Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Was ist Kubernetes?

Veröffentlicht | 23. Juni 2025 |

Funktionsweise, Cluster und Best Practices

Kubernetes (K8s) führt moderne Cloud-Anwendungen mit immenser Skalierung und Automatisierung aus, bringt durch seine dynamische Beschaffenheit jedoch komplexe Sicherheitsherausforderungen mit sich. In diesem Leitfaden wird erläutert, warum ein gründliches Verständnis und proaktives Management dieser verborgenen Cyberrisiken und Schwachstellen für die Absicherung Ihrer Cluster unerlässlich ist.

Was ist Kubernetes?

Kubernetes (auch als K8s bezeichnet) automatisiert die Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. 

Kubernetes ermöglicht Container-Orchestrierung in allen Bereichen und über sämtliche Cluster von Maschinen hinweg – ob On-Prem, in der Cloud oder in Hybrid-Umgebungen.

Kubernetes verankert Resilienz, Skalierbarkeit und Sicherheit in Ihrer Infrastruktur. 

Doch Kubernetes ist dynamisch und führt bedingt durch seine verteilte Architektur zu besonderen Komplexitäten im Sicherheitsbereich, die in spezieller Form verwaltet werden müssen und kontinuierliche Sichtbarkeit erfordern.

Nichtsdestotrotz ist Kubernetes nach wie vor der De-facto-Standard für Container-Orchestrierung. 

Ganz gleich, ob Sie Microservices verwalten, Batch-Jobs ausführen oder cloud-native Anwendungen entwickeln – mithilfe von Kubernetes können Sie Komplexität unter Kontrolle bringen und parallel dazu Ihre Infrastruktur skalieren.

Einsatzmöglichkeiten von Kubernetes

Mithilfe von Kubernetes können containerisierte Workloads in verteilter Infrastruktur ausgeführt werden. Dies umfasst Elemente jedweder Art, angefangen bei einfachen Webanwendungen bis hin zu komplexen Multi-Service-Plattformen. 

Mit K8s sind Sie in der Lage, Anwendungen in jeder Umgebung bereitzustellen und zu skalieren – ganz ohne manuelle Konfiguration.

Mit Kubernetes können Sie:

  • Bereitstellungspipelines in Ihrem CI/CD-Workflow automatisieren
  • Microservices je nach Bedarf und Ressourcennutzung skalieren
  • Infrastrukturkosten durch Optimierung der Container-Dichte managen
  • Hybrid- und Multi-Cloud-Umgebungen ganz ohne Anbieterabhängigkeit betreiben
  • Ausfallzeiten durch integrierte Failover-Funktionen und Selbstreparatur reduzieren

Kubernetes ist bei der Entwicklung und Absicherung von modernen Anwendungen weit verbreitet – und folglich eine Komponente, die für Ihren Technologie-Stack und den Aufbau und Schutz von cloud-nativen Anwendungen von kritischer Bedeutung ist.

Sind Sie bereit, Ihre Kubernetes-Nutzung mit Ihrer Cloud-Risikostrategie auf eine Linie zu bringen? Finden Sie heraus, wie Sie Sicherheit im Rahmen Ihres Bereitstellungsmodells Priorität einräumen.

Was ist ein Kubernetes-Cluster?

Kubernetes-Cluster bilden das Fundament der gesamten Funktionsweise von Kubernetes. 

umfasst folgende Inhalte:

  • Eine Steuerungsebene, die globale Entscheidungen trifft (z. B. zur Workload-Planung und Reaktion auf Cluster-Ereignisse)
  • Mindestens einen Worker-Knoten, der die Pods ausführt, die Container enthalten

Durch Cluster ist es möglich, Workloads ein einziges Mal bereitzustellen und dann in sämtlichen Umgebungen auszuführen. 

Doch hier treten auch die meisten Fehlkonfigurationen auf – insbesondere wenn ungeschützte API-Server oder Knoten mit übermäßigen Berechtigungen vorhanden oder Ihre RBAC-Regeln (rollenbasierte Zugriffskontrolle) nicht strikt genug sind. 

