Одиночная рабочая нагрузка Kubernetes имеет более 30 настроек безопасности с 1 миллиардом комбинаций потенциальных комбинаций. Вы должны быть экспертом Kubernetes, чтобы понять, если окончательная конфигурация представляет высокий риск вашего кластера. Благодаря одному изменению в один файл вы можете открыть все ваши кластер Kubernetes для атаки, секреты утечки, конфиденциальные данные о рисках или случайно предоставить публичный доступ к частным услугам.
Мы на Октарин Выпустил Открытый исходный код Kube-Scan Инструмент, который позволяет запустить быструю и легкую оценку риска безопасности на ваших рабочих нагрузках Kubernetes, чтобы мгновенно понять полость безопасности ваших кластеров.
Безопасный и простой способ оценки вашей безопасности
Kube-Scan — это POD, который работает внутри вашего кластера. Он сканирует все ваши файлы манифеста, анализирует настройки безопасности и дает вам оценку безопасности для ваших рабочих нагрузок через простой веб-интерфейс. Для каждой рабочей нагрузки вы получите четкое объяснение факторов риска, какие настройки исправляют или усугубили риски, и какие потенциальные последствия (контейнер-экипировка, человек-в-средне, нежелательные взаимодействия между контейнерами, и так далее) Отказ
Kube-Scan предназначен для того, чтобы помочь вам понять, какая из ваших рабочих нагрузок наиболее подвержена риску и почему и позволяет вам приоритетировать обновления вашей политики безопасности POD, определениям POD и проявлять файлы для проверки вашего риска.
Как Kube-Scan рассчитывает оценку риска
Анализ KUBE-сканирования с открытым исходным кодом более 30 настроек безопасности, включая уровни привилегии, возможности и политики Kubernetes и устанавливает исходный уровень риска. Затем он анализирует, как эти настройки работают в тандеме, чтобы вы могли понять, какие комбинации будут уменьшаться (или увеличить) ваш уровень риска. Например, комбинация потенциальных локальных рисков доступа (привилегированный контейнер, контейнер, работающий в виде корня) и удаленного доступа (прослушивание порта, нет входной политики kubernetes, и т. Д.) — это больше риска, если служба подвергается воздействию Интернета через Балансировщик нагрузки, хост-порт или совместный хост-сеть.
Kube-Scan также учитывает простоту эксплуатации, а также воздействие и объем эксплойтов. Это похоже на общую систему оценки уязвимости (CVSS). Сочетание рисков, исправления, обострения факторов, повышение эксплуатабельности и воздействия набравят между 0 (безопасным) до 10 (очень рискованно).
Как установить Kube-Scan
KUBE-Scan — это развертывание на одном POD с файлом YAML, который поможет развернуть его быстро в свой кластер. POD содержит манифестский сканер, забивающий двигатель и веб-интерфейс.
Никаких данных не оставляет контейнеров. Нет входа или выхода, и данные не отправляются или извлекаются из окнарина. Безопасно работать в любой среде и может быть удалена после доступа к странице оценки риска. Вы можете найти инструкции по развертыванию Kube-Scan на Github Отказ
Существует два способа развертывания контейнера Kube-Scan:
1. Прямой доступ к струпу Kube-Scan
Эта команда устанавливает и запускает POD Kube-Scan:
Kubectl Apply Printe -f https://raw.githubusercontent.com/octarineseC/kube-scan/master/kube-scan.yaml
Затем прокси свой локальный порт 8080 к порту 80 POD в кластере:
KUBECTL PORT-FORDESPORTION SVC/KUBE-SCAN-UI 8080: 80: 80
Как только POD работает, просто подключитесь к этому URL, чтобы увидеть результаты сканирования:
http://localhost:8080/
2. Kube-Scan за балансировщиком нагрузки
Если вы предпочитаете не создавать порту вперед в веб-интерфейс Kube-Scan, вы можете развернуть kube-сканирование за балансировщиком нагрузки:
Kubectl Apply Printe -F HTTPS://RAW.GithubusUserContent.com/octarinesec/kube-scan/master/kube-scan-lb.yaml
Затем получите имя хоста, используемое для доступа к веб-интерфейсу через балансировщик нагрузки:
Kubectl -n Kube-Scan Get Service Kube-Scan-ui -o jsonpath = {.. hostname}
Это отобразит имя хоста, которое вам нужно подключиться к порту 80:
http://: 8080/
Просмотрите веб-интерфейс Kube-Scan
После выполнения установки вы можете увидеть оценку риска для всех ваших рабочих нагрузок. Нажмите на любой риск, чтобы увидеть разбивку факторов риска.
Оценка рассчитывается один раз, когда POD начинается. Если вы хотите запустить новый сканирование, удалите POD. Вы можете установить kube-Scan в нескольких кластерах для сравнения вашей безопасности безопасности в разных средах.
Оригинал: «https://dev.to/octarinesec/how-to-use-kube-scan-to-find-kubernetes-security-risks-2mnk»