Рубрики
Uncategorized

Kubestriker — пылающий инструмент быстрого аудита безопасности для Kubernetes !!

Пролегающий быстрый ревизионный инструмент для Kubernetes !! Кубернаны — это большой, сложный, быстрый —… Теги с DEVOPS, безопасностью, программированием, Kubernetes.

Пролегающий быстрый ревизионный инструмент для Kubernetes !!

Kubernetes — это большая сложная, быстрая скользящая платформа, которая решает проблемы, такие как высокая доступность, устойчивость и масштабирование, обеспечивая расширяющуюся декларативную платформу, которая автоматизирует управление контейнерами.

Предполагающие организации по всему почти все вертикали, в том числе с сильными требованиями безопасности, такие как финансовые услуги, здравоохранение, правительство и телекоммуникации, развертывают производственные приложения для кластеров Kubernetes.

Хотя это быстрое принятие Кубератесов показывает, насколько разрушительны эти технологии, они также привели к новым проблемам безопасности.

Безопасность кластера, конечно, не может быть достигнута в одном процессе. В кластере Kubernetes есть много движущихся частей, которые должны быть правильно закреплены. Но с таким количеством движущихся запчастей сохраняя безопасность Kubernetes, не является тривиальной задачей.

Основной обзор

Kubestriker Выполняет многочисленные в глубине проверки на kubernetes Infra для идентификации Безопасность ошибок И вызовы, что разработчики/разработчики DEVOPS могут столкнуться с использованием Kubernetes, особенно в производстве и в масштабе.

Kubestriker Является ли платформа Agnostic и одинаково хорошо работает по сравнению с одной платформой, такой как Self Hosted Кубернаны , Amazon Eks. , Azure Aks , Google Gke и Т. Д.

Стол содержания

  • Как установить
    • Клонировать репо и установить
    • Установить с помощью пипса
    • Как раскрутить контейнер Kubestriker
  • Типы сканирования
    • Аутентифицированные сканирования
    • Неопределенные сканирования
    • Определение открытого небезопасного порта на Master Node Kubernetes
    • Определение узела рабочего с помощью kublet ReadWrite и Readly Ports Open
  • Текущие возможности
  • Будущие улучшения
  • Предложения
  • Вкладчик
  • Статистика
  • Лицензия
  • Служба поддержки
  • Найди меня здесь !!

Как установить

Клонировать репо и установить

Чтобы установить этот инструмент или клон и запустить это приложение, вам понадобится Гит , Python3. и Пип установлен на вашем компьютере. Рекомендуется установить этот инструмент в Виртуальная среда

Из вашей командной строки:

# Create python virtual environment
$ python3 -m venv env

# Activate python virtual environment
$ source env/bin/activate

# Clone this repository
$ git clone https://github.com/vchinnipilli/kubestriker.git

# Go into the repository
$ cd kubestriker

# Install dependencies
$ pip install -r requirements.txt

# Incase of prompt toolkit or selectmenu errors
$ pip install prompt-toolkit==1.0.15 
$ pip install -r requirements.txt

# Gearing up Kubestriker
$ python -m kubestriker

# Result will be generated in the current working directory with the name of the target

Установить с помощью пипса

Для установки и запуска этого приложения вам понадобится Пип установлен на вашем компьютере. Из вашей командной строки:

# Create python virtual environment
$ python3 -m venv env

# Activate python virtual environment
$ source env/bin/activate

# Install using pip
$ pip install kubestriker

# Incase of prompt toolkit or selectmenu errors
$ pip install prompt-toolkit==1.0.15 
$ pip install kubestriker

# Gearing up Kubestriker
$ python -m kubestriker

# Result will be generated in the current working directory with the name of the target

Как раскрутить контейнер Kubestriker

Используйте эту ссылку для просмотра контейнера Kubestriker Последние релизы

# Spinning up the kubestriker Container
$ docker run -it --rm -v /Users/vasantchinnipilli/.kube/config:/root/.kube/config -v "$(pwd)":/kubestriker --name kubestriker cloudsecguy/kubestriker:v1.0.0