Zur Identifizierung und Behebung dieser Konfigurationsfehler ist es notwendig, den Bereitstellungsstatus und die Sicherheitslage von Clustern kontinuierlich zu bewerten.

Aus dem Tenable Cloud Risk Report 2024 geht hervor, dass 78 % der Unternehmen öffentlich zugängliche Kubernetes-API-Server einsetzen. 

Mitunter reichen Angreifern schon ein paar Minuten, um diese Cyberrisiken auszunutzen und sich dann seitwärts in Ihre Cloud-Infrastruktur fortzubewegen.

Kubernetes-Architektur verständlich erklärt

Kubernetes liegt eine modulare, verteilte Architektur zugrunde. 

Die Komponenten greifen ineinander, um Container-Orchestrieren. 

Zentrale Bausteine von K8s sind:

  • Pods, die kleinsten bereitstellbaren Einheiten in Kubernetes
  • Services, durch die Pods innerhalb oder außerhalb des Clusters mit Datenverkehr in Kontakt kommen
  • Ingress, der den externen Zugriff auf Services verwaltet
  • etcd, ein Key-Value-Speicher, der die Konfiguration und den Zustand des Clusters enthält
  • Kubelet, das auf jedem Knoten ausgeführt wird und mit der Steuerungsebene kommuniziert
  • Kube-scheduler und kube-controller-manager, die das Workload-Management automatisieren

Workloads können mithilfe von YAML-Manifesten in deklarativer Form skaliert und aktualisiert werden. Kubernetes behält den gewünschten Zustand bei, selbst wenn Teile Ihrer Umgebung offline sind.

Kubernetes-Architektur bietet deklarative Automatisierung, doch mit zunehmender Skalierung Ihrer Cluster wächst hier auch Ihre Angriffsfläche.

Wie funktioniert Kubernetes?

Kubernetes gleicht den aktuellen Zustand Ihrer Workloads konstant mit dem gewünschten Zustand ab, den Sie in Ihren Konfigurationsdateien definiert haben. 

Bestehen hier Abweichungen, ergreift Kubernetes automatisierte Korrekturmaßnahmen.

Fällt beispielsweise ein Knoten aus, nimmt Kubernetes eine Umverteilung vor und plant betroffene Pods für gesunde Knoten ein. 

Wenn eine neue Version Ihrer Anwendung verfügbar ist, übernimmt Kubernetes das Rollout des Updates – ganz ohne Ausfallzeiten. Hierbei kommen Strategien wie Rolling-Updates oder Blue-Green-Bereitstellungen zum Einsatz.

Darüber hinaus lässt sich Kubernetes in Ihre Überwachungs-, Protokollierungs- und Richtlinientools integrieren. Dadurch eignet sich Kubernetes ideal für Shift-Left-Sicherheit, insbesondere in Kombination mit CI/CD-Pipelines: Sicherheitschecks können direkt in Entwicklungs- und Bereitstellungs-Workflows eingebettet werden, um so Probleme zu vermeiden, bevor sie in Produktionsumgebungen gelangen.

Sie möchten Richtlinien vor der Bereitstellung durchsetzen? Machen Sie sich ein Bild davon, wie Tenable Sicherheitsmechanismen in jede einzelne Phase Ihres Entwicklungszyklus integriert.

Was ist ein Container in Kubernetes?

Ein Container ist ein schlankes, eigenständiges Softwarepaket, das sämtliche Aspekte enthält, die zur Ausführung eines Prozesses notwendig sind: Code, Runtime, Bibliotheken und Abhängigkeiten. 

In Kubernetes werden Container in Pods ausgeführt und dort zwecks Bereitstellung und Networking gruppiert.

Container machen Ihre Workloads portierbar und konsistent, führen aber auch zu neuen Risiken. Dies gilt insbesondere in folgenden Fällen:

  • Container werden im privilegierten Modus ausgeführt, wodurch uneingeschränkter Zugriff auf den Host besteht
  • Workloads weisen keine Laufzeitisolierung auf
  • Container rufen Daten aus nicht verifizierten Images ab

Aus dem Tenable Cloud Risk Report 2024 geht hervor, dass 44 % der Unternehmen Container im privilegierten Modus ausführen. Dadurch steigt das Risiko einer Rechteausweitung in erheblichem Maße, insbesondere wenn Angreifer bereits Zugriff auf anfällige APIs oder Dienstkonten haben.

