KI für Ihr Unternehmen – Jetzt Demo buchen

Fortschritte und Herausforderungen in der Cloud-Native-Security auf der KubeCon 2025

Kategorien:
No items found.
Freigegeben:
November 15, 2025
kostenlos testenTermin buchen

KI sauber im Unternehmen integrieren: Der 5-Schritte-Plan

Von der ersten Idee bis zur voll integrierten KI-Lösung – strukturiert, sicher und mit messbarem Erfolg

1
🎯

Strategie & Zieldefinition

Wir analysieren Ihre Geschäftsprozesse und identifizieren konkrete Use Cases mit dem höchsten ROI-Potenzial.

✓ Messbare KPIs definiert

2
🛡️

Daten & DSGVO-Compliance

Vollständige Datenschutz-Analyse und Implementierung sicherer Datenverarbeitungsprozesse nach EU-Standards.

✓ 100% DSGVO-konform

3
⚙️

Technologie- & Tool-Auswahl

Maßgeschneiderte Auswahl der optimalen KI-Lösung – von Azure OpenAI bis zu Open-Source-Alternativen.

✓ Beste Lösung für Ihren Fall

4
🚀

Pilotprojekt & Integration

Schneller Proof of Concept mit nahtloser Integration in Ihre bestehende IT-Infrastruktur und Workflows.

✓ Ergebnisse in 4-6 Wochen

5
👥

Skalierung & Team-Schulung

Unternehmensweiter Rollout mit umfassenden Schulungen für maximale Akzeptanz und Produktivität.

✓ Ihr Team wird KI-fit

Lassen Sie uns Ihren ersten Schritt planen

Inhaltsverzeichnis

    mindverse studio – Ihre Plattform für digitale Effizienz

    Optimieren Sie Prozesse, automatisieren Sie Workflows und fördern Sie Zusammenarbeit – alles an einem Ort.
    Mehr über Mindverse Studio erfahren

    Das Wichtigste in Kürze

    • Die KubeCon + CloudNativeCon 2025 zeigte erhebliche Fortschritte im Cloud-Native-Bereich, insbesondere bei Open-Source-Software.
    • Gleichzeitig steigt die Angriffsfläche durch die zunehmende Anzahl von Anwendungen, was neue Herausforderungen für die Cybersecurity mit sich bringt.
    • Die Anzahl der Schwachstellen in CNCF-Projekten ist im Vergleich zum Vorjahr um 16 Prozent gestiegen, wobei Supply-Chain-Angriffe eine wachsende Bedrohung darstellen.
    • Es gibt einen klaren Bedarf an proaktiven Sicherheitsmaßnahmen, wie der Auditierung von Software und der Nutzung sicherer Container-Images.
    • Künstliche Intelligenz (KI) bringt neue Sicherheitsfragen auf, insbesondere im Hinblick auf das Vertrauen zwischen KI-Agenten und den Zugriff auf Daten.
    • Open-Source-Tools bieten Lösungen für viele Sicherheitsherausforderungen, erfordern jedoch oft Anpassungen für den Einsatz in Enterprise-Umgebungen.
    • Die Veranstaltung unterstreicht die Notwendigkeit, Sicherheit von Anfang an in den Entwicklungsprozess zu integrieren (Shift-Left Security).

    Die KubeCon + CloudNativeCon 2025 in Atlanta markierte einen wichtigen Meilenstein für die Cloud-Native-Landschaft. Während die Cloud Native Computing Foundation (CNCF) ihr 10-jähriges Bestehen feierte und bemerkenswerte Fortschritte in der Open-Source- und Cloud-Native-Software präsentierte, rückte auch die wachsende Komplexität und die damit verbundenen Sicherheitsherausforderungen stärker in den Fokus. Die Konferenz verdeutlichte, dass mit der Zunahme von Anwendungen und der fortschreitenden Digitalisierung auch die potenzielle Angriffsfläche für Cyberattacken wächst. Dies stellt Entwickler und Sicherheitsexperten vor die Aufgabe, Schwachstellen proaktiv zu beheben und zu vermeiden, um die Integrität und Sicherheit von Cloud-Native-Systemen zu gewährleisten.

