Kubernetes Hardening

Tools zur Analyse eines Clusters

Kubescape

Kubescape ist ein K8s Open-Source-Tool, das eine Multi-Cloud-K8s-Übersicht bietet, einschließlich Risikoanalyse, Sicherheitskonformität, RBAC-Visualisierung und Scannen von Bildschwachstellen. Kubescape scannt K8s-Cluster, YAML-Dateien und HELM-Charts, erkennt Fehlkonfigurationen gemäß mehrerer Frameworks (wie dem NSA-CISA, MITRE ATT&CK®), Software-Schwachstellen und RBAC-Verstöße (rollenbasierte Zugriffskontrolle) in frühen Phasen des CI/CD-Pipelines, berechnet das Risiko sofort und zeigt Risikotrends im Laufe der Zeit an.

kubescape scan --verbose

Kube-bench

Das Tool kube-bench ist ein Tool, das überprüft, ob Kubernetes sicher bereitgestellt ist, indem es die in der CIS Kubernetes Benchmark dokumentierten Überprüfungen ausführt. Sie können wählen:

• kube-bench innerhalb eines Containers ausführen (PID-Namespace mit dem Host teilen)

• Einen Container ausführen, der kube-bench auf dem Host installiert und dann kube-bench direkt auf dem Host ausführt

• Die neuesten Binärdateien von der Releases-Seite installieren,

• Es aus dem Quellcode kompilieren.

Kubeaudit

Das Tool kubeaudit ist ein Befehlszeilentool und ein Go-Paket zum Auditing von Kubernetes-Clustern hinsichtlich verschiedener Sicherheitsbedenken.

Kubeaudit kann erkennen, ob es in einem Container in einem Cluster ausgeführt wird. In diesem Fall wird versucht, alle Kubernetes-Ressourcen in diesem Cluster zu überprüfen:

kubeaudit all

Dieses Tool verfügt auch über das Argument autofix, um automatisch erkannte Probleme zu beheben.

Kube-hunter

Das Tool kube-hunter sucht nach Sicherheitsschwachstellen in Kubernetes-Clustern. Das Tool wurde entwickelt, um das Bewusstsein und die Sichtbarkeit für Sicherheitsprobleme in Kubernetes-Umgebungen zu erhöhen.

kube-hunter --remote some.node.com

Kubei

Kubei ist ein Tool zur Schwachstellenanalyse und CIS Docker-Benchmark-Tool, das es Benutzern ermöglicht, eine genaue und sofortige Risikobewertung ihrer Kubernetes-Cluster zu erhalten. Kubei scannt alle Bilder, die in einem Kubernetes-Cluster verwendet werden, einschließlich Bilder von Anwendungspods und Systempods.

KubiScan

KubiScan ist ein Tool zur Überprüfung von Kubernetes-Clustern auf riskante Berechtigungen im Rollenbasierten Zugriffskontrollmodell (RBAC) von Kubernetes.

Managed Kubernetes Auditing Toolkit

Mkat ist ein Tool, das entwickelt wurde, um andere Arten von hochriskanten Checks im Vergleich zu anderen Tools zu testen. Es hat hauptsächlich 3 verschiedene Modi:

• find-role-relationships: Ermittelt, welche AWS-Rollen in welchen Pods ausgeführt werden.

• find-secrets: Versucht, Geheimnisse in K8s-Ressourcen wie Pods, ConfigMaps und Secrets zu identifizieren.

• test-imds-access: Versucht, Pods auszuführen und auf die Metadaten v1 und v2 zuzugreifen. WARNUNG: Dies führt einen Pod im Cluster aus, seien Sie sehr vorsichtig, da Sie dies möglicherweise nicht tun möchten!

Audit des IaC-Codes

Popeye

Popeye ist ein Dienstprogramm, das live Kubernetes-Cluster scannt und potenzielle Probleme mit bereitgestellten Ressourcen und Konfigurationen meldet. Es bereinigt Ihren Cluster basierend auf dem, was bereitgestellt ist, und nicht auf dem, was auf der Festplatte liegt. Durch Scannen Ihres Clusters erkennt es Fehlkonfigurationen und hilft Ihnen sicherzustellen, dass bewährte Verfahren eingehalten werden, um zukünftige Kopfschmerzen zu vermeiden. Es zielt darauf ab, die kognitive Überlastung zu reduzieren, mit der man konfrontiert ist, wenn man einen Kubernetes-Cluster in freier Wildbahn betreibt. Darüber hinaus meldet es potenzielle Ressourcenüber- oder -unterauslastungen, wenn Ihr Cluster über Kapazität läuft.