Wie Kubernetes und Docker ineinandergreifen

Docker und Kubernetes sind in zahlreichen Umgebungen eng miteinander verzahnt.

Docker ist eine Container-Engine, die Ihre Anwendungen zunächst in Paketen zusammenfasst („verpackt“) und dann als Container ausführt. 

Kubernetes hingegen ist ein System zur Container-Orchestrierung, das diese Container in einem Cluster bereitstellt und verwaltet.

Kubernetes war früher auf Docker als Laufzeitumgebung angewiesen, doch inzwischen werden über das Container Runtime Interface (CRI) andere Engines wie containerd unterstützt.

Im Zuge von Kubernetes 1.24 wurde die direkte Integration der Docker Engine als Container-Runtime von der Kubernetes-Community und den Projektbetreuern (Kubernetes-Maintainer) entfernt. Die aktuellste Version von Kubernetes ist derzeit 1.33.

Achten Sie darauf, Umgebungen stets auf folgende Aspekte zu überwachen:

  • Übermäßige Container-Berechtigungen
  • API-Fehlkonfigurationen
  • Nicht verifizierte Image-Quellen
  • Veraltete Laufzeitkomponenten

Zur Beseitigung dieser miteinander verknüpften Risiken ist eine einheitliche Ansicht notwendig, die sowohl die Container-Image-Ebene als auch die Orchestrierungsebene umfasst.

Kubernetes-Tutorial für Einsteiger

Wenn Kubernetes für Sie noch neu ist, gelingt der Einstieg am schnellsten, wenn Sie einen lokalen Cluster mit Minikube oder kind bereitstellen. 

Diese Tools führen K8s lokal aus, sodass Sie Bereitstellungen zunächst testen können, bevor Sie sie in Produktionsumgebungen übertragen.

Grundlegende Schritte:

  1. Installieren Sie Minikube oder kind.
  2. Verfassen Sie ein Bereitstellungsmanifest in YAML.
  3. Nutzen Sie kubectl, um die Bereitstellung durchzuführen.
  4. Machen Sie die Anwendung als Service verfügbar.
  5. Skalieren Sie Pods nach oben oder unten, um reale Workloads zu simulieren.

Dieser praxisnahe Workflow verdeutlicht, wie Kubernetes Pods einplant, Konfigurationen durchsetzt und auf Fehler reagiert. Er bildet die Grundlage – für Automatisierung in großem Maßstab und zur Absicherung Ihrer Umgebung vor der Produktion.

Sind Sie bereit, Kubernetes-Sicherheit auf die Probe zu stellen? Fordern Sie eine Demo von Tenable Cloud Security an.

Alternativen zu Kubernetes

Kubernetes ist leistungsstark, doch Container können auch auf anderen Plattformen ausgeführt werden. 

Mögliche Alternativen sind:

  • Docker Swarm, für eine einfachere Orchestrierung
  • Nomad, für gemischte Workload-Typen
  • K3s, eine schlanke Kubernetes-Distribution
  • Managed Services

Sämtliche Alternativen gehen mit gewissen Kompromissen bei Performance, Portabilität und Sicherheit einher. Wenn Ihnen die mit Kubernetes verbundene Komplexität Schwierigkeiten bereitet, könnte sich eine Managed Solution für Ihren Anwendungsfall besser eignen, was insbesondere in kleineren Teams der Fall ist.

Schwachstellenmanagement in Kubernetes-Umgebungen

Schwachstellenmanagement in Kubernetes geht weit über herkömmliche Scans von Images hinaus. 

Container bilden hier nur eine Ebene: Durch die Kubernetes-Kontrollebene, die Cluster-Konfiguration und das Laufzeitverhalten von Workloads entstehen unterschiedliche Risiken.

