_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Kubernetes Network Policies -- Mikrosegmentierung im Cluster

19. 07. 2017 1 Min. Lesezeit CORE SYSTEMSinfrastructure
Kubernetes Network Policies -- Mikrosegmentierung im Cluster

Standardmäßig kann in Kubernetes jeder Pod mit jedem anderen Pod kommunizieren. Aus Sicherheitsperspektive ist das inakzeptabel. Network Policies ermöglichen es, zu definieren, wer mit wem kommunizieren darf.

Warum der Standardzustand nicht ausreicht

Stellen Sie sich vor: Sie haben eine Produktionsdatenbank und einen Entwicklungs-Workload in Ihrem Cluster. Standardmäßig kann ein experimenteller Pod eines Entwicklers direkt auf die Produktionsdatenbank zugreifen. Alles, was er braucht, ist die IP-Adresse oder der DNS-Name des Service.

Voraussetzung: CNI-Plugin mit Network-Policy-Unterstützung

Nicht jedes CNI-Plugin unterstützt Network Policies. Flannel – nein. Calico – ja. Weave – ja. Cilium – ja. Wir verwenden Calico, das neben Standard Network Policies auch erweiterte GlobalNetworkPolicy bietet.

Beispiel: Datenbank-Isolation

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: db-allow-only-api
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: postgresql
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: api-server
    ports:
    - protocol: TCP
      port: 5432

Strategie: Default Deny

Wir empfehlen, mit einer Default-Deny-Policy in jedem Namespace zu beginnen und dann die notwendige Kommunikation explizit zu erlauben. Das ist anfangs mehr Arbeit, verbessert aber die Sicherheitslage dramatisch.

Praktische Tipps

  • Vergessen Sie nicht, DNS (Port 53) in Egress-Regeln zu erlauben
  • Labels sind fundamental – eine konsistente Labeling-Strategie ist essentiell
  • Testen Sie Policies in der Dev-Umgebung vor dem Deployment in die Produktion
  • Calico hat ein hervorragendes calicoctl zum Debuggen von Netzwerkregeln
  • Visualisierung: Weave Scope oder Calico Enterprise für grafische Übersicht

Network Policies sind die Grundlage von Zero Trust in Kubernetes

Netzwerkisolation im Cluster ist kein Nice-to-Have, sondern eine Notwendigkeit. Mit Network Policies implementieren Sie das Prinzip der geringsten Privilegien auf Netzwerkebene und reduzieren den Blast Radius einer möglichen Kompromittierung dramatisch.

kubernetesnetwork policiescalicosecurity
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

Kubernetes RBAC -- Zugriffskontrolle im Multi-Tenant-Cluster

RBAC in Kubernetes 1.6 ermöglicht endlich granulare Zugriffskontrolle. Wie wir die Isolation für mehrere Teams in...

Secrets Management in der Praxis — HashiCorp Vault, SOPS und sichere Verwaltung von Geheimnissen

Vollständiger Leitfaden für Secrets Management im Jahr 2026. HashiCorp Vault, Mozilla SOPS, External Secrets...

Kubernetes Security Best Practices 2026

Vollständiger Leitfaden zur Absicherung von Kubernetes-Clustern 2026. Von Supply-Chain-Security über...