehmen, die auf Cloud Computing setzen. Mit Elastisys Compliant Kubernetes setzt A1 Digital auf die Lösung eines starken Partners.

Zunächst ein schneller Blick auf die Grundlagen: Anwendungen, die gekapselt und selbstgenügsam in einem Container laufen und sich die Ressourcen von einer unterliegenden physikalischen Plattform ziehen, von der sie weitgehend unabhängig sind. Ganz wie echte Container kann man sie von einer physikalischen Plattform auf eine andere verschieben. Das ist die Idee, die hinter Kubernetes steckt. Diese Open-Source-Technologie zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen ist zweifellos komplex, doch der praktische Einsatz lohnt sich. Bei A1 Digital sind wir von den Vorteilen überzeugt, die Kubernetes bietet. Und wir möchten es Unternehmen so einfach wie möglich machen, die Technologie zu nutzen.

Sind alle Container sicher und compliant

Wie können wir wissen – und sicherstellen – dass in Containern nur genau die Dinge passieren, die geschehen dürfen, dass zum Beispiel personenbezogene Daten nicht verloren gehen oder gestohlen werden? “Die alten Methoden, die einfach auf dem Server einloggen und nachschauen, funktionieren nicht mehr“. Das konstatiert mein Kollege Janos Pasztor in seinem Beitrag „Kubernetes – Yay or Nay“, den ich an dieser Stelle zur weiterführenden Lektüre empfehle. Eine wesentliche Herausforderung besteht also darin, Kubernetes-Infrastrukturen nach den eigenen Security-Standards und gemäß der DSGVO aufzusetzen. Schließlich gilt es, alle Anwendungen "compliant" zu betreiben, und das nicht zuletzt aus Haftungsgründen. Denn auch in größeren Unternehmen, wo ein CISO wirkt, trägt die Verantwortung bei sicherheitsrelevanten Vorfällen am Ende immer die Geschäftsführung.

Wissen, was in den Containern los ist

Um unseren Kunden einen sicheren Betrieb von Container Infrastrukturen zu ermöglichen haben wir uns auf die Suche nach einer leistungsfähigen, zuverlässigen Lösung gemacht. Unser Partner Elastisys ist aus einer Forschungsinitiative der Universität Umea in Schweden entstanden. Das Unternehmen ist Kubernetes Certified Service Provider, Silver Member der Cloud Native Computing Foundation und auf OpenShift spezialisierter Red Hat Advanced Partner.

Der Ansatz von Elastisys Compliant Kubernetes ist es, Container über ihren gesamten Lebenszyklus zu überwachen -- und dabei sowohl die technischen Anforderungen von Standards wie ISO27001 und PCI-DSS als auch die gesetzlichen Vorgaben von DSGVO oder NIS zu adressieren. Das System analysiert den Code bereits während der Entwicklung, sorgt in der Bereitstellung dafür, dass (beispielsweise bei Konfiguration und Deployment) alle hinterlegten Prozesse eingehalten werden, und ermittelt automatisch, ob die Container Angriffsflächen bieten. Im Betrieb sichert es die Anwendungen durch Web Application Firewalls und Intrusion Detection Systeme. Und es bietet– für uns CISOs und Datenschützer ganz wichtig – übersichtliche Dashboards und eine umfangreiche automatisierte Dokumentation.

Sind Sie sicher, dass Ihre Cloud-Infrastruktur „compliant“ ist!

Als CISO ist es meine Aufgabe, den sicheren, gesetzeskonformen IT-Betrieb meines Unternehmens sicherzustellen. Mein Job ist es, Innovation möglich zu machen. Nicht, sie durch überbordende Sicherheitsvorgaben zu erschweren. Dazu benötige ich die richtigen Tools.
Mit Elastisys Compliant Kubernetes haben wir eine flexible und vielfältig einsetzbare Lösung, die auf unserer Exoscale Cloud verfügbar ist. Nehmen Sie unsere Lösung mit Ihren Kollegen aus Entwicklung und Betrieb unter die Lupe, und sprechen Sie gemeinsam über Ihre Sicherheitsanforderungen mit unseren Experten.

Wir machen Digitalisierung nutzbar.