Tools können CVEs in Container-Images melden, übersehen aber häufig Cluster-Admin-Rollenbindungen mit übermäßigen Berechtigungen, ungeschützte Kubelet-APIs oder im privilegierten Modus ausgeführte Workloads. Genau diese Risiken nutzen Angreifer aus, um ihre Rechte auszuweiten.

Eine vollständige Strategie für das Schwachstellenmanagement in Kubernetes umfasst:

  • Echtzeit-Einblick im gesamten Cluster
    • Kubernetes-Workloads sind oft kurzlebig. Pods werden in Sekundenschnelle hochgefahren und verschwinden dann wieder aus der Umgebung. Wenn Sie Schwachstellen-Scanner nicht unmittelbar mit der Kubernetes-Umgebung integrieren, werden kritische Risiken übersehen.
    • Ein Kubernetes-nativer Ansatz bietet kontinuierlichen Einblick in statische Konfigurationen wie auch in dynamische Live-Workloads.
  • Kontinuierliche Scans über sämtliche Ebenen hinweg
    • Im Kontext von Kubernetes wird nicht einfach nur Anwendungscode gescannt. Scans bewerten:
      • Schwachstellen im Basis-Image
      • Runtime-Fehlkonfigurationen
      • Komponenten der Steuerungsebene (z. B. etcd und API-Server)
      • RBAC-Regeln und Token von Dienstkonten
      • Richtliniendurchsetzung mithilfe zuverlässiger Benchmarks
  • Sicherheitschecks anhand von Frameworks wie dem CIS Kubernetes Benchmark und den Pod Security Standards
    • Durch diese Sicherheitschecks werden Leitplanken – sogenannte Guardrails – in sämtlichen Umgebungen eingerichtet, wodurch eine konsistente Schwachstellenlage von Entwicklung bis Produktion besteht.
  • Shift-Left durch CI/CD-Integration
    • Moderne Kubernetes-Umgebungen sind automatisiert – und das sollte auch für Ihre Schwachstellen-Checks gelten. Tenable integriert Sicherheit in CI/CD-Pipelines und hilft Ihnen, fehlerhaft konfigurierte YAML-Dateien, „verwundbare“ Images oder zu laxe Einstellungen zu blockieren, noch bevor sie in Cluster gelangen.
  • Risikobasierte Priorisierung
    • Tools wie Tenable Cloud Security bewerten Risiken basierend auf der Live-Umgebung. Hierzu werden Konfigurationsfehler mit der aktiven Netzwerk-Exposure und potenziellen Angriffspfaden korreliert. Dies bedeutet, dass ein bekannter Exploit-Pfad mit aktiver Exposure gegenüber einer CVE mit niedrigem Schweregrad in einem isolierten Container priorisiert wird.

Im Kontext von Kubernetes geht es bei Schwachstellenmanagement gleichermaßen um Konfigurationen wie um Code. Sie benötigen eine Plattform, die statische Analysen mit Live-Kontext und Behebungsempfehlungen kombiniert – zugeschnitten auf das tatsächliche Verhalten Ihrer Cluster.

Sie möchten Schwachstellenmanagement in Kubernetes operationalisieren? Machen Sie sich ein Bild davon, wie Tenable einheitliche Sichtbarkeit und risikobasierte Priorisierung bietet.

Kubernetes-Sicherheit durch Exposure Management

Mit zunehmender Skalierung von Kubernetes über mehrere Umgebungen hinweg vergrößert sich auch die Angriffsfläche. 

Cluster sind dynamisch. Pods, Namespaces und Services ändern sich ständig. 

Ohne zentralisierte Sichtbarkeit ist es nahezu unmöglich, die gesamte Exposure nachzuvollziehen.

Exposure Management in Kubernetes beginnt mit der Identifizierung von Bereichen, über die Angreifer sich einen ersten Zugang zu Umgebungen verschaffen. 

Aus dem Tenable Cloud Risk Report 2024 geht hervor, dass 78 % der Unternehmen öffentlich zugängliche Kubernetes-API-Server einsetzen, von denen 41 % eingehenden Zugriff zulassen. 

