Kubernetes Hardening

Outils pour analyser un cluster

Kubescape

Kubescape est un outil open-source K8s fournissant une vue unique multi-cloud K8s, incluant l'analyse des risques, la conformité de sécurité, un visualiseur RBAC et le scan des vulnérabilités d'images. Kubescape analyse les clusters K8s, les fichiers YAML et les charts HELM, détectant les erreurs de configuration selon plusieurs cadres (comme le NSA-CISA, MITRE ATT&CK®), les vulnérabilités logicielles et les violations RBAC (contrôle d'accès basé sur les rôles) aux premières étapes du pipeline CI/CD, calcule instantanément le score de risque et montre les tendances de risque au fil du temps.

kubescape scan --verbose

Kube-bench

L'outil kube-bench est un outil qui vérifie si Kubernetes est déployé de manière sécurisée en exécutant les vérifications documentées dans le CIS Kubernetes Benchmark. Vous pouvez choisir de :

• exécuter kube-bench depuis un conteneur (partageant l'espace de noms PID avec l'hôte)

• exécuter un conteneur qui installe kube-bench sur l'hôte, puis exécuter kube-bench directement sur l'hôte

• installer les derniers binaires depuis la page des Releases,

• le compiler à partir des sources.

Kubeaudit

L'outil kubeaudit est un outil en ligne de commande et un package Go pour auditer les clusters Kubernetes pour diverses préoccupations de sécurité.

Kubeaudit peut détecter s'il s'exécute dans un conteneur dans un cluster. Si c'est le cas, il essaiera d'auditer toutes les ressources Kubernetes dans ce cluster :

kubeaudit all

Cet outil a également l'argument autofix pour corriger automatiquement les problèmes détectés.

Kube-hunter

L'outil kube-hunter recherche des faiblesses de sécurité dans les clusters Kubernetes. L'outil a été développé pour accroître la sensibilisation et la visibilité des problèmes de sécurité dans les environnements Kubernetes.

kube-hunter --remote some.node.com

Kubei

Kubei est un outil de scan de vulnérabilités et de référence CIS Docker qui permet aux utilisateurs d'obtenir une évaluation des risques précise et immédiate de leurs clusters Kubernetes. Kubei scanne toutes les images utilisées dans un cluster Kubernetes, y compris les images des pods d'application et des pods système.

KubiScan

KubiScan est un outil pour scanner les clusters Kubernetes à la recherche de permissions risquées dans le modèle d'autorisation basé sur les rôles (RBAC) de Kubernetes.

Managed Kubernetes Auditing Toolkit

Mkat est un outil conçu pour tester d'autres types de vérifications à haut risque par rapport aux autres outils. Il dispose principalement de 3 modes différents :

• find-role-relationships : Qui trouvera quels rôles AWS s'exécutent dans quels pods

• find-secrets : Qui essaie d'identifier des secrets dans les ressources K8s telles que les Pods, ConfigMaps et Secrets.

• test-imds-access : Qui essaiera d'exécuter des pods et d'accéder aux métadonnées v1 et v2. AVERTISSEMENT : Cela exécutera un pod dans le cluster, soyez très prudent car vous ne voudrez peut-être pas faire cela !

Audit IaC Code

Popeye

Popeye est un utilitaire qui scanne un cluster Kubernetes en direct et signale les problèmes potentiels avec les ressources et configurations déployées. Il assainit votre cluster en fonction de ce qui est déployé et non de ce qui est stocké sur le disque. En scannant votre cluster, il détecte les erreurs de configuration et vous aide à vous assurer que les meilleures pratiques sont en place, évitant ainsi de futurs maux de tête. Il vise à réduire la surcharge cognitive à laquelle on fait face lors de l'exploitation d'un cluster Kubernetes dans la nature. De plus, si votre cluster utilise un serveur de métriques, il signale les allocations de ressources sur/sous-utilisées et tente de vous avertir si votre cluster manque de capacité.

