Das InformatikLeistungsZentrum (ILZ) ist ein Unternehmen, das im öffentlichen Sektor tätig ist und als zentraler Backbone und vertrauenswürdiger Technologiepartner für zwei Kantone in der Schweiz fungiert. ILZ stellt Kommunen, Schulen, Polizeibehörden und anderen Organisationen des öffentlichen Sektors wichtige Infrastruktur, Plattformen und Softwaredienste zur Verfügung und unterstützt Systeme, bei denen Sicherheit, Zuverlässigkeit und Verfügbarkeit unverzichtbar sind.

ILZ betreibt mehrere Rechenzentren, hunderte von Softwareprodukten und unterstützt Tausende von Kunden – und das alles in einem stark regulierten Umfeld.

Die Herausforderung

Die Infrastruktur von ILZ spielt eine entscheidende Rolle bei der Gewährleistung sicherer, zuverlässiger und kontinuierlich verfügbarer digitaler Dienste, die wichtige öffentliche Vorgänge und bürgernahe Systeme unterstützen.

Wie viele Organisationen, die große Kubernetes-Plattformen betreiben, ist auch ILZ stark auf Open-Source-Software angewiesen. Die vorhandenen Container-Image-Optionen stellten jedoch erhebliche Herausforderungen dar, darunter eine hohe CVE-Gefährdung, steigende Kosten und langfristige Lieferantenrisiken. Diese Probleme waren angesichts der Verpflichtungen von ILZ im öffentlichen Sektor und der kritischen Infrastruktur, die in seinen Rechenzentren gehostet wird, besonders besorgniserregend. Javier García, Senior Systems und Security im ILZ, hat den Trend schon früh erkannt, und eine Migration auf 0-CVE Images früh als Ziel für containerbasierte Deployments definiert.

Mit Kubernetes als Rückgrat der Plattform, auf der Kerndienste für Beobachtbarkeit, Überwachung und Nachrichtenübermittlung ausgeführt werden, benötigte ILZ eine Möglichkeit, das Risiko in der Lieferkette drastisch zu reduzieren, ohne Workloads zu stören, Anwendungen neu zu gestalten oder Container-Images intern zu erstellen und zu warten. Dazu gehörten Kernkomponenten der Plattform wie Prometheus, Grafana, Thanos und Node Exporter, die für die betriebliche Transparenz und Zuverlässigkeit von ILZ von grundlegender Bedeutung sind.

Die Lösung

Um diese Herausforderungen zu bewältigen, ging ILZ eine Partnerschaft mit Puzzle ITC ein, einem Technologiepartner mit umfassender Expertise in den Bereichen Kubernetes, Open Source und öffentliche Unternehmensumgebungen. Puzzle arbeitete eng mit Raffael Hertle, Senior Systems Architect bei ILZ und verantwortlicher Architekt der Kubernetes-Plattform, zusammen, um sichere Container- Image-Optionen zu evaluieren und einen risikoarmen Weg für die Zukunft zu definieren.

Puzzle empfahl Chainguard aufgrund seiner starken Übereinstimmung mit den Anforderungen von ILZ: SLAs auf Unternehmensniveau, Glaubwürdigkeit im Open-Source-Ökosystem und ein breiter Katalog an gehärteten Images, die Upstream-Projekte genau verfolgen. Um einen plattformweiten Ansatz zu unterstützen, entschied sich ILZ für das Vollkatalog-Abonnementmodell von Chainguard, wodurch das Team Zugriff auf die gesamte Palette an gehärteten Container-Images erhält, während sich die Kubernetes-Plattform weiterentwickelt.

Für Raffael war die Entscheidung für Chainguard eine Frage des Vertrauens und der langfristigen Rentabilität. „Das Engagement der Gründer von Chainguard für Open Source, insbesondere bei der Entwicklung von Cosign und dem Aufbau des Sigstore-Ökosystems, ist für uns von großer Bedeutung“, sagte er.

Da so viele öffentliche Infrastrukturen auf ILZ angewiesen sind, benötigte das Team auch Garantien, die über einen Best-Effort-Support hinausgingen. Die Enterprise-SLAs von Chainguard boten ILZ das Sicherheitsnetz, das es zur Erfüllung seiner regulatorischen und betrieblichen Verpflichtungen benötigte.

In Zusammenarbeit implementierten ILZ und Puzzle Chainguard Containers auf der Kubernetes-Plattform von ILZ, die auf VMware vSphere Kubernetes Services läuft. Der Rollout konzentrierte sich auf den Ersatz bestehender Image-Referenzen durch Chainguard-Äquivalente, was nur minimale Konfigurationsänderungen und keine architektonische Überarbeitung erforderte.

Die Ergebnisse

Die Ergebnisse waren sofort sichtbar. Christoph Raaflaub, Plattformarchitekt bei Puzzle und Experte für Chainguard, und Raffael von ILZ arbeiteten gemeinsam daran, Chainguard Containers in nur ein bis zwei Stunden auf elf Kubernetes-Clustern einzuführen. Dabei aktualisierten sie Dutzende von Images, während die bestehenden Workloads vollständig betriebsbereit blieben. Insgesamt wurden innerhalb der ersten 24 Stunden mehr als 20 Container-Images aktualisiert. Christoph erklärte: „Dank der hervorragenden Dokumentation von Chainguard konnte Raffael die Migration sehr eigenständig und mit nur geringfügiger Unterstützung meinerseits durchführen. Das Versprechen von Chainguard, ein nahtloses Drop-in-Replacement zu bieten, hat sich in der Praxis absolut bestätigt.“

Das Beste daran? „Es hat sich nichts geändert – alles war innerhalb weniger Minuten wieder verfügbar“, sagte Raffael. „Mein Sicherheitsbewusstsein kann sich beruhigen.“

Auch für Javier García waren die Ergebnisse aus Sicherheitsperspektive bemerkenswert: ILZ reduzierte die Anzahl der containerbezogenen CVEs von mehr als 10.000 auf null. Diese messbare Verbesserung gab dem Team die Gewissheit, dass sein Kubernetes-Backbone nun die strengen Sicherheits- und Compliance-Anforderungen erfüllt, die für die Infrastruktur des öffentlichen Sektors erforderlich sind.

Mit Chainguard und einer zuverlässigen Partnerschaft mit Puzzle kann ILZ nun beruhigt arbeiten, da es weiß, dass seine Container-Lieferkette durch Unternehmens-SLAs abgesichert ist und von Anbietern unterstützt wird, die sich an Open-Source-Best-Practices orientieren. Das Ergebnis ist eine sicherere, stabilere Plattform, die es ILZ ermöglicht, sich auf die zuverlässige Unterstützung der kritischen Dienste zu konzentrieren, auf die seine Kunden angewiesen sind.