    Zunehmende Schwachstellen in CNCF-Projekten

    Die Analyse der CNCF-Projekte im Jahr 2025 ergab einen Anstieg der gemeldeten Schwachstellen um 16 Prozent im Vergleich zum Vorjahr. Besonders besorgniserregend sind die vermehrten Angriffe auf die Lieferkette im Open-Source-Umfeld. Ein aktuelles Beispiel hierfür ist der sogenannte "Shai-Hulud"-Wurm, der über 500 Pakete des NPM-Ökosystems kompromittierte. Solche Vorfälle unterstreichen die Dringlichkeit, robuste Sicherheitsstrategien zu implementieren, die alle Phasen des Software-Lebenszyklus abdecken.

    Ein wichtiger Ansatz zur Abwehr dieser Bedrohungen ist die regelmäßige Auditierung der verwendeten Software. Organisationen wie der Open Source Technology Improvement Fund (OSTIF) unterstützen hierbei, indem sie CNCF-Projekte auf Schwachstellen überprüfen. Beispielsweise wurden im Bericht zu KubeVirt 15 Schwachstellen identifiziert, darunter eine mit hoher Kritikalität. Auch für das Service Mesh Linkerd wurden sieben Schwachstellen festgestellt, wovon eine als hochkritisch eingestuft wurde. Diese Audits zeigen, dass selbst etablierte Projekte kontinuierlicher Überprüfung bedürfen.

    Ein weiteres Problemfeld sind Schwachstellen in Container-Images. Docker reagierte darauf im Mai 2025 mit der Einführung von Docker Hardened Images (DHI), welche auf abgespeckten Versionen der ursprünglichen Container-Images basieren. Dies reduziert die Angriffsfläche erheblich, da weniger Softwarekomponenten enthalten sind. Minimus, ein weiterer Akteur in diesem Bereich, geht noch einen Schritt weiter und bietet "Minimal Images" an, die alle 24 Stunden auf aktualisierte Komponenten geprüft werden. Behebt ein Update eine bekannte Schwachstelle, wird eine neue Version des Container-Images generiert. Diese Methode ist besonders im Open-Source-Umfeld nützlich, da sie tagesaktuelle Software mit minimalen Schwachstellen bereitstellt.

    Neue Herausforderungen durch KI und Agenten

    Die rasante Entwicklung der Künstlichen Intelligenz (KI) bringt neue Dimensionen in die Cybersecurity-Diskussion ein. Fragen nach dem Vertrauen zwischen KI-Agenten, dem sicheren Zugriff auf Daten für Entscheidungsprozesse und der Integrität von KI-Modellen werden zunehmend relevanter. Unternehmen wie Cyberark adressieren diese Fragen und entwickeln Produkte, die sich auf agentenbasierte KI konzentrieren. Der Ansatz von Cyberark behandelt KI-Agenten ähnlich wie menschliche Benutzer, indem Identitätsmanagement und Zugriffsrechte über eine zentrale Identity Security Platform verwaltet werden. Die Kommunikation erfolgt dabei verschlüsselt, und zukünftige Pläne sehen vor, die Integrität von KI-Modellen durch Signaturen abzusichern.

    Enterprise-Level Kubernetes-Security mit Open Source

    Für Unternehmen, die Kubernetes-Cluster betreiben, stellen sich komplexe Sicherheitsanforderungen, die über grundlegende Maßnahmen hinausgehen und Compliance-Standards wie DSGVO oder ISO 27001 berücksichtigen müssen. Die Frage, welche Sicherheitslösungen notwendig sind und ob Open-Source-Tools diese Anforderungen erfüllen können, ist zentral. Dabei werden folgende Kriterien für Enterprise-Sicherheitslösungen als maßgeblich angesehen:

    • Management-Visibility: Umfassende Analysen, Dashboards und Reporting zur Früherkennung von Risiken sowie die Integration mit anderen Enterprise-Tools wie Jira oder ServiceNow. Ein zentrales SIEM (Security Information and Event Management) und die Anbindung an Identitätsmanagementsysteme wie Active Directory oder OpenID Provider sind ebenfalls entscheidend.
    • Hohe Skalierbarkeit: Die Lösungen müssen software- und provideragnostisch sein und sich über APIs automatisieren lassen, um den Anforderungen komplexer Netzwerk-Topologien und hybrider Cloud-Lösungen gerecht zu werden.
    • Compliance: Die Tools müssen strenge Compliance-Anforderungen erfüllen, was Self-Hosting-Optionen, Audit-Logs und professionellen Support einschließt.

