
Autoren:
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)
Matteo Golinelli (Universität Trient – matteo.golinelli@unitn.it)
Stefan Rass (Johannes Kepler Universität Linz – stefan.rass@jku.at)
In der sich rasant entwickelnden cloud-nativen Welt bietet Cyber Deception einen vielversprechenden Ansatz, um Angreifer frühzeitig zu stören, noch bevor ernsthafter Schaden entsteht. Cyber Deception platziert strategisch Fallen, Köder (Decoys) oder Honeytokens in einer Infrastruktur, um potenzielle Angreifer zu erkennen, aufzuhalten und zu analysieren. Durch den Einsatz von Container-Orchestrierungsplattformen wie Kubernetes lassen sich solche Techniken nahtlos integrieren – ohne Zugriff auf den Anwendungscode oder dessen Änderung.
Koney ist ein neuartiges Orchestrierungs-Framework für Cyber Deception, das speziell für Kubernetes entwickelt wurde. Dank seines Operator-basierten Deploy-Modells können Betriebsteams eine Vielzahl von Deception-Techniken als Code definieren, ausrollen, rotieren, überwachen und bei Bedarf entfernen. Dieser Beitrag erklärt das Innenleben von Koney, beschreibt Design, Implementierung und Einsatz in der Praxis und liefert Bash- und Python-Beispiele zur Integration in eigene Cluster.
Nach der Lektüre wissen Sie:
Dieser Leitfaden richtet sich gleichermaßen an Einsteiger und fortgeschrittene Nutzer, die cloud-native Deception einsetzen möchten.
Trotz der gut belegten Vorteile von Cyber Deception zögern viele Organisationen, entsprechende Technologien einzusetzen. Gründe sind u. a.:
Koney adressiert zwei zentrale Fragen:
Das Framework nutzt Cloud-native Technologien (z. B. Service-Meshes wie Istio oder Kernel-Mechanismen wie eBPF), um Deception transparent in vorhandene Container-Applikationen einzubetten. Ziel ist es, Wartbarkeit, Skalierbarkeit und Performance zu vereinfachen und die technischen Hürden der Einführung zu minimieren.
Für das Verständnis von Koney sind folgende Kubernetes-Kernbegriffe wichtig:
# Netzwerkverkehr innerhalb eines Pods untersuchen
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn
Ähnlich setzt Koney Sidecar-Container und eBPF-Probes ein, um Deception einzuschleusen, ohne die Anwendung zu stören.
Deception-Policies beschreiben Konfiguration und Verhalten der einzusetzenden Fallen und Decoys – versionierbar als Code.
Hierzu zählen Honeyfiles, Honeytokens, Honeydocuments oder ganze Honeydirectories. Angreifer, die diese Dateien öffnen, lösen Alarme aus.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: honeytoken-policy
spec:
trapType: fileSystem
details:
fileName: "secrets.txt"
content: "username: admin\npassword: Pa$w0rd123"
triggerAlert: true
HTTP-basierte Fallen setzen auf gefälschte Endpunkte, manipulierte Header oder Body-Antworten.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: web-deception-policy
spec:
trapType: webApplication
details:
endpoint: "/wp-admin"
responseType: fixed
responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
triggerAlert: true
Policies können auf bestimmte Pods oder Namespaces eingeschränkt werden.
selector:
matchLabels:
role: sensitive
Der Operator automatisiert Lebenszyklus, Rotation, Alerting und Removal von Deception-Deployments.
Befehle werden direkt im Ziel-Container ausgeführt, z. B. zum Erzeugen von Honeyfiles:
kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy' > /app/honeytoken.txt"
Decoy-Artefakte werden über ein Volume eingehängt:
volumeMounts:
- name: deception-volume
mountPath: /app/decoy-files
Envoy-Filter oder VirtualServices leiten verdächtige Anfragen auf Decoy-Services um.
http:
- match:
- uri:
exact: /wp-admin
route:
- destination:
host: decoy-service
port:
number: 80
eBPF-basiertes Monitoring aller Zugriffe auf Decoys.
if 'deception_triggered' in event:
print("Verdächtiger Zugriff:", event)
Lua-Envoy-Filter loggt HTTP-Header oder schreibt Metadaten.
request_handle:logInfo("Captor Trigger: " .. headers:get("User-Agent"))
Koney deckt Honeyfiles, fixe HTTP-Antworten, Header-Manipulationen und dynamische Endpunkte ab. In Tests wurden über 90 % bekannter Angriffsversuche erkannt.
Von frühen Honeytokens bis zu Echtzeit-Monitoring – Koney skaliert diese Ideen auf Container-Umgebungen.
Bezieht bewährte Methoden (z. B. gefälschte Antworten) ein und automatisiert sie via Istio.
Koney kombiniert „Policy-as-Code“ mit Operator-Automatisierung und adressiert damit Usability und Wartung.
Koney vereinfacht Cyber Deception in Kubernetes maßgeblich:
Damit können Security-Teams schnell und skalierbar auf neue Angreifer-Taktiken reagieren.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: filesystem-honeytoken
spec:
trapType: fileSystem
selector:
matchLabels:
app: sensitive-data
details:
fileName: "credentials.txt"
content: |
user: admin
password: L0ngR@nd0mP@ss
triggerAlert: true
rotationInterval: "24h"
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: webapp-deception
spec:
trapType: webApplication
selector:
matchLabels:
app: my-web-app
details:
endpoint: "/admin"
responseType: fixed
responseContent: |
<html>
<body>
<h2>Decoy Admin Panel</h2>
<p>Unbefugter Zugriff wird geloggt.</p>
</body>
</html>
triggerAlert: true
rotationInterval: "12h"
Weitere Lektüre:
– Forschung zu Cyber-Deception-Strategien
– Kubernetes CRD-Dokumentation
Koney zeigt, wie moderne Orchestrierungs-Techniken mit bewährten Deception-Strategien kombiniert werden können, um Container-Umgebungen effektiv zu schützen. Probieren Sie Koney in Ihrem Cluster aus und gestalten Sie die Zukunft der Cyber Deception aktiv mit.
Viel Erfolg beim Täuschen!
Schlagwörter: Cyber Deception, Kubernetes, Koney Operator, Honeypots, Honeytokens, Istio, eBPF, DevSecOps, Container-Security, Policy-as-Code
Wenn Sie diesen Inhalt wertvoll fanden, stellen Sie sich vor, was Sie mit unserem umfassenden 47-wöchigen Elite-Trainingsprogramm erreichen könnten. Schließen Sie sich über 1.200 Studenten an, die ihre Karrieren mit den Techniken der Unit 8200 transformiert haben.