Von 10’000 auf Null: Wie wir die Supply Chain Security beim ILZ revolutioniert haben

Die Ausgangslage: CVE-Management als Herausforderung

Im öffentlichen Sektor sind die Anforderungen an die Sicherheit und Verfügbarkeit digitaler Dienste hoch. Das ILZ betreibt hunderte Softwareprodukte in einer regulierten Umgebung. Da ein Grossteil dieser Dienste auf Open-Source-Komponenten in Kubernetes-Clustern basiert, rückte die Integrität der Software-Lieferkette (Supply Chain) zunehmend in den Fokus.

Trotz etablierter Prozesse sah sich das ILZ mit einer hohen Anzahl an bekannten Schwachstellen (Common Vulnerabilities and Exposures, CVEs) in den verwendeten Standard-Container-Images konfrontiert. In der Summe waren über 10’000 CVEs über die gesamte Plattform hinweg detektierbar.

Für das ILZ bedeutete dies nicht nur ein potenzielles Sicherheitsrisiko, sondern auch einen erheblichen personellen Aufwand für die Triage und das Patch-Management. Das Ziel war es, die Angriffsfläche der Kernkomponenten wie Prometheus, Grafana, Thanos oder RabbitMQ signifikant zu reduzieren, ohne die bestehende Architektur auf VMware Tanzu grundlegend verändern zu müssen.

Lösungsansatz: Gehärtete Images statt Standard-Distributionen

Gemeinsam mit Raffael Hertle, Senior System Architect beim ILZ, haben wir verschiedene Strategien zur Absicherung der Images evaluiert. Die Entscheidung fiel auf den Einsatz von Chainguard-Images.

Ausschlaggebend für diese Wahl waren folgende Faktoren:

• Minimierung der Angriffsfläche: Chainguard setzt auf den «Distroless»-Ansatz. Dabei werden unnötige Pakete, Bibliotheken und Shells konsequent aus dem Image entfernt. Wo weniger Angriffsfläche vorhanden ist, sinkt die Wahrscheinlichkeit für ausnutzbare Schwachstellen.
• Compliance und SLAs: Die Bereitstellung von Enterprise-SLAs ermöglicht es dem ILZ, regulatorische Vorgaben im öffentlichen Sektor verlässlich zu erfüllen.
• Kompatibilität: Die Images sind als funktionsgleicher Ersatz («Drop-in Replacement») für gängige Open-Source-Komponenten konzipiert, was den Migrationsaufwand gering hält.

Technische Umsetzung und Resultate

Die Implementierung erfolgte durch den Austausch der Image-Referenzen innerhalb der bestehenden Helm-Charts. Aufgrund der hohen Dokumentationsqualität und der Kompatibilität der Chainguard-Container konnte das ILZ die Umstellung weitgehend autonom vollziehen. Meine Rolle beschränkte sich dabei auf die beratende Begleitung und punktuelle Unterstützung.

Raffael Hertle fasst den Prozess wie folgt zusammen: «Die Implementierung war unkompliziert. Wir haben Chainguard innerhalb von ein bis zwei Stunden auf elf Cluster ausgerollt. Der Zeitaufwand floss primär in die anschliessende Verifizierung der Funktionalität, die durchgehend gegeben war.»

Innerhalb des ersten Tages wurden über 20 zentrale Container-Images ersetzt. Die messbaren Ergebnisse des Projekts sind:

1. CVE-Reduktion: Die Anzahl der Schwachstellen in den migrierten Images sank von über 10’000 auf effektiv null.
2. Operative Stabilität: Die Migration erfolgte im laufenden Betrieb ohne Unterbrechung der Workloads.
3. Reduzierter Wartungsaufwand: Durch den Wegfall bekannter Schwachstellen verringert sich der Aufwand für Sicherheitsanalysen und ausserplanmässige Updates nachhaltig.

Fazit

Die Zusammenarbeit zwischen dem ILZ, Chainguard und Puzzle ITC zeigt, dass sich Supply-Chain-Sicherheit auch in komplexen, gewachsenen Umgebungen effizient umsetzen lässt. Der Wechsel auf gehärtete Images bietet eine valide Lösung, um Compliance-Anforderungen zu erfüllen und gleichzeitig die Betriebssicherheit zu erhöhen.

Die enge Kooperation mit Chainguard und deren Ressourcen erlauben es uns bei Puzzle, solche Migrationen mit hoher Vorhersehbarkeit und minimalem Risiko für unsere Kund:innen durchzuführen.