Kubernetes Hardening
क्लस्टर का विश्लेषण करने के लिए उपकरण
Kubescape
Kubescape एक K8s ओपन-सोर्स उपकरण है जो एक मल्टी-क्लाउड K8s सिंगल पेन ऑफ ग्लास प्रदान करता है, जिसमें रिस्क विश्लेषण, सुरक्षा अनुपालन, RBAC विज़ुअलाइज़र और इमेज जोखिमों की स्कैनिंग शामिल है। Kubescape K8s क्लस्टर, YAML फ़ाइलें और HELM चार्ट को स्कैन करता है, एनएसए-सीआईएसए (NSA-CISA) और MITRE ATT&CK® जैसे अनेक फ़्रेमवर्क के अनुसार गलतियों, सॉफ़्टवेयर जोखिमों और RBAC (रोल-आधारित-पहुँच-नियंत्रण) उल्लंघनों का पता लगाता है, सीआई/सीडी पाइपलाइन के पहले चरणों में रिस्क स्कोर की गणना करता है और समय के साथ रिस्क रुझान दिखाता है।
Kube-bench
टूल kube-bench एक टूल है जो CIS Kubernetes Benchmark में दस्तावेज़ीकृत जांचों को चलाकर यह जांचता है कि Kubernetes सुरक्षित रूप से डिप्लॉय हो रहा है। आप निम्नलिखित में से चुन सकते हैं:
कंटेनर के अंदर से kube-bench चलाएं (होस्ट के साथ PID नेमस्पेस साझा करें)
होस्ट पर kube-bench को स्थापित करने वाले कंटेनर को चलाएं, और फिर सीधे होस्ट पर kube-bench चलाएं
रिलीज़ पेज से नवीनतम बाइनरी स्थापित करें,
स्रोत से इसे कंपाइल करें।
Kubeaudit
टूल kubeaudit एक कमांड लाइन टूल और एक Go पैकेज है जो कई विभिन्न सुरक्षा सम्बंधित चिंताओं के लिए Kubernetes क्लस्टरों की ऑडिट कर सकता है।
Kubeaudit यह जांच सकता है कि क्या यह कंटेनर में एक क्लस्टर के भीतर चल रहा है। यदि हां, तो यह कोशिश करेगा कि उस क्लस्टर में सभी Kubernetes संसाधनों की ऑडिट करें:
इस टूल में autofix
तर्क भी होता है जो खोजी गई समस्याओं को स्वचालित रूप से ठीक करता है।
Kube-hunter
यह टूल kube-hunter Kubernetes क्लस्टर में सुरक्षा कमजोरियों की खोज करता है। यह टूल Kubernetes पर्यावरण में सुरक्षा समस्याओं के लिए जागरूकता और दृश्यता बढ़ाने के लिए विकसित किया गया है।
Kubei
Kubei एक vulnerabilities scanning और CIS Docker benchmark टूल है जो उपयोगकर्ताओं को उनके कुबरनेटीज़ क्लस्टर का सटीक और तत्कालिक जोखिम मूल्यांकन प्राप्त करने की अनुमति देता है। Kubei कुबरनेटीज़ क्लस्टर में उपयोग हो रही सभी इमेजों की स्कैनिंग करता है, सहित अनुप्रयोग पॉड और सिस्टम पॉडों की इमेजेज़।
KubiScan
KubiScan कुबरनेटीज़ क्लस्टर को स्कैन करने के लिए एक टूल है जो कुबरनेटीज़ के भूमिका-आधारित पहुँच नियंत्रण (RBAC) अधिकाराधिकार मॉडल में जोखिमपूर्ण अनुमतियों की जांच करता है।
IaC कोड की लेखीकरण
Popeye
Popeye एक उपयोगीता है जो लाइव कुबरनेटीज़ क्लस्टर की स्कैन करती है और डिप्लॉय किए गए संसाधनों और कॉन्फ़िगरेशन के साथ संबंधित संभावित समस्याओं की रिपोर्ट करती है। यह आपके क्लस्टर को वही जांचता है जो डिप्लॉय किया गया है और नहीं जो डिस्क पर है। अपने क्लस्टर की स्कैनिंग करके, यह गलत कॉन्फ़िगरेशन की पहचान करता है और आपको सुनिश्चित करने में मदद करता है कि सर्वोत्तम अभ्यास स्थान में हैं, इससे भविष्य की परेशानियों से बचा जा सके। यह जंगली में एक कुबरनेटीज़ क्लस्टर को चलाने के समय एक व्यक्ति को सामजिक दबाव को कम करने का उद्देश्य रखता है। इसके अलावा, यदि आपके क्लस्टर में एक मीट्रिक-सर्वर है, तो यह संभावित संसाधन अधिरोहण/अधिरोहण और चेतावनी देने का प्रयास करता है कि आपके क्लस्टर की क्षमता की कमी हो जाए।