Dies ist nur selten beabsichtigt, doch genau diese Cyberrisiken nutzen Angreifer aus.

Durch Kubernetes entstehen besondere Exposure-Ebenen, darunter:

  • Öffentlich zugängliche API-Server mit schwachen oder fehlenden Zugriffskontrollen
  • Fehlerhaft konfigurierte Ingress-Controller, die externen Datenverkehr (Traffic) an interne Services weiterleiten
  • Übermäßig genutzte öffentliche Gruppen wie „system:authenticated“, die Vertrauensgrenzen erweitern
  • Offene interne Traffic-Pfade zwischen Pods und Knoten, die nur selten segmentiert sind

Mit herkömmlichen Tools lassen sich diese Probleme nur schwer ausfindig machen. Aus diesem Grund erfordert Exposure Management in Kubernetes Einblick in die Infrastruktur- und Orchestrierungsebenen.

Für Unternehmen muss erkennbar sein, wie Kubernetes-Cluster konfiguriert wurden, wo Workloads ungeschützt sind und inwiefern Netzwerkrichtlinien Risiken verringern oder verstärken. 

Scans von statischen Ressourcen reichen hier nicht aus. Unternehmen benötigen eine kontextbezogene Erfassung, die neue Cyberrisiken bei zunehmender Skalierung von Clustern und der Verlagerung von Workloads kontinuierlich abbildet. Dadurch besteht Einblick in potenzielle Angriffspfade – angefangen bei externen Sicherheitsrisiken bis hin zu Schwachstellen in internen Ressourcen.

Effektive Tools lassen sich unmittelbar in die Kubernetes-API einbinden, überwachen Umgebungen auf Richtlinienverstöße und melden toxische Kombinationen, wie z. B. Rollen mit übermäßigen Berechtigungen, die in Kombination mit einem erreichbaren API-Endpunkt auftreten.

Kubernetes Security Posture Management (KSPM)

Wer Container in der Produktion ausführt, dürfte mit den Tücken der sämtlicher Aspekte der Container-Sicherheit vertraut sein. 

Kubernetes ist leistungsstark, kann aber schnell unübersichtlich werden. 

An einem Tag läuft alles problemlos und am nächsten weist Sie jemand darauf hin, dass Pods viel zu viele Berechtigungen oder dass Netzwerkrichtlinien Lücken aufweisen, die groß wie ein Scheunentor sind.

Dies erklärt im Wesentlichen, warum Kubernetes Security Posture Management (KSPM) existiert. 

Ohne KSPM stellt sich die Situation in der Regel wie folgt dar:

  • Ihre Entwickler agieren schnell, fahren neue Services hoch und optimieren deren Konfigurationen.
  • Sicherheitsprüfungen finden – wenn überhaupt – zu einem späteren Zeitpunkt statt.
  • In der Zwischenzeit häufen sich Fehlkonfigurationen an. Einige sind harmlos, andere sorgen hingegen für Schlagzeilen, wenn sie jemand ausfindig macht (z. B. ein Angreifer).

KSPM kehrt diesen Ablauf um. 

Anstatt Sicherheitsmechanismen im Nachgang anzuwenden, profitieren Sie von kontinuierlichem Einblick in das tatsächliche Geschehen in Ihren Clustern. 

Es fühlt sich an, als hätten Sie ständig einen Sicherheitsexperten an Ihrer Seite, der Ihnen aber nicht im Nacken sitzt.

 

Der KSPM-Prozess

Zunächst ermittelt KSPM, was in Ihrer Umgebung tatsächlich ausgeführt wird – selbst Anwendungen und Services, von denen Sie gar nichts wissen. 

Im nächsten Schritt werden Ihre vorhandenen Konfigurationen mit sicherheitsrelevanten Best Practices und internen Regeln abgeglichen. 

Der Clou besteht darin, wie KSPM Feststellungen priorisiert: Nicht jede Fehlkonfiguration stellt ein kritisches Problem dar, also unterstützt KSPM Sie bei der Fokussierung auf das Wesentliche.

