NetworkPolicy (Kubernetes)

Eine NetworkPolicy ist ein zentrales Sicherheitsfeature in KubernetesKubernetes Kubernetes (kurz: K8s) ist eine Open-Source-Plattform zur automatisierten Bereitstellung, Skalierung und Verwaltung von Containern. Sie wur... Mehr, mit dem sich der Netzwerkverkehr zwischen Pods gezielt kontrollieren lässt. Sie definiert, welche Verbindungen ein PodPod (Kubernetes) Ein Pod ist die kleinste ausführbare Einheit in Kubernetes. Er besteht aus einem oder mehreren Containern, die sich dieselbe Netzwer... Mehr eingehen oder empfangen darf – auf Basis von IP-Adressen, Namespaces, Labels oder Ports.

Ohne aktiv gesetzte NetworkPolicies ist der gesamte Traffic innerhalb eines Kubernetes-Clusters standardmäßig offen. Das bedeutet: Jeder Pod kann mit jedem anderen kommunizieren. Mit einer NetworkPolicy lässt sich diese Offenheit granular einschränken – ein wichtiges Prinzip im Rahmen von Zero Trust SecurityZero Trust Security Zero Trust Security ist ein Sicherheitsmodell, das davon ausgeht, dass kein Gerät, Benutzer oder System innerhalb eines Netzwerks... Mehr.

NetworkPolicies funktionieren nur, wenn der verwendete CNICNI (Container Network Interface) Das Container Network Interface (CNI) ist ein Standard-Plugin-System, das in Kubernetes und anderen Container-Plattf... Mehr (ContainerContainer Container sind standardisierte, isolierte Softwareeinheiten, die Anwendungen inklusive ihrer Abhängigkeiten bündeln. Sie ermöglichen eine... Mehr Network Interface) Provider – z. B. CalicoCalico Calico ist ein leistungsstarkes, Open-Source CNI-Plugin für Kubernetes, das neben klassischer IP-Routing-Funktionalität auch Netzwerksicherhe... Mehr, Cilium oder Weave – diese Funktionalität unterstützt.

Typische Einsatzmöglichkeiten:

• Nur Web-Pods dürfen externe HTTP(S)-Verbindungen empfangen
• Datenbank-Pods akzeptieren nur Traffic vom Applikations-Backend
• Pods aus dem dev-Namespace dürfen keine Produktion erreichen

Vorteile von NetworkPolicies:

• Erhöhte Sicherheit durch MikrosegmentierungMikrosegmentierung Mikrosegmentierung ist eine fortschrittliche Methode der Netzwerksegmentierung, bei der Netzwerke in sehr kleine, feingranulare Seg... Mehr von Netzwerkpfaden
• Vermeidung von lateralen Angriffen im ClusterCluster (Kubernetes) Ein Kubernetes-Cluster ist die Gesamtheit aller Nodes (Rechner), auf denen Container-basierte Anwendungen laufen. Er besteht aus ... Mehr
• Umsetzung von Compliance-Vorgaben (z. B. DSGVODSGVO (Datenschutz-Grundverordnung) Die DSGVO (Datenschutz-Grundverordnung, engl. GDPR – General Data Protection Regulation) ist die zentrale europ... Mehr, ISOISO ISO steht für die „International Organization for Standardization“ – eine weltweit tätige Organisation zur Entwicklung und Veröffentlichu... Mehr 27001)
• Ein zentraler Baustein für Zero TrustZero Trust Zero Trust ist ein modernes Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Dienst automatisch vertraut wird – wed... Mehr Konzepte in Cloud-Umgebungen

Typische Konfigurationsparameter:

• podSelector – legt fest, auf welche Pods sich die Regel bezieht
• ingress / egress – eingehender und ausgehender Traffic
• namespaceSelector – Einschränkung auf bestimmte Namespaces
• ports – gezielte Öffnung einzelner Ports (z. B. 443 für HTTPSHTTPS (Hypertext Transfer Protocol Secure) HTTPS ist die sichere Variante des HTTP-Protokolls und steht für Hypertext Transfer Protocol Secure. Es wi... Mehr)

Verwandte Begriffe:

Kubernetes, Pod, NamespaceNamespace (Kubernetes) Ein Namespace in Kubernetes ist eine logische Trennung innerhalb eines Clusters, mit der Ressourcen wie Pods, Services oder Con... Mehr, Zero Trust, CNI, Calico, DevSecOpsDevSecOps DevSecOps steht für Development, Security und Operations – ein modernes IT-Konzept, das Sicherheitsmaßnahmen von Anfang an in den Softwa... Mehr, RBACRBAC RBAC, kurz für Role-Based Access Control, ist ein Sicherheitsmechanismus in Kubernetes zur feingranularen Zugriffssteuerung. Mit RBAC lässt sic... Mehr, Cluster