Kubernetes Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kubescape — це відкритий інструмент K8s, який надає єдину панель управління для багатохмарного K8s, включаючи аналіз ризиків, відповідність безпеки, візуалізацію RBAC та сканування вразливостей зображень. Kubescape сканує кластери K8s, файли YAML та HELM-діаграми, виявляючи неправильні налаштування відповідно до кількох фреймворків (таких як NSA-CISA, MITRE ATT&CK®), вразливості програмного забезпечення та порушення RBAC (контроль доступу на основі ролей) на ранніх етапах CI/CD, миттєво розраховує бал ризику та показує тенденції ризику з часом.
Інструмент kube-bench - це інструмент, який перевіряє, чи безпечно розгорнуто Kubernetes, виконуючи перевірки, задокументовані в CIS Kubernetes Benchmark. Ви можете вибрати:
запустити kube-bench зсередини контейнера (ділячи простір PID з хостом)
запустити контейнер, який встановлює kube-bench на хост, а потім запустити kube-bench безпосередньо на хості
встановити останні бінарні файли з Releases page,
скомпілювати його з виходу.
Інструмент kubeaudit - це інструмент командного рядка та пакет Go для аудиту кластерів Kubernetes з різних питань безпеки.
Kubeaudit може виявити, чи працює він у контейнері в кластері. Якщо так, він спробує провести аудит усіх ресурсів Kubernetes у цьому кластері:
Цей інструмент також має аргумент autofix
, щоб автоматично виправляти виявлені проблеми.
Інструмент kube-hunter шукає вразливості в безпеці в кластерах Kubernetes. Інструмент був розроблений для підвищення обізнаності та видимості проблем безпеки в середовищах Kubernetes.
Kubei - це інструмент для сканування вразливостей та стандартів CIS Docker, який дозволяє користувачам отримати точну та миттєву оцінку ризиків їхніх кластерів Kubernetes. Kubei сканує всі образи, які використовуються в кластері Kubernetes, включаючи образи додатків та системних подів.
KubiScan - це інструмент для сканування кластеру Kubernetes на наявність ризикованих дозволів у моделі авторизації на основі ролей (RBAC) Kubernetes.
Mkat - це інструмент, створений для тестування інших типів високих ризиків у порівнянні з іншими інструментами. Він має 3 різні режими:
find-role-relationships
: Який знайде, які ролі AWS працюють у яких подах
find-secrets
: Який намагається виявити секрети в ресурсах K8s, таких як Pods, ConfigMaps та Secrets.
test-imds-access
: Який спробує запустити поди та спробувати отримати доступ до метаданих v1 та v2. УВАГА: Це запустить под у кластері, будьте дуже обережні, оскільки ви, можливо, не хочете цього робити!
Popeye - це утиліта, яка сканує живий кластер Kubernetes та повідомляє про потенційні проблеми з розгорнутими ресурсами та конфігураціями. Вона очищає ваш кластер на основі того, що розгорнуто, а не на основі того, що знаходиться на диску. Скануючи ваш кластер, вона виявляє неправильні конфігурації та допомагає вам забезпечити дотримання найкращих практик, запобігаючи майбутнім проблемам. Вона спрямована на зменшення когнітивного навантаження, з яким стикаються при управлінні кластером Kubernetes у реальних умовах. Крім того, якщо ваш кластер використовує сервер метрик, він повідомляє про потенційні надмірні/недостатні виділення ресурсів і намагається попередити вас, якщо ваш кластер вичерпає ресурси.
KICS знаходить вразливості безпеки, проблеми відповідності та неправильні конфігурації інфраструктури в наступних рішеннях Інфраструктури як Код: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM та специфікаціях OpenAPI 3.0.
Checkov - це інструмент статичного аналізу коду для інфраструктури як коду.
Він сканує хмарну інфраструктуру, що надається за допомогою Terraform, плану Terraform, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless або ARM Templates та виявляє неправильні конфігурації безпеки та відповідності за допомогою графового сканування.
kube-score - це інструмент, який виконує статичний аналіз коду ваших визначень об'єктів Kubernetes.
Щоб встановити:
Ви можете налаштувати контекст безпеки подів (з PodSecurityContext) та контекст безпеки контейнерів, які будуть запущені (з SecurityContext). Для отримання додаткової інформації читайте:
Дуже важливо захистити доступ до сервера API Kubernetes, оскільки зловмисник з достатніми привілеями може зловживати ним і завдати шкоди середовищу. Важливо забезпечити як доступ (білі списки джерел для доступу до сервера API та заборонити будь-яке інше з'єднання), так і автентифікацію (дотримуючись принципу найменших привілеїв). І, безумовно, ніколи не дозволяйте анонімні запити.
Загальний процес запиту: Користувач або K8s ServiceAccount –> Автентифікація –> Авторизація –> Контроль доступу.
Поради:
Закрийте порти.
Уникайте анонімного доступу.
NodeRestriction; Немає доступу з певних вузлів до API.
В основному забороняє kubelet додавати/видаляти/оновлювати мітки з префіксом node-restriction.kubernetes.io/. Цей префікс мітки зарезервований для адміністраторів, щоб мітити свої об'єкти Node для цілей ізоляції навантаження, і kubelet не буде дозволено змінювати мітки з цим префіксом.
А також дозволяє kubelet додавати/видаляти/оновлювати ці мітки та префікси міток.
Забезпечте з мітками безпечну ізоляцію навантаження.
Уникайте доступу до API для певних подів.
Уникайте експозиції ApiServer в Інтернеті.
Уникайте несанкціонованого доступу RBAC.
Порт ApiServer з брандмауером та білим списком IP.
За замовчуванням, користувач root буде використовуватися, коли под запускається, якщо не вказано іншого користувача. Ви можете запустити свій додаток у більш безпечному контексті, використовуючи шаблон, подібний до наступного:
Вам слід оновлювати ваше середовище Kubernetes так часто, як це необхідно, щоб мати:
Актуальні залежності.
Виправлення помилок та безпеки.
Цикли випуску: Кожні 3 місяці виходить новий незначний реліз -- 1.20.3 = 1(Основний).20(Неважливий).3(патч)
Найкращий спосіб оновити кластер Kubernetes це (з тут):
Оновіть компоненти Master Node, дотримуючись цієї послідовності:
etcd (всі екземпляри).
kube-apiserver (всі хости контрольної площини).
kube-controller-manager.
kube-scheduler.
cloud controller manager, якщо ви його використовуєте.
Оновіть компоненти Worker Node, такі як kube-proxy, kubelet.
Дистрибуція | Команда / Посилання |
---|---|
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)