Gute KSPM-Tools vermitteln Ihnen ein Verständnis davon, aus welchen Gründen ein Sicherheitsmangel ein Problem darstellt und was dagegen unternommen werden sollte. 

Darüber hinaus verfolgen sie nach, ob Sie im zeitlichen Verlauf tatsächlich Verbesserungen erzielen oder nur auf der Stelle treten.

Darin besteht der Unterschied zu regulären Cloud-Sicherheitstools wie Cloud Security Posture Management (CSPM), denn diese Tools analysieren Ihre allgemeinen AWS- oder Azure-Setups, wie z. B. IAM-Rollen, Netzwerkkonfigurationen usw. 

KSPM bietet detaillierten Einblick speziell in Kubernetes. Durch KSPM ist nachvollziehbar, wie Pods miteinander kommunizieren, was Richtlinien auf Clusterebene bedeuten und welche Überraschungen Kubernetes für Sie bereithalten kann.

Achten Sie bei Auswahl einer KSPM-Lösung darauf, sich nicht für eine Lösung zu entscheiden, die eine Installation von Agents in der gesamten Umgebung erfordert. Sie benötigen nicht noch mehr bewegliche Teile. 

Entscheiden Sie sich für eine KSPM-Plattform, die sich in die Workflows Ihrer Teams einbinden lässt, anstatt ihnen Workarounds aufzuzwingen.

Der wahre Nutzen zeigt sich, wenn KSPM zu einem festen Bestandteil Ihres regulären Entwicklungsprozesses wird. 

Anstatt Sicherheitsmechanismen an anderer Stelle und erst im Nachgang anzuwenden, erhalten Entwickler Feedback direkt in ihren Pull-Requests. 

Fakt ist, dass Container-Sicherheit nicht mehr wegzudenken ist – wenn überhaupt wird die Aufgabe im Zuge von immer größeren Cloud-Umgebungen nur komplexer. 

Sie haben die Wahl: Entweder Sie sind der Entwicklung mit einem Ansatz wie KSPM stets einen Schritt voraus – oder Sie geraten immer wieder ins Hintertreffen, sobald es zu Problemen kommt.

Häufig gestellte Fragen (FAQ) zum Thema K8s

Wie lässt sich Kubernetes in einfachen Worten beschreiben?
Vereinfacht ausgedrückt ist Kubernetes eine Plattform, die die Art und Weise automatisiert, wie Anwendungen in Containern ausgeführt werden. Kubernetes – auch als K8s bekannt – unterstützt Sie bei der Skalierung und Verwaltung von Containern in Cloud- oder On-Prem-Umgebungen.

Kann Kubernetes ohne Docker ausgeführt werden?
Ja. Kubernetes kann ohne Docker ausgeführt werden. Inzwischen werden containerd und andere Laufzeitumgebungen standardmäßig unterstützt – es besteht keine zwingende Abhängigkeit von Docker mehr.

Worin besteht der Unterschied zwischen Containern und Kubernetes?
Container fassen Code in Paketen zusammen. Kubernetes verwaltet, wie und wo diese Container ausgeführt werden.

Ist Kubernetes leicht erlernbar?
Kubernetes geht mit einer Lernkurve einher, doch Tools wie Minikube und Tutorials verhelfen Ihnen zu einem schnellen Einstieg.

Funktioniert Kubernetes unter Windows?
Ja. Kubernetes kann mit Tools wie Docker Desktop oder WSL 2 unter Windows ausgeführt werden.

Kubernetes bietet Skalierbarkeit und Automatisierung, doch nur bei ordnungsgemäßer Konfiguration und Absicherung. Unachtsamkeiten bei der rollenbasierten Zugriffskontrolle (RBAC), Netzwerkrichtlinien oder Laufzeitberechtigungen können Ihr Unternehmen gravierenden Bedrohungen aussetzen.

Vereinfachen Sie Kubernetes-Sicherheit mit Gewissheit: Machen Sie den ersten Schritt mit Tenable Cloud Security.

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

× Vertriebsteam kontaktieren