Kubernetes Hardening

Tools to analyse a cluster

Kubescape

Kubescape είναι ένα εργαλείο ανοιχτού κώδικα K8s που παρέχει μια ενιαία οθόνη πολλαπλών cloud K8s, συμπεριλαμβανομένης της ανάλυσης κινδύνου, της συμμόρφωσης ασφαλείας, του οπτικοποιητή RBAC και της σάρωσης ευπαθειών εικόνας. Το Kubescape σαρώνει τα K8s clusters, τα αρχεία YAML και τα HELM charts, ανιχνεύοντας κακοδιαμορφώσεις σύμφωνα με πολλαπλά πλαίσια (όπως το NSA-CISA, MITRE ATT&CK®), ευπάθειες λογισμικού και παραβιάσεις RBAC (role-based-access-control) σε πρώιμα στάδια της CI/CD pipeline, υπολογίζει άμεσα το σκορ κινδύνου και δείχνει τις τάσεις κινδύνου με την πάροδο του χρόνου.

kubescape scan --verbose

Kube-bench

Το εργαλείο kube-bench είναι ένα εργαλείο που ελέγχει αν το Kubernetes έχει αναπτυχθεί με ασφάλεια εκτελώντας τους ελέγχους που τεκμηριώνονται στο CIS Kubernetes Benchmark. Μπορείτε να επιλέξετε να:

• εκτελέσετε το kube-bench από μέσα σε ένα κοντέινερ (μοιράζοντας το PID namespace με τον κεντρικό υπολογιστή)

• εκτελέσετε ένα κοντέινερ που εγκαθιστά το kube-bench στον κεντρικό υπολογιστή και στη συνέχεια να εκτελέσετε το kube-bench απευθείας στον κεντρικό υπολογιστή

• εγκαταστήσετε τα τελευταία δυαδικά από τη σελίδα Releases,

• το συντάξετε από πηγή.

Kubeaudit

Το εργαλείο kubeaudit είναι ένα εργαλείο γραμμής εντολών και ένα πακέτο Go για audit Kubernetes clusters για διάφορες διαφορετικές ανησυχίες ασφαλείας.

Το Kubeaudit μπορεί να ανιχνεύσει αν εκτελείται μέσα σε ένα κοντέινερ σε ένα cluster. Αν ναι, θα προσπαθήσει να ελέγξει όλους τους πόρους Kubernetes σε αυτό το cluster:

kubeaudit all

Αυτό το εργαλείο έχει επίσης το επιχείρημα autofix για να διορθώνει αυτόματα τα ανιχνευμένα προβλήματα.

Kube-hunter

Το εργαλείο kube-hunter αναζητά αδυναμίες ασφαλείας σε κλάστερ Kubernetes. Το εργαλείο αναπτύχθηκε για να αυξήσει την ευαισθητοποίηση και την ορατότητα για τα ζητήματα ασφαλείας σε περιβάλλοντα Kubernetes.

kube-hunter --remote some.node.com

Kubei

Kubei είναι ένα εργαλείο σάρωσης ευπαθειών και CIS Docker benchmark που επιτρέπει στους χρήστες να αποκτούν μια ακριβή και άμεση εκτίμηση κινδύνου για τα clusters kubernetes τους. Το Kubei σαρώνει όλες τις εικόνες που χρησιμοποιούνται σε ένα Kubernetes cluster, συμπεριλαμβανομένων των εικόνων των application pods και system pods.

KubiScan

KubiScan είναι ένα εργαλείο για τη σάρωση του Kubernetes cluster για επικίνδυνες άδειες στο μοντέλο εξουσιοδότησης Role-based access control (RBAC) του Kubernetes.

Managed Kubernetes Auditing Toolkit

Mkat είναι ένα εργαλείο που έχει κατασκευαστεί για να δοκιμάσει άλλους τύπους ελέγχων υψηλού κινδύνου σε σύγκριση με τα άλλα εργαλεία. Έχει κυρίως 3 διαφορετικούς τρόπους:

• find-role-relationships: Που θα βρει ποιες ρόλοι AWS εκτελούνται σε ποια pods

• find-secrets: Που προσπαθεί να εντοπίσει μυστικά σε πόρους K8s όπως Pods, ConfigMaps και Secrets.

• test-imds-access: Που θα προσπαθήσει να εκτελέσει pods και να προσπαθήσει να αποκτήσει πρόσβαση στα metadata v1 και v2. ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Αυτό θα εκτελέσει ένα pod στο cluster, να είστε πολύ προσεκτικοί γιατί ίσως δεν θέλετε να το κάνετε αυτό!

Audit IaC Code

Popeye

Popeye είναι ένα εργαλείο που σαρώνει το ζωντανό Kubernetes cluster και αναφέρει πιθανά προβλήματα με τους αναπτυγμένους πόρους και τις ρυθμίσεις. Καθαρίζει το cluster σας με βάση το τι είναι αναπτυγμένο και όχι το τι βρίσκεται στο δίσκο. Σαρώνοντας το cluster σας, ανιχνεύει κακές ρυθμίσεις και σας βοηθά να διασφαλίσετε ότι οι καλύτερες πρακτικές είναι σε εφαρμογή, αποτρέποντας έτσι μελλοντικούς πονοκεφάλους. Στοχεύει στη μείωση της γνωστικής _υπερφόρτωσης που αντιμετωπίζει κανείς όταν λειτουργεί ένα Kubernetes cluster στο πεδίο. Επιπλέον, αν το cluster σας χρησιμοποιεί έναν metric-server, αναφέρει πιθανά υπερβολικά/υπο-κατανεμημένα πόρους και προσπαθεί να σας προειδοποιήσει αν το cluster σας εξαντληθεί από χωρητικότητα.