# Replace the user vasantchinnipilli above with your username or absolute path of kube config file
$ docker run -it --rm -v /Users//.kube/config:/root/.kube/config -v "$(pwd)":/kubestriker --name kubestriker cloudsecguy/kubestriker:v1.0.0

# Gearing up Kubestriker
$ python -m kubestriker

# Result will be generated in the current working directory with the name of the target

Типы сканирования

Аутентифицированные сканирования

Аутентифицированное сканирование ожидает, что пользователь будет по крайней мере только для чтения привилегии и предоставляют токен во время сканирования. Пожалуйста, используйте приведенные ниже ссылки для создания только для чтения пользователи

Создать только для чтения пользователя для Amazon EKS \ Создать пользователя только для чтения для Azure Aks \ Создать пользователя только для чтения для Google GKE \ Создайте тему с использованием контроля доступа на основе роли

# To grab a token from eks cluster
$ aws eks get-token --cluster-name cluster-name --region ap-southeast-2

# To grab a token from aks cluster
$ az aks get-credentials --resource-group myResourceGroup --name myAKSCluster

# To grab a token from gke cluster
$ gcloud container clusters get-credentials CLUSTER_NAME --zone=COMPUTE_ZONE

# To grab a token from service account
$ kubectl -n namespace get secret serviceaccount-token -o jsonpath='{.data.token}'

# To grab a token from a pod directly or via command execution bug
$ cat /run/secrets/kubernetes.io/serviceaccount/token

Неопределенные сканирования

Неопределенное сканирование будет успешным в случае анонимного доступа разрешена на целевой кластере

Определение открытого небезопасного порта на Master Node Kubernetes

Определение узела рабочего с помощью kublet ReadWrite и Readly Ports Open

Текущие возможности

  • Сканирует самообслуживание самоуправляемого и облачного провайдера Кубернеты инфраунт
  • Разведываемые фазы проверки для различных услуг или открытых портов
  • Выполняет автоматизированные сканирования в случае небезопасных, чтения и чтенных служб Включено
  • Выполняет как аутентифицированные сканы, так и неаутентифицированные сканы
  • Сканирует широкий ассортимент IAM неправильных установок в кластере
  • Сканирует широкий спектр неправильных контейнеров
  • Сканирует широкий спектр неправильных политик безопасности POD
  • Сканирует широкий спектр неправильных сетевых политик
  • Сканирует привилегии предмета в кластере
  • Запустите команды на контейнерах и поток обратно вывод
  • Предоставляет конечные точки служб неправильной настройки
  • Обеспечивает возможные привилегированные детали эскалации
  • Разработанный отчет с подробным объяснением

Будущие улучшения

  • Автоматизированная эксплуатация на основе выявленных вопросов
  • API и CICD Automation
  • Достойная фантазия, чтобы облегчить жизнь

Предложения

KUBESSESTRIKER — это оперативность и Emailware Отказ Значение, если вам понравилось использовать этот инструмент или оно помогло вам каким-либо образом или если у вас есть какие-либо предложения/улучшения, я бы хотел, чтобы вы отправили мне электронное письмо в vchinnipilli@gmail.com О чем-то, что вы хотели бы сказать об этом инструменте. Я бы очень признателен!

Вкладчик

Статистика

Лицензия

Лицензия Apache

Служба поддержки

Вазант Чиннипильи Строит и поддерживает Kubestriker для аудита и защищенной инфраструктуры Kubernetes.

Начните с Документация — скоро будет доступна Для быстрых учебных пособий и примеров.

Если вам нужна прямая поддержка, вы можете связаться со мной в vchinnipilli@gmail.com.

Найди меня здесь !!

Оригинал: «https://dev.to/cloudsecguy/kubestriker-a-blazing-fast-security-auditing-tool-for-kubernetes-2igi»