Kubernetes Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kubescape - це відкритий інструмент K8s, який надає єдину панель управління для багатохмарного K8s, включаючи аналіз ризиків, відповідність безпеки, візуалізацію RBAC та сканування вразливостей зображень. Kubescape сканує кластери K8s, файли YAML та HELM-діаграми, виявляючи неправильні налаштування відповідно до кількох фреймворків (таких як NSA-CISA, MITRE ATT&CK®), вразливості програмного забезпечення та порушення RBAC (контроль доступу на основі ролей) на ранніх етапах CI/CD, миттєво розраховує бал ризику та показує тенденції ризику з часом.
Інструмент kube-bench - це інструмент, який перевіряє, чи безпечно розгорнуто Kubernetes, виконуючи перевірки, задокументовані в CIS Kubernetes Benchmark. Ви можете вибрати:
запустити kube-bench зсередини контейнера (ділячи простір PID з хостом)
запустити контейнер, який встановлює kube-bench на хост, а потім запустити kube-bench безпосередньо на хості
встановити останні бінарні файли з Releases page,
скомпілювати його з виходу.
Інструмент kubeaudit - це інструмент командного рядка та пакет Go для аудиту кластерів Kubernetes з різних питань безпеки.
Kubeaudit може виявити, чи працює він у контейнері в кластері. Якщо так, він спробує провести аудит усіх ресурсів Kubernetes у цьому кластері:
Цей інструмент також має аргумент autofix
, щоб автоматично виправляти виявлені проблеми.
Інструмент kube-hunter шукає вразливості безпеки в кластерах Kubernetes. Інструмент був розроблений для підвищення обізнаності та видимості проблем безпеки в середовищах Kubernetes.
Kubei - це інструмент для сканування вразливостей та CIS Docker benchmark, який дозволяє користувачам отримати точну та миттєву оцінку ризику їхніх кластерів kubernetes. Kubei сканує всі образи, які використовуються в кластері Kubernetes, включаючи образи додатків та системних подів.
KubiScan - це інструмент для сканування кластера Kubernetes на наявність ризикованих дозволів у моделі авторизації на основі ролей (RBAC) Kubernetes.
Mkat - це інструмент, створений для тестування інших типів високих ризиків у порівнянні з іншими інструментами. Він має 3 різні режими:
find-role-relationships
: Який знайде, які ролі AWS працюють у яких подах
find-secrets
: Який намагається виявити секрети в ресурсах K8s, таких як Pods, ConfigMaps та Secrets.
test-imds-access
: Який спробує запустити поди та спробує отримати доступ до метаданих v1 та v2. УВАГА: Це запустить под у кластері, будьте дуже обережні, оскільки, можливо, ви не хочете цього робити!
Popeye - це утиліта, яка сканує живий кластер Kubernetes і повідомляє про потенційні проблеми з розгорнутими ресурсами та конфігураціями. Вона очищає ваш кластер на основі того, що розгорнуто, а не на основі того, що знаходиться на диску. Скануючи ваш кластер, вона виявляє неправильні конфігурації та допомагає вам забезпечити дотримання найкращих практик, запобігаючи майбутнім проблемам. Вона спрямована на зменшення когнітивного навантаження, з яким стикаються при управлінні кластером Kubernetes у реальних умовах. Крім того, якщо ваш кластер використовує metric-server, він повідомляє про потенційні надмірні/недостатні виділення ресурсів і намагається попередити вас, якщо ваш кластер вичерпає потужності.
KICS знаходить вразливості безпеки, проблеми з відповідністю та неправильні конфігурації інфраструктури в наступних Infrastructure as Code рішеннях: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM та OpenAPI 3.0 специфікаціях.
Checkov - це інструмент статичного аналізу коду для інфраструктури як коду.
Він сканує хмарну інфраструктуру, що надається за допомогою Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless або ARM Templates та виявляє проблеми з безпекою та відповідністю, використовуючи графове сканування.
kube-score - це інструмент, який виконує статичний аналіз коду ваших визначень об'єктів Kubernetes.
Щоб встановити:
Попередньо зібрані бінарні файли для macOS, Linux та Windows
Docker
Homebrew (macOS та Linux)
brew install kube-score
kubectl krew install score
Ви можете налаштувати контекст безпеки подів (з PodSecurityContext) та контекст безпеки контейнерів, які будуть запущені (з SecurityContext). Для отримання додаткової інформації читайте:
Дуже важливо захистити доступ до Kubernetes Api Server, оскільки зловмисник з достатніми привілеями може зловживати ним і завдати шкоди середовищу. Важливо забезпечити як доступ (білі списки джерел для доступу до API Server та заборонити будь-яке інше з'єднання), так і автентифікацію (дотримуючись принципу найменших привілеїв). І, безумовно, ніколи не дозволяйте анонімні запити.
Загальний процес запиту: Користувач або K8s ServiceAccount –> Автентифікація –> Авторизація –> Контроль доступу.
Поради:
Закрийте порти.
Уникайте анонімного доступу.
NodeRestriction; Немає доступу з певних вузлів до API.
В основному забороняє kubelet додавати/видаляти/оновлювати мітки з префіксом node-restriction.kubernetes.io/. Цей префікс мітки зарезервований для адміністраторів, щоб мітити свої об'єкти Node для цілей ізоляції навантаження, і kubelet не буде дозволено змінювати мітки з цим префіксом.
А також дозволяє kubelet додавати/видаляти/оновлювати ці мітки та префікси міток.
Забезпечте з мітками безпечну ізоляцію навантаження.
Уникайте доступу до API для певних подів.
Уникайте експозиції ApiServer в Інтернеті.
Уникайте несанкціонованого доступу RBAC.
Порт ApiServer з брандмауером та білими списками IP.
За замовчуванням користувач root буде використовуватися, коли под запускається, якщо не вказано іншого користувача. Ви можете запустити свій додаток у більш безпечному контексті, використовуючи шаблон, подібний до наступного:
Вам слід оновлювати ваше середовище Kubernetes так часто, як це необхідно, щоб мати:
Актуальні залежності.
Виправлення помилок та безпеки.
Цикли випуску: Кожні 3 місяці виходить новий незначний реліз -- 1.20.3 = 1(Основний).20(Неважливий).3(патч)
Найкращий спосіб оновити кластер Kubernetes це (з тут):
Оновіть компоненти Master Node, дотримуючись цієї послідовності:
etcd (всі екземпляри).
kube-apiserver (всі хости контрольної площини).
kube-controller-manager.
kube-scheduler.
cloud controller manager, якщо ви його використовуєте.
Оновіть компоненти Worker Node, такі як kube-proxy, kubelet.
docker pull zegl/kube-score
(
(macOS та Linux)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)