    Grundlegende Sicherheitsprinzipien

    Vor der Betrachtung spezifischer Tools sind einige grundlegende Sicherheitsprinzipien von Bedeutung:

    • Das Onion-Prinzip: Implementierung von Sicherheit auf mehreren Ebenen, um eine mehrschichtige Verteidigung zu gewährleisten.
    • "Principle of Least Privilege": Jeder Benutzer und jede Applikation erhält nur die minimal erforderlichen Rechte.
    • Begrenzung der Angriffsfläche: Deaktivierung nicht benötigter Software oder Funktionen, um potenzielle Schwachstellen zu minimieren.

    Absicherung der Kubernetes Control Plane

    Die Control Plane als Herzstück des Kubernetes-Clusters erfordert besondere Schutzmaßnahmen:

    • Private Networking: Betrieb in einem privaten Netzwerk zur Einschränkung des Zugriffs.
    • Authentifizierung: Starke Authentifizierung über OIDC oder SAML für den Zugriff auf die Kubernetes API.
    • Managed Services: Nutzung von Managed Services der Cloud-Anbieter für automatische Patches und Sicherheitsupdates.
    • Kubernetes Dashboard: Nutzung im Read-Only-Modus oder vollständige Deaktivierung in produktiven Umgebungen.

    Die rollenbasierte Zugriffskontrolle (RBAC) ist essenziell, um Berechtigungen präzise zu steuern. Roles definieren Rechte auf Ressourcen, die entweder an einen Namespace gebunden oder clusterweit definiert werden. Durch Network Policies wird der Netzwerkzugriff auf Pod-Ebene gesichert, indem eingehender und ausgehender Traffic durch Ingress- oder Egress-Regeln eingeschränkt wird. Helm-Releases erleichtern dabei die Implementierung von RBAC und Network Policies.

    Absicherung von Pods

    Für die Absicherung von Applikationen innerhalb eines Pods werden folgende Maßnahmen empfohlen:

    • Automount deaktivieren: Der Standard-Service-Account eines Namespaces sollte nicht automatisch gemountet werden.
    • Container-Image-Versionen: Verwendung fester Versionen anstelle des "latest"-Tags.
    • Reduzierte Base Images: Erstellung von Containern mit minimalen Base Images zur Reduzierung der Angriffsfläche.

    Bedrohungen und Sicherheitsmaßnahmen

    Typische Bedrohungen erstrecken sich über die CI/CD-Pipeline, das Deployment und den Cluster selbst. In der CI/CD-Pipeline sind manipulierte Images und Schwachstellen im Code Risiken. Dagegen helfen Image Signing und Vulnerability Scanning. Beim Deployment können Fehlkonfigurationen zu Sicherheitslücken führen, die durch Governance-Richtlinien und Policies verhindert werden. Im Cluster sind Manipulationen des Datenverkehrs, unberechtigte Netzwerkzugriffe und Sicherheitslücken in laufenden Diensten Bedrohungen. Hier kommen Mutual TLS (mTLS), Layer 7 Policies, kontinuierliches Vulnerability Scanning und Runtime-Security-Tools wie Falco zum Einsatz.

    Open-Source-Tools im Detail

    Die Auswahl des richtigen Open-Source-Tools für den Enterprise-Einsatz erfordert eine sorgfältige Abwägung. Wichtige Kriterien sind aktive Community-Unterstützung, regelmäßige Updates, Einsatz in produktiven Umgebungen, Qualität der Dokumentation, Funktionsumfang und Erweiterbarkeit sowie die Unterstützung gängiger Plattformen.

    Image Signing

    Notation und Cosign (von sigstore) sind die populärsten Tools zum Signieren von Container-Images. Beide bieten Kommandozeilenschnittstellen zum Signieren und Verifizieren. Cosign zeichnet sich durch "Keyless Signing" aus, bei dem kurzlebige Zertifikate über OIDC-Identitäten und eine Certificate Authority wie Fulcio signiert werden. Zudem unterstützt Cosign ein "Transparency Log" für bessere Nachvollziehbarkeit.

