Hindi - Ht Cloud

Kubernetes Hardening

हैकट्रिक्स का समर्थन करें और लाभ प्राप्त करें!

क्लस्टर का विश्लेषण करने के लिए उपकरण

Kubescape

Kubescape एक K8s ओपन-सोर्स उपकरण है जो एक मल्टी-क्लाउड K8s सिंगल पेन ऑफ ग्लास प्रदान करता है, जिसमें रिस्क विश्लेषण, सुरक्षा अनुपालन, RBAC विज़ुअलाइज़र और इमेज जोखिमों की स्कैनिंग शामिल है। Kubescape K8s क्लस्टर, YAML फ़ाइलें और HELM चार्ट को स्कैन करता है, एनएसए-सीआईएसए (NSA-CISA) और MITRE ATT&CK® जैसे अनेक फ़्रेमवर्क के अनुसार गलतियों, सॉफ़्टवेयर जोखिमों और RBAC (रोल-आधारित-पहुँच-नियंत्रण) उल्लंघनों का पता लगाता है, सीआई/सीडी पाइपलाइन के पहले चरणों में रिस्क स्कोर की गणना करता है और समय के साथ रिस्क रुझान दिखाता है।

kubescape scan --verbose

Kube-bench

टूल kube-bench एक टूल है जो CIS Kubernetes Benchmark में दस्तावेज़ीकृत जांचों को चलाकर यह जांचता है कि Kubernetes सुरक्षित रूप से डिप्लॉय हो रहा है। आप निम्नलिखित में से चुन सकते हैं:

  • कंटेनर के अंदर से kube-bench चलाएं (होस्ट के साथ PID नेमस्पेस साझा करें)

  • होस्ट पर kube-bench को स्थापित करने वाले कंटेनर को चलाएं, और फिर सीधे होस्ट पर kube-bench चलाएं

  • रिलीज़ पेज से नवीनतम बाइनरी स्थापित करें,

  • स्रोत से इसे कंपाइल करें।

Kubeaudit

टूल kubeaudit एक कमांड लाइन टूल और एक Go पैकेज है जो कई विभिन्न सुरक्षा सम्बंधित चिंताओं के लिए Kubernetes क्लस्टरों की ऑडिट कर सकता है।

Kubeaudit यह जांच सकता है कि क्या यह कंटेनर में एक क्लस्टर के भीतर चल रहा है। यदि हां, तो यह कोशिश करेगा कि उस क्लस्टर में सभी Kubernetes संसाधनों की ऑडिट करें:

kubeaudit all

इस टूल में autofix तर्क भी होता है जो खोजी गई समस्याओं को स्वचालित रूप से ठीक करता है।

Kube-hunter

यह टूल kube-hunter Kubernetes क्लस्टर में सुरक्षा कमजोरियों की खोज करता है। यह टूल Kubernetes पर्यावरण में सुरक्षा समस्याओं के लिए जागरूकता और दृश्यता बढ़ाने के लिए विकसित किया गया है।

kube-hunter --remote some.node.com

Kubei

Kubei एक vulnerabilities scanning और CIS Docker benchmark टूल है जो उपयोगकर्ताओं को उनके कुबरनेटीज़ क्लस्टर का सटीक और तत्कालिक जोखिम मूल्यांकन प्राप्त करने की अनुमति देता है। Kubei कुबरनेटीज़ क्लस्टर में उपयोग हो रही सभी इमेजों की स्कैनिंग करता है, सहित अनुप्रयोग पॉड और सिस्टम पॉडों की इमेजेज़।

KubiScan

KubiScan कुबरनेटीज़ क्लस्टर को स्कैन करने के लिए एक टूल है जो कुबरनेटीज़ के भूमिका-आधारित पहुँच नियंत्रण (RBAC) अधिकाराधिकार मॉडल में जोखिमपूर्ण अनुमतियों की जांच करता है।

IaC कोड की लेखीकरण

Popeye

Popeye एक उपयोगीता है जो लाइव कुबरनेटीज़ क्लस्टर की स्कैन करती है और डिप्लॉय किए गए संसाधनों और कॉन्फ़िगरेशन के साथ संबंधित संभावित समस्याओं की रिपोर्ट करती है। यह आपके क्लस्टर को वही जांचता है जो डिप्लॉय किया गया है और नहीं जो डिस्क पर है। अपने क्लस्टर की स्कैनिंग करके, यह गलत कॉन्फ़िगरेशन की पहचान करता है और आपको सुनिश्चित करने में मदद करता है कि सर्वोत्तम अभ्यास स्थान में हैं, इससे भविष्य की परेशानियों से बचा जा सके। यह जंगली में एक कुबरनेटीज़ क्लस्टर को चलाने के समय एक व्यक्ति को सामजिक दबाव को कम करने का उद्देश्य रखता है। इसके अलावा, यदि आपके क्लस्टर में एक मीट्रिक-सर्वर है, तो यह संभावित संसाधन अधिरोहण/अधिरोहण और चेतावनी देने का प्रयास करता है कि आपके क्लस्टर की क्षमता की कमी हो जाए।