KICS

KICS βρίσκει ευπάθειες ασφαλείας, ζητήματα συμμόρφωσης και κακές ρυθμίσεις υποδομής στις παρακάτω λύσεις Infrastructure as Code: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM και OpenAPI 3.0 specifications

Checkov

Checkov είναι ένα εργαλείο στατικής ανάλυσης κώδικα για infrastructure-as-code.

Σαρώνει την υποδομή cloud που παρέχεται χρησιμοποιώντας Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless ή ARM Templates και ανιχνεύει κακές ρυθμίσεις ασφαλείας και συμμόρφωσης χρησιμοποιώντας σάρωση βασισμένη σε γραφήματα.

Kube-score

kube-score είναι ένα εργαλείο που εκτελεί στατική ανάλυση κώδικα των ορισμών αντικειμένων Kubernetes σας.

Για να εγκαταστήσετε:

Tips

Kubernetes PodSecurityContext και SecurityContext

Μπορείτε να ρυθμίσετε το security context των Pods (με PodSecurityContext) και των containers που πρόκειται να εκτελούνται (με SecurityContext). Για περισσότερες πληροφορίες διαβάστε:

Kubernetes API Hardening

Είναι πολύ σημαντικό να προστατεύσετε την πρόσβαση στον Kubernetes Api Server καθώς ένας κακόβουλος παράγοντας με αρκετά προνόμια θα μπορούσε να είναι σε θέση να το καταχραστεί και να βλάψει το περιβάλλον με πολλούς τρόπους. Είναι σημαντικό να ασφαλίσετε τόσο την πρόσβαση (whitelist προελεύσεις για πρόσβαση στον API Server και να απορρίψετε οποιαδήποτε άλλη σύνδεση) όσο και την αυθεντικοποίηση (ακολουθώντας την αρχή της ελάχιστης εξουσίας). Και σίγουρα ποτέ μην επιτρέπετε ανώνυμες αιτήσεις.

Κοινή διαδικασία Αίτησης: Χρήστης ή K8s ServiceAccount –> Αυθεντικοποίηση –> Εξουσιοδότηση –> Έλεγχος Εισόδου.

Συμβουλές:

• Κλείστε τις θύρες.

• Αποφύγετε την ανώνυμη πρόσβαση.

• NodeRestriction; Καμία πρόσβαση από συγκεκριμένους κόμβους στον API.

• https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction

• Βασικά αποτρέπει τους kubelets από το να προσθέτουν/αφαιρούν/ενημερώνουν ετικέτες με το prefix node-restriction.kubernetes.io/. Αυτό το prefix ετικέτας είναι επιφυλαγμένο για τους διαχειριστές για να ετικετοποιούν τα αντικείμενα Node τους για σκοπούς απομόνωσης φορτίου εργασίας, και οι kubelets δεν θα επιτρέπεται να τροποποιούν ετικέτες με αυτό το prefix.

• Και επίσης, επιτρέπει στους kubelets να προσθέτουν/αφαιρούν/ενημερώνουν αυτές τις ετικέτες και τα prefix ετικετών.

• Διασφαλίστε με ετικέτες την ασφαλή απομόνωση φορτίου εργασίας.

• Αποφύγετε συγκεκριμένα pods από την πρόσβαση στο API.

• Αποφύγετε την έκθεση του ApiServer στο διαδίκτυο.

• Αποφύγετε την μη εξουσιοδοτημένη πρόσβαση RBAC.

• Θύρα ApiServer με firewall και whitelisting IP.

SecurityContext Hardening

Από προεπιλογή, ο χρήστης root θα χρησιμοποιείται όταν ξεκινά ένα Pod αν δεν έχει καθοριστεί άλλος χρήστης. Μπορείτε να εκτελέσετε την εφαρμογή σας μέσα σε ένα πιο ασφαλές περιβάλλον χρησιμοποιώντας ένα πρότυπο παρόμοιο με το παρακάτω:

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
volumes:
- name: sec-ctx-vol
emptyDir: {}
containers:
- name: sec-ctx-demo
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
runAsNonRoot: true
volumeMounts:
- name: sec-ctx-vol
mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: true

• https://kubernetes.io/docs/tasks/configure-pod-container/security-context/

• https://kubernetes.io/docs/concepts/policy/pod-security-policy/

Γενική Σκληροποίηση

Πρέπει να ενημερώνετε το περιβάλλον Kubernetes σας όσο συχνά είναι απαραίτητο για να έχετε:

• Εξαρτήσεις ενημερωμένες.

• Διορθώσεις σφαλμάτων και ασφαλείας.

Κύκλοι κυκλοφορίας: Κάθε 3 μήνες υπάρχει μια νέα μικρή έκδοση -- 1.20.3 = 1(Μεγάλη).20(Μικρή).3(διορθωτική)

Ο καλύτερος τρόπος για να ενημερώσετε ένα Kubernetes Cluster είναι (από εδώ):

• Αναβαθμίστε τα συστατικά του Master Node ακολουθώντας αυτή τη σειρά:

• etcd (όλες οι περιπτώσεις).

• kube-apiserver (όλοι οι ελεγκτές του ελέγχου).

• kube-controller-manager.

• kube-scheduler.

• cloud controller manager, αν χρησιμοποιείτε ένα.

• Αναβαθμίστε τα συστατικά του Worker Node όπως kube-proxy, kubelet.