KICS

KICS findet Sicherheitslücken, Compliance-Probleme und Infrastrukturfehlkonfigurationen in den folgenden Infrastruktur als Code-Lösungen: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM und OpenAPI 3.0-Spezifikationen

Checkov

Checkov ist ein statisches Code-Analysetool für Infrastruktur als Code.

Es scannt Cloud-Infrastruktur, die mit Terraform, Terraform-Plan, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless oder ARM-Vorlagen bereitgestellt wurde, und erkennt Sicherheits- und Compliance-Fehlkonfigurationen mithilfe von graphenbasiertem Scannen.

Kube-score

kube-score ist ein Tool, das eine statische Codeanalyse Ihrer Kubernetes-Objektdefinitionen durchführt.

Zur Installation:

Tipps

Kubernetes PodSecurityContext und SecurityContext

Sie können den Sicherheitskontext der Pods (mit PodSecurityContext) und der Container, die ausgeführt werden sollen (mit SecurityContext), konfigurieren. Lesen Sie für weitere Informationen:

Kubernetes-API-Härtung

Es ist sehr wichtig, den Zugriff auf den Kubernetes-API-Server zu schützen, da ein bösartiger Akteur mit ausreichenden Berechtigungen diesen missbrauchen und die Umgebung auf vielfältige Weise beschädigen könnte. Es ist wichtig, sowohl den Zugriff (Ursprünge für den Zugriff auf den API-Server whitelisten und jede andere Verbindung ablehnen) als auch die Authentifizierung (nach dem Prinzip des geringsten Privilegs) zu sichern. Und definitiv niemals anonyme Anfragen zulassen.

Gängiger Anfrageprozess: Benutzer oder K8s-Servicekonto –> Authentifizierung –> Autorisierung –> Zulassungssteuerung.

Tipps:

• Ports schließen.

• Anonymen Zugriff vermeiden.

• NodeRestriction; Kein Zugriff von bestimmten Knoten auf die API.

• https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction

• Verhindert im Wesentlichen, dass Kubelets Labels mit einem node-restriction.kubernetes.io/-Präfix hinzufügen/entfernen/aktualisieren. Dieses Labelpräfix ist für Administratoren reserviert, um ihre Knotenobjekte für Zwecke der Arbeitslastisolierung zu kennzeichnen, und Kubelets dürfen Labels mit diesem Präfix nicht ändern.

• Ermöglicht Kubelets auch das Hinzufügen/Entfernen/Aktualisieren dieser Labels und Labelpräfixe.

• Stellen Sie mit Labels die sichere Arbeitslastisolierung sicher.

• Bestimmte Pods vom API-Zugriff ausschließen.

• Exponieren Sie den ApiServer nicht im Internet.

• Unberechtigten Zugriff RBAC vermeiden.

• ApiServer-Port mit Firewall und IP-Whitelisting.

SecurityContext-Härtung

Standardmäßig wird der Root-Benutzer verwendet, wenn ein Pod gestartet wird, wenn kein anderer Benutzer angegeben ist. Sie können Ihre Anwendung in einem sichereren Kontext ausführen, indem Sie eine Vorlage ähnlich der folgenden verwenden:

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
volumes:
- name: sec-ctx-vol
emptyDir: {}
containers:
- name: sec-ctx-demo
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
runAsNonRoot: true
volumeMounts:
- name: sec-ctx-vol
mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: true

• https://kubernetes.io/docs/tasks/configure-pod-container/security-context/

• https://kubernetes.io/docs/concepts/policy/pod-security-policy/

Allgemeine Härtung

Sie sollten Ihre Kubernetes-Umgebung so häufig wie nötig aktualisieren, um sicherzustellen, dass:

• Abhängigkeiten auf dem neuesten Stand sind.

• Fehler- und Sicherheitspatches installiert sind.

Versionszyklen: Alle 3 Monate gibt es eine neue Nebenversion -- 1.20.3 = 1(Hauptversion).20(Nebenversion).3(Patch)

Der beste Weg, ein Kubernetes-Cluster zu aktualisieren, ist (von hier):

• Aktualisieren Sie die Master-Komponenten in folgender Reihenfolge:

• etcd (alle Instanzen).

• kube-apiserver (alle Steuerungsebene-Hosts).

• kube-controller-manager.

• kube-scheduler.

• Cloud-Controller-Manager, wenn Sie einen verwenden.

• Aktualisieren Sie die Worker-Komponenten wie kube-proxy, kubelet.