Kubermatic SecureGuard: Automatisiertes Secrets-Management für Kubernetes

Im Rahmen der diesjährigen KubeCon + CloudNativeCon Europe hat das Hamburger Unternehmen Kubermatic eine neue Open-Source-basierte Plattform vorgestellt, die das Verwalten sensibler Zugangsdaten in Kubernetes-Umgebungen automatisieren soll. Kubermatic SecureGuard – kurz KubeSG – soll Sicherheitsteams eine zentrale Steuerungsebene bieten, über die sich API-Schlüssel, Datenbankpasswörter und KI-Token automatisiert verwalten, rotieren und prüfen lassen.

Kompromittierte Anmeldedaten seien ein verbreitetes Problem in Cloud-nativen Infrastrukturen und stellten insbesondere für Unternehmen mit schnell wachsenden Kubernetes- und KI-Workloads eine ernste Herausforderung dar. Die weltweiten Durchschnittskosten pro Vorfall lagen laut dem IBM Cost of a Data Breach Report 2025 bei rund 4,44 Millionen US-Dollar.

OpenBao als Open-Source-Fundament für KubeSG

Genau an dieser Stelle soll das neue Produkt KubeSG laut Ankündigung ansetzen. Technisch baut Kubermatic dabei auf zwei Open-Source-Komponenten: OpenBao als Secrets-Engine und den External Secrets Operator (ESO) für die Anbindung an Kubernetes. Deren Kombination liefert eine selbst gehostete, Kubernetes-native Schicht für das Secrets-Management. Anwendungen erhalten automatisch nur diejenigen Anmeldedaten, für die sie berechtigt sind – eingebunden als standardmäßige Kubernetes-Secrets-Objekte, Umgebungsvariablen oder gemountete Dateien.

Kubermatic will sich mit dem Open-Source-Ansatz bewusst als Gegenmodell zu proprietären Lösungen positionieren, damit auch die Sicherheitsinfrastruktur vollständig transparent und überprüfbar sein könne. KubeSG soll Unternehmen jederzeit Einblick gewähren, wie ihre Geheimnisse gespeichert, abgerufen und auditiert werden.

Automatisierung gegen operative Reibungsverluste

Über den Sicherheitsaspekt hinaus will Kubermatic mit SecureGuard auch ein operatives Problem angehen: In vielen Organisationen binde das manuelle Verwalten von Zugangsdaten erhebliche Kapazitäten. Ticket-Warteschlangen, selbst geschriebene Skripte und erzwungene Dienst-Neustarts bei der Rotation von Geheimnissen bremsen laut Kubermatic die Entwicklungsgeschwindigkeit. KubeSG soll diese Schritte automatisieren, sodass sich Entwicklerteams auf die eigentliche Softwarebereitstellung konzentrieren können, statt Anmeldedaten zu pflegen.

Die Plattform unterstützt darüber hinaus Mandantenfähigkeit mit isolierten Geheimnisspeichern. Große Unternehmen sollen so den Wirkungsradius potenzieller Sicherheitsvorfälle begrenzen können, indem Umgebungen und Teams strikt voneinander getrennt werden. Für Multi-Cloud- und Hybrid-Infrastrukturen bietet SecureGuard eine zentrale Governance-Schicht, die bei der Erfüllung von Compliance-Anforderungen helfen soll.

Kubermatic baut Open-Source-Portfolio weiter aus

SecureGuard reiht sich in das Open-Source-Produktportfolio von Kubermatic ein. Dazu zählen unter anderem die Kubernetes-Plattform (KKP), Kubermatic Virtualization (KubeV) für Container-VM-Konvergenz, eine Developer Control Plane (KDP), Single-Node Kubernetes (KubeOne) sowie Multi-Tenant Load Balancing (KubeLB).

(map)