Mit dem Siegeszug von Kubernetes ist auch der Java Entwickler vollends im DevOps-Zeitalter angekommen. Neben der eigentlichen Entwicklung muss dieser sich u.a. mit Netzwerken, Containern, Ingress-Controllern, Load-Balancern, Nodes, Services und Pods beschäftigen.
Bei der Vielzahl komplexer Aufgaben bleibt hier die nötige Sicherheit häufig außen vor. Dabei lauern selbst in gemanagten Kubernetes Clustern bekannter Cloud-Provider vielfältige Fallen und Angriffspunkte: Docker Container laufen reihenweise im privilegierten Modus mit Root-Rechten oder RBAC ist in Kubernetes zwar aktiviert, wird jedoch überhaupt nicht oder nur lückenhaft konfiguriert.
In diesem Vortrag werden die wesentlichen sicherheitskritischen Komponenten eines Kubernetes-Clusters vorgestellt. Dabei werden mögliche Sicherheitsprobleme und Maßnahmen zu deren Beseitigung bzw. Risikominderung vorgestellt. Zum Abschluss wird in einer Live-Demo anhand einer beispielhaften Spring Boot Java Anwendung gezeigt, wie diese unter Berücksichtigung empfohlener Sicherheitspatterns als Docker-Container in ein Kubernetes-Cluster deployed wird. Hierbei werden u.a. auch Möglichkeiten zur sicheren Konfiguration von Secrets in Kubernetes diskutiert.