Analyse der Sicherheit und der automatisierten Bereitstellung eines On-Premises-Clusters auf der Grundlage der Container-basierten Virtualisierung: Kubernetes im Wissenschaftsbetrieb
Diese Ausarbeitung beschäftigt sich mit dem vielschichtigen Themenkomplex der Container-Technologien sowie der Bereitstellung von On-Premises-Clustern und den dort platzierten Software-Anwendungen. Das Ziel besteht darin eine skalierbare Container-Infrastruktur im Rechenzentrum des AWIs und innerhalb des organisationsübergreifenden HIFIS-Projektes zu entwerfen. Dabei sind von besonderer Bedeutung die sichere und möglichst automatisierbare Gestaltung aller notwendigen Interaktionsplattformen (Image Registry, Cluster Management, Self-Service Portal, CI / CD Pipelines). In der Domäne der Container-Technologien spielen der Microservice-Architekturstil, die Container-Virtualisierung sowie -Orchestrierung eine entscheidende Rolle, um einer konsistenten Bereitstellungsplattform für Cloud Native-Anwendungen und der vermehrten DevOps-Prozesse in der Software-Entwicklung gerecht zu werden. Konkret realisiert werden diese aufgezeigten Aspekte durch den Einsatz von Kubernetes und Docker in einem Cluster-Verbund. Für die Analyse der Informationssicherheit dieser Container-Infrastruktur wurden Maßnahmen des BSI aus dem IT-Grundschutz (Baustein: SYS.1.6: Container) und das abstrakte 4-Schichtenmodell "The 4C’s of Cloud Native Security" herangezogen. In diesem Zusammenhang wurde auch die Automatisierung und die Entwicklung der Rechenzentren hin zu SDDCs in Folge der stetig anhaltenden digitalen Transformation thematisiert. Letztendlich erfolgte die Realisierung der Infrastruktur vollständig in der zugrunde liegenden VMware vSphere-Umgebung mit diesen gewählten Interaktionsplattformen: Harbor als Image Registry, Rancher mit RKE als Cluster Management, die VMware vRealize Suite (vRA, vRO) als Self-Service Portal und GitLab als CI / CD Pipeline. Für die anschließende Sicherheitsbewertung der umgesetzten Maßnahmen in den bereitgestellten K8s-Clustern, wurde die anerkannte CIS Kubernetes Benchmark herangezogen und zufriedenstellend bestanden. Zudem wurden qualitative Aussagen der Nutzerschaft bzgl. der Verwendbarkeit durch eine interaktive Umfrage ermittelt. Obwohl sich im Zuge der Evaluation noch weitere Maßnahmen im vielfältigen und komplexen Bereich der Container-Technologien angekündigt haben, konnte ein relativ stabiles Kubernetes-Umfeld mit den benannten Infrastruktur-Komponenten für den Wissenschaftsbetrieb am AWI und den organisationsübergreifenden Austausch im HIFIS-Projekt erfolgreich realisiert werden.