KICS

KICS trouve des vulnérabilités de sécurité, des problèmes de conformité et des erreurs de configuration d'infrastructure dans les solutions Infrastructure as Code suivantes : Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM et spécifications OpenAPI 3.0.

Checkov

Checkov est un outil d'analyse de code statique pour l'infrastructure en tant que code.

Il scanne l'infrastructure cloud provisionnée à l'aide de Terraform, du plan Terraform, de Cloudformation, de AWS SAM, de Kubernetes, de Dockerfile, de Serverless ou de ARM Templates et détecte les erreurs de configuration de sécurité et de conformité à l'aide d'un scan basé sur des graphes.

Kube-score

kube-score est un outil qui effectue une analyse de code statique de vos définitions d'objets Kubernetes.

Pour installer :

Conseils

Kubernetes PodSecurityContext et SecurityContext

Vous pouvez configurer le contexte de sécurité des Pods (avec PodSecurityContext) et des conteneurs qui vont être exécutés (avec SecurityContext). Pour plus d'informations, lisez :

Durcissement de l'API Kubernetes

Il est très important de protéger l'accès au serveur API Kubernetes car un acteur malveillant disposant de privilèges suffisants pourrait en abuser et endommager l'environnement de plusieurs manières. Il est important de sécuriser à la fois l'accès (whitelist des origines pour accéder au serveur API et refuser toute autre connexion) et l'authentification (suivant le principe du moindre privilège). Et surtout ne jamais autoriser les requêtes anonymes.

Processus de requête commun : Utilisateur ou K8s ServiceAccount –> Authentification –> Autorisation –> Contrôle d'admission.

Conseils :

• Fermez les ports.

• Évitez l'accès anonyme.

• NodeRestriction ; Pas d'accès depuis des nœuds spécifiques à l'API.

• https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction

• Cela empêche essentiellement les kubelets d'ajouter/supprimer/mettre à jour des étiquettes avec un préfixe node-restriction.kubernetes.io/. Ce préfixe d'étiquette est réservé aux administrateurs pour étiqueter leurs objets Node à des fins d'isolement des charges de travail, et les kubelets ne seront pas autorisés à modifier les étiquettes avec ce préfixe.

• Et aussi, permet aux kubelets d'ajouter/supprimer/mettre à jour ces étiquettes et préfixes d'étiquettes.

• Assurez-vous avec des étiquettes de l'isolement sécurisé des charges de travail.

• Évitez que des pods spécifiques n'accèdent à l'API.

• Évitez l'exposition de l'ApiServer à Internet.

• Évitez l'accès non autorisé RBAC.

• Port de l'ApiServer avec pare-feu et liste blanche d'IP.

Durcissement du SecurityContext

Par défaut, l'utilisateur root sera utilisé lorsqu'un Pod est démarré si aucun autre utilisateur n'est spécifié. Vous pouvez exécuter votre application dans un contexte plus sécurisé en utilisant un modèle similaire à celui-ci :

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
volumes:
- name: sec-ctx-vol
emptyDir: {}
containers:
- name: sec-ctx-demo
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
runAsNonRoot: true
volumeMounts:
- name: sec-ctx-vol
mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: true

• https://kubernetes.io/docs/tasks/configure-pod-container/security-context/

• https://kubernetes.io/docs/concepts/policy/pod-security-policy/

Renforcement Général

Vous devez mettre à jour votre environnement Kubernetes aussi souvent que nécessaire pour avoir :

• Dépendances à jour.

• Corrections de bogues et de sécurité.

Cycles de publication : Chaque 3 mois, il y a une nouvelle version mineure -- 1.20.3 = 1(Majeur).20(Minor).3(patch)

La meilleure façon de mettre à jour un cluster Kubernetes est (depuis ici) :

• Mettez à niveau les composants du nœud maître en suivant cette séquence :

• etcd (toutes les instances).

• kube-apiserver (tous les hôtes du plan de contrôle).

• kube-controller-manager.

• kube-scheduler.

• cloud controller manager, si vous en utilisez un.

• Mettez à niveau les composants du nœud de travail tels que kube-proxy, kubelet.