    Vulnerability Scanning

    Trivy von Aqua Security ist ein vielseitiges Tool, das schnelle Scans für Container und Anwendungen in verschiedenen Programmiersprachen ermöglicht. Der Trivy Operator kann Container auch zur Laufzeit im Cluster scannen. Clair ist komplexer im Setup, bietet aber mehr Flexibilität bei der Auswahl der Vulnerability-Datenbank und ist für spezielle Anforderungen wie Air-Gap-Netzwerke geeignet.

    Policy-Management

    Open Policy Agent (OPA) mit seiner Policy-Sprache Rego ermöglicht die Definition komplexer Regeln und ist nicht nur in Kubernetes, sondern auch in anderen Bereichen wie Terraform einsetzbar. Kyverno hingegen bietet Kubernetes-native Policies, die einfacher zu verstehen und anzuwenden sind und die Generierung sowie Bereinigung von Kubernetes-Ressourcen ermöglichen.

    Mutual TLS

    Service Meshes wie Istio und Linkerd ermöglichen eine sichere Kommunikation zwischen Services durch mTLS. Linkerd ist einfacher zu konfigurieren, während Istio erweiterte Funktionen im Bereich Traffic-Management und Zero Trust Networking bietet. Dabei wird in jeden Applikations-Pod ein Proxy injiziert, der die verschlüsselte Kommunikation transparent für die Anwendung abwickelt.

    Runtime Security

    Tetragon, Falco und Aqua Tracee sind wichtige Open-Source-Tools zur Überwachung von Containern zur Laufzeit. Sie nutzen eBPF für einen leichtgewichtigen Einblick in Systemaktivitäten und eignen sich sowohl zur Erkennung von Sicherheitsvorfällen als auch zur automatisierten Reaktion darauf. Kommerzieller Support wird oft von den jeweiligen Anbietern (Cilium für Tetragon, Aqua für Tracee) angeboten.

    Bewertung der Enterprise-Eignung

    Die Bewertung der Open-Source-Tools anhand der definierten Enterprise-Anforderungen zeigt, dass sie in vielen Bereichen leistungsfähig sind, jedoch Anpassungen erfordern können:

    • Management-Visibility: Hier bestehen oft Lücken bei der vollständigen Integration in Dashboards und Enterprise-Tools. Eigene Anpassungen oder der Einsatz von Dritt-Tools sind häufig notwendig.
    • Skalierbarkeit: Die meisten Tools sind gut skalierbar und automatisierbar, was für den Einsatz in großen Unternehmen entscheidend ist.
    • Compliance: Self-Hosting wird unterstützt, jedoch fehlen oft direkte Anbindungen an SIEM-Systeme für Audit Logs. Professioneller Support ist häufig nur über Drittanbieter oder kommerzielle Versionen verfügbar.

    Es wird deutlich, dass Open-Source-Tools nicht immer direkt "Enterprise-ready" sind und oft zusätzliche Anpassungen erfordern. Diese Anpassungen können sich jedoch lohnen, um Unabhängigkeit von Cloud-Lösungen zu wahren und internes Fachwissen aufzubauen. In bestimmten Fällen kann eine SaaS-Lösung die wirtschaftlichere Wahl sein, insbesondere wenn die Kosten für Eigenbetrieb und Entwicklung zu hoch sind.

    Fazit

    Die KubeCon + CloudNativeCon 2025 hat gezeigt, dass die Cloud-Native-Welt stetig wächst, aber auch immer komplexere Sicherheitsherausforderungen mit sich bringt. Open-Source-Tools bieten eine solide Grundlage für die Bewältigung dieser Herausforderungen und verfügen über die notwendigen Funktionen. Für den Einsatz in Enterprise-Umgebungen sind jedoch oft Erweiterungen im Bereich Management Reporting, Integration in bestehende Tool-Landschaften und Compliance-Anforderungen notwendig. Kubernetes selbst bietet bereits eine starke Basis für eine Sicherheitsstrategie, die durch gezielte Open-Source-Lösungen ergänzt werden kann. Die Entscheidung zwischen Eigenentwicklung mit Open-Source-Tools und dem Einsatz kommerzieller SaaS-Lösungen sollte sorgfältig auf Basis der individuellen Unternehmensanforderungen und -ressourcen getroffen werden. Die Notwendigkeit, Sicherheit als integralen Bestandteil des gesamten Entwicklungs- und Betriebsprozesses zu verstehen und umzusetzen, bleibt dabei von höchster Priorität.

