Kubernetes Hardening
Last updated
Last updated
Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Kubescape est un outil open-source K8s fournissant une vue unique multi-cloud K8s, incluant l'analyse des risques, la conformité de sécurité, un visualiseur RBAC et le scan des vulnérabilités d'images. Kubescape analyse les clusters K8s, les fichiers YAML et les charts HELM, détectant les erreurs de configuration selon plusieurs cadres (comme le NSA-CISA, MITRE ATT&CK®), les vulnérabilités logicielles et les violations RBAC (contrôle d'accès basé sur les rôles) aux premières étapes du pipeline CI/CD, calcule instantanément le score de risque et montre les tendances de risque au fil du temps.
L'outil kube-bench est un outil qui vérifie si Kubernetes est déployé de manière sécurisée en exécutant les vérifications documentées dans le CIS Kubernetes Benchmark. Vous pouvez choisir de :
exécuter kube-bench depuis un conteneur (partageant l'espace de noms PID avec l'hôte)
exécuter un conteneur qui installe kube-bench sur l'hôte, puis exécuter kube-bench directement sur l'hôte
installer les derniers binaires depuis la page des Releases,
le compiler à partir des sources.
L'outil kubeaudit est un outil en ligne de commande et un package Go pour auditer les clusters Kubernetes pour diverses préoccupations de sécurité.
Kubeaudit peut détecter s'il s'exécute dans un conteneur dans un cluster. Si c'est le cas, il essaiera d'auditer toutes les ressources Kubernetes dans ce cluster :
Cet outil a également l'argument autofix
pour corriger automatiquement les problèmes détectés.
L'outil kube-hunter recherche des faiblesses de sécurité dans les clusters Kubernetes. L'outil a été développé pour accroître la sensibilisation et la visibilité des problèmes de sécurité dans les environnements Kubernetes.
Kubei est un outil de scan de vulnérabilités et de référence CIS Docker qui permet aux utilisateurs d'obtenir une évaluation des risques précise et immédiate de leurs clusters Kubernetes. Kubei scanne toutes les images utilisées dans un cluster Kubernetes, y compris les images des pods d'application et des pods système.
KubiScan est un outil pour scanner les clusters Kubernetes à la recherche de permissions risquées dans le modèle d'autorisation basé sur les rôles (RBAC) de Kubernetes.
Mkat est un outil conçu pour tester d'autres types de vérifications à haut risque par rapport aux autres outils. Il dispose principalement de 3 modes différents :
find-role-relationships
: Qui trouvera quels rôles AWS s'exécutent dans quels pods
find-secrets
: Qui essaie d'identifier des secrets dans les ressources K8s telles que les Pods, ConfigMaps et Secrets.
test-imds-access
: Qui essaiera d'exécuter des pods et d'accéder aux métadonnées v1 et v2. AVERTISSEMENT : Cela exécutera un pod dans le cluster, soyez très prudent car vous ne voudrez peut-être pas faire cela !
Popeye est un utilitaire qui scanne un cluster Kubernetes en direct et signale les problèmes potentiels avec les ressources et configurations déployées. Il assainit votre cluster en fonction de ce qui est déployé et non de ce qui est stocké sur le disque. En scannant votre cluster, il détecte les erreurs de configuration et vous aide à vous assurer que les meilleures pratiques sont en place, évitant ainsi de futurs maux de tête. Il vise à réduire la surcharge cognitive à laquelle on fait face lors de l'exploitation d'un cluster Kubernetes dans la nature. De plus, si votre cluster utilise un serveur de métriques, il signale les allocations de ressources sur/sous-utilisées et tente de vous avertir si votre cluster manque de capacité.
KICS trouve des vulnérabilités de sécurité, des problèmes de conformité et des erreurs de configuration d'infrastructure dans les solutions Infrastructure as Code suivantes : Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM et spécifications OpenAPI 3.0.
Checkov est un outil d'analyse de code statique pour l'infrastructure en tant que code.
Il scanne l'infrastructure cloud provisionnée à l'aide de Terraform, du plan Terraform, de Cloudformation, de AWS SAM, de Kubernetes, de Dockerfile, de Serverless ou de ARM Templates et détecte les erreurs de configuration de sécurité et de conformité à l'aide d'un scan basé sur des graphes.
kube-score est un outil qui effectue une analyse de code statique de vos définitions d'objets Kubernetes.
Pour installer :
Binaries préconstruits pour macOS, Linux et Windows
Docker
docker pull zegl/kube-score
(Docker Hub)
Homebrew (macOS et Linux)
brew install kube-score
Krew (macOS et Linux)
kubectl krew install score
Vous pouvez configurer le contexte de sécurité des Pods (avec PodSecurityContext) et des conteneurs qui vont être exécutés (avec SecurityContext). Pour plus d'informations, lisez :
Kubernetes SecurityContext(s)Il est très important de protéger l'accès au serveur API Kubernetes car un acteur malveillant disposant de privilèges suffisants pourrait en abuser et endommager l'environnement de plusieurs manières. Il est important de sécuriser à la fois l'accès (whitelist des origines pour accéder au serveur API et refuser toute autre connexion) et l'authentification (suivant le principe du moindre privilège). Et surtout ne jamais autoriser les requêtes anonymes.
Processus de demande commun : Utilisateur ou K8s ServiceAccount –> Authentification –> Autorisation –> Contrôle d'admission.
Conseils :
Fermez les ports.
Évitez l'accès anonyme.
NodeRestriction ; Pas d'accès depuis des nœuds spécifiques à l'API.
Cela empêche essentiellement les kubelets d'ajouter/supprimer/mettre à jour des étiquettes avec un préfixe node-restriction.kubernetes.io/. Ce préfixe d'étiquette est réservé aux administrateurs pour étiqueter leurs objets Node à des fins d'isolement des charges de travail, et les kubelets ne seront pas autorisés à modifier les étiquettes avec ce préfixe.
Et aussi, permet aux kubelets d'ajouter/supprimer/mettre à jour ces étiquettes et préfixes d'étiquettes.
Assurez-vous avec des étiquettes de l'isolement sécurisé des charges de travail.
Évitez que des pods spécifiques n'accèdent à l'API.
Évitez l'exposition de l'ApiServer à Internet.
Évitez l'accès non autorisé RBAC.
Port ApiServer avec pare-feu et liste blanche d'IP.
Par défaut, l'utilisateur root sera utilisé lorsqu'un Pod est démarré si aucun autre utilisateur n'est spécifié. Vous pouvez exécuter votre application dans un contexte plus sécurisé en utilisant un modèle similaire à celui-ci :
Vous devez mettre à jour votre environnement Kubernetes aussi souvent que nécessaire pour avoir :
Dépendances à jour.
Correctifs de bogues et de sécurité.
Cycles de publication : Chaque 3 mois, il y a une nouvelle version mineure -- 1.20.3 = 1(Majeur).20(Mineur).3(correction)
La meilleure façon de mettre à jour un cluster Kubernetes est (depuis ici) :
Mettez à niveau les composants du nœud maître en suivant cette séquence :
etcd (toutes les instances).
kube-apiserver (tous les hôtes du plan de contrôle).
kube-controller-manager.
kube-scheduler.
cloud controller manager, si vous en utilisez un.
Mettez à niveau les composants du nœud de travail tels que kube-proxy, kubelet.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)