Kicks

KICS निम्नलिखित इंफ्रास्ट्रक्चर जैसे कोड समाधानों में सुरक्षा जोखिम, अनुपालन समस्याएं और ढांचा गलतियों की खोज करता है: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM, और OpenAPI 3.0 निर्देशिकाएँ

Checkov

Checkov एक स्थिर कोड विश्लेषण टूल है जो इंफ्रास्ट्रक्चर-जैसे कोड के लिए है।

यह Terraform, Terraform प्लान, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless या ARM Templates का उपयोग करके बनाए गए क्लाउड इंफ्रास्ट्रक्चर की स्थानीय विन्यास की स्थिरता और सुरक्षा गलतियों का ग्राफ-आधारित स्कैन करता है।

Kube-score

kube-score एक टूल है जो आपके कुबरनेटीज़ ऑब्जेक्ट परिभाषाओं का स्थिर कोड विश्लेषण करता है।

स्थापित करने के लिए:

वितरणकमांड / लिंक

macOS, Linux, और Windows के लिए पूर्व-निर्मित बाइनरी

GitHub releases

Docker

docker pull zegl/kube-score (Docker Hub)

Homebrew (macOS और Linux)

brew install kube-score

Krew (macOS और Linux)

kubectl krew install score

सुझाव

Falco के साथ मॉनिटरिंग

Kubernetes PodSecurityContext और SecurityContext

आप पॉड की सुरक्षा संदर्भ (PodSecurityContext के साथ) और चलाए जाने वाले कंटेनर्स की सुरक्षा संदर्भ (SecurityContext के साथ) को कॉन्फ़िगर कर सकते हैं। अधिक जानकारी के लिए पढ़ें:

pageKubernetes SecurityContext(s)

Kubernetes API Hardening

कुबरनेटीज़ एपीआई सर्वर की पहुँच की सुरक्षा को सुरक्षित करना बहुत महत्वपूर्ण है क्योंकि पर्याप्त अधिकारों के साथ एक दुष्ट कारक व्यक्ति इसका दुरुपयोग कर सकता है और वातावरण को कई तरीकों से क्षति पहुँचा सकता है। इसके लिए पहुँच (व्हाइटलिस्ट मूल्यों को एपीआई सर्वर तक पहुँचने की अनुमति दें और किसी अन्य कनेक्शन को अस्वीकार करें) और प्रमाणीकरण (न्यूनतम विशेषाधिकार के सिद्धांत का पालन करें) दोनों महत्वपूर्ण है। और निश्चित रूप से कभी भी अनामित अनुरोधों की अनुमति न दें

सामान्य अनुरोध प्रक्रिया: उपयोगक

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
volumes:
- name: sec-ctx-vol
emptyDir: {}
containers:
- name: sec-ctx-demo
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
runAsNonRoot: true
volumeMounts:
- name: sec-ctx-vol
mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: true

Kubernetes NetworkPolicies

सामान्य हार्डनिंग

आपको अपने Kubernetes पर्यावरण को नवीनतम अवस्था में अपडेट करना चाहिए ताकि:

  • आवश्यकतानुसार आपके डिपेंडेंसीज अपडेट हों।

  • बग और सुरक्षा पैचेस हों।

रिलीज साइकल: हर 3 महीने में एक नया माइनर रिलीज होता है -- 1.20.3 = 1(मेजर).20(माइनर).3(पैच)

Kubernetes क्लस्टर को अपडेट करने का सबसे अच्छा तरीका है (यहां से) यहां):

  • इस क्रम में मास्टर नोड के कंपोनेंट्स को अपग्रेड करें:

  • etcd (सभी इंस्टेंसेज़)।

  • kube-apiserver (सभी कंट्रोल प्लेन होस्ट्स)।

  • kube-controller-manager।

  • kube-scheduler।

  • यदि आप उपयोग करते हैं, तो क्लाउड कंट्रोलर मैनेजर।

  • kube-proxy, kubelet जैसे वर्कर नोड के कंपोनेंट्स को अपग्रेड करें।

हैकट्रिक्स का समर्थन करें और लाभ प्राप्त करें!
PreviousKubernetes Network AttacksNextKubernetes SecurityContext(s)

Last updated