    Bibliographie

    - Dr. Udo Seidel (2025-11-14). KubeCon: Fortschritte, aber auch mehr Arbeit bei Cloud-Native und Cybersecurity. heise.de. - Gepostet von (2025-11-14). KubeCon: Fortschritte, aber auch mehr Arbeit bei Cloud-Native und Cybersecurity. ng-it.de. - LF Events (2013-11-10). KubeCon + CloudNativeCon North America. events.linuxfoundation.org. - Adrian Bridgwater (2025-11-14). Sysdig (et al) points to Schrödinger's security snag. computerweekly.com. - Mark Albertson (2025-10-22). Cloud-native trends and insights from CNCF and KubeCon. siliconangle.com. - Andy Suderman (2025-11-05). KubeCon + CloudNativeCon North America 2025 — Must-See Sessions. securityboulevard.com. - Markus Zimmermann (2025-11-04). Enterprise-level Kubernetes-Security mit Open Source – kosteneffizient und flexibel. informatik-aktuell.de. - Alan Shimel (2025-11-12). Cracks in KubeCon's Invincibility Shield. cloudnativenow.com. - Nettop It Solutions GmbH (2022-10-11). Home. nettop.ch. - Github: kubernetes-network-policy-recipes. https://github.com/ahmetb/kubernetes-network-policy-recipes - Github: connaisseur. https://github.com/sse-secure-systems/connaisseur - Aqua Trivy. https://aquasecurity.github.io/trivy/latest/ - Github: trivy-operator. https://github.com/aquasecurity/trivy-operator - Github: Clair. https://github.com/quay/clair - Open Policy Agent. https://www.openpolicyagent.org/ - Kyverno. https://kyverno.io/ - Istio. https://istio.io/latest/ - Linkerd. https://linkerd.io/ - Falco. https://falco.org/ - Tetragon. https://tetragon.io/ - Aqua Tracee. https://aquasecurity.github.io/tracee/latest/

    Artikel jetzt als Podcast anhören

    Kunden die uns vertrauen:
    Arise Health logoArise Health logoThe Paak logoThe Paak logoOE logo2020INC logoEphicient logo
    und viele weitere mehr!

    Bereit für den nächsten Schritt?

    Das Expertenteam von Mindverse freut sich darauf, Ihnen zu helfen.
    Vorbereitete KI Lösungen für:
    Marketing & PRKreative & DesignerProjektleiter
    Recht & FinanzenVertrieb & Kunden-ServiceTeams
    Für StudentenFür Bildungseinrichtungen
    Herzlichen Dank! Deine Nachricht ist eingegangen!
    Oops! Du hast wohl was vergessen, versuche es nochmal.

    Sicherheitsanalysen und Verteidigungsstrategien für dezentrale KI-Trainingssysteme

    November 15, 2025
    Mehr lesen
    No items found.

    Vergleich von KI-Workstations: Nvidia DGX Spark und AMD Strix Halo

    November 15, 2025
    Mehr lesen
    No items found.

    Effiziente Hochskalierung von Bildern mit dem Latent Upscaler Adapter in Diffusionsmodellen

    November 15, 2025
    Mehr lesen
    No items found.

    KI-gestützte Cyberangriffe: Neue Herausforderungen für die Cybersicherheit

    November 15, 2025
    Mehr lesen
    No items found.

    Präzise Steuerung in der KI-gestützten Bildbearbeitung mit SliderEdit

    November 15, 2025
    Mehr lesen
    No items found.

    Bewertung der Diversität in Text-zu-Bild-Modellen durch ein neues Evaluationsframework

    November 15, 2025
    Mehr lesen
    No items found.
    ©2025 Mindverse. Alle Rechte vorbehalten
    Moralische Grundsätze
    Datenschutzerklärung von Mindverse
    AGBs
    Impressum
    AGBs für das Trainieren von eigenen Bilder Modellen

    🚀 Neugierig auf Mindverse Studio?

    Lernen Sie in nur 30 Minuten kennen, wie Ihr Team mit KI mehr erreichen kann – live und persönlich.

    🚀 Demo jetzt buchen