Kicks
KICS निम्नलिखित इंफ्रास्ट्रक्चर जैसे कोड समाधानों में सुरक्षा जोखिम, अनुपालन समस्याएं और ढांचा गलतियों की खोज करता है: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM, और OpenAPI 3.0 निर्देशिकाएँ
Checkov
Checkov एक स्थिर कोड विश्लेषण टूल है जो इंफ्रास्ट्रक्चर-जैसे कोड के लिए है।
यह Terraform, Terraform प्लान, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless या ARM Templates का उपयोग करके बनाए गए क्लाउड इंफ्रास्ट्रक्चर की स्थानीय विन्यास की स्थिरता और सुरक्षा गलतियों का ग्राफ-आधारित स्कैन करता है।
Kube-score
kube-score एक टूल है जो आपके कुबरनेटीज़ ऑब्जेक्ट परिभाषाओं का स्थिर कोड विश्लेषण करता है।
स्थापित करने के लिए:
वितरण | कमांड / लिंक |
---|---|
macOS, Linux, और Windows के लिए पूर्व-निर्मित बाइनरी | |
Docker |
|
Homebrew (macOS और Linux) |
|
Krew (macOS और Linux) |
|
सुझाव
Falco के साथ मॉनिटरिंग
Kubernetes PodSecurityContext और SecurityContext
आप पॉड की सुरक्षा संदर्भ (PodSecurityContext के साथ) और चलाए जाने वाले कंटेनर्स की सुरक्षा संदर्भ (SecurityContext के साथ) को कॉन्फ़िगर कर सकते हैं। अधिक जानकारी के लिए पढ़ें:
pageKubernetes SecurityContext(s)Kubernetes API Hardening
कुबरनेटीज़ एपीआई सर्वर की पहुँच की सुरक्षा को सुरक्षित करना बहुत महत्वपूर्ण है क्योंकि पर्याप्त अधिकारों के साथ एक दुष्ट कारक व्यक्ति इसका दुरुपयोग कर सकता है और वातावरण को कई तरीकों से क्षति पहुँचा सकता है। इसके लिए पहुँच (व्हाइटलिस्ट मूल्यों को एपीआई सर्वर तक पहुँचने की अनुमति दें और किसी अन्य कनेक्शन को अस्वीकार करें) और प्रमाणीकरण (न्यूनतम विशेषाधिकार के सिद्धांत का पालन करें) दोनों महत्वपूर्ण है। और निश्चित रूप से कभी भी अनामित अनुरोधों की अनुमति न दें।
सामान्य अनुरोध प्रक्रिया: उपयोगक
Kubernetes NetworkPolicies
सामान्य हार्डनिंग
आपको अपने Kubernetes पर्यावरण को नवीनतम अवस्था में अपडेट करना चाहिए ताकि:
आवश्यकतानुसार आपके डिपेंडेंसीज अपडेट हों।
बग और सुरक्षा पैचेस हों।
रिलीज साइकल: हर 3 महीने में एक नया माइनर रिलीज होता है -- 1.20.3 = 1(मेजर).20(माइनर).3(पैच)
Kubernetes क्लस्टर को अपडेट करने का सबसे अच्छा तरीका है (यहां से) यहां):
इस क्रम में मास्टर नोड के कंपोनेंट्स को अपग्रेड करें:
etcd (सभी इंस्टेंसेज़)।
kube-apiserver (सभी कंट्रोल प्लेन होस्ट्स)।
kube-controller-manager।
kube-scheduler।
यदि आप उपयोग करते हैं, तो क्लाउड कंट्रोलर मैनेजर।
kube-proxy, kubelet जैसे वर्कर नोड के कंपोनेंट्स को अपग्रेड करें।
Last updated