Português - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Kubernetes Hardening

Apoie o HackTricks

Ferramentas para analisar um cluster

Kubescape

Kubescape é uma ferramenta open-source do K8s que fornece uma visão única do K8s em várias nuvens, incluindo análise de riscos, conformidade de segurança, visualizador RBAC e verificação de vulnerabilidades de imagem. O Kubescape escaneia clusters K8s, arquivos YAML e gráficos HELM, detectando configurações incorretas de acordo com vários frameworks (como o NSA-CISA, MITRE ATT&CK®), vulnerabilidades de software e violações de RBAC (controle de acesso baseado em função) nos estágios iniciais do pipeline CI/CD, calcula a pontuação de risco instantaneamente e mostra tendências de risco ao longo do tempo.

kubescape scan --verbose

Kube-bench

A ferramenta kube-bench é uma ferramenta que verifica se o Kubernetes está implantado de forma segura executando as verificações documentadas no CIS Kubernetes Benchmark. Você pode optar por:

  • executar o kube-bench de dentro de um contêiner (compartilhando o namespace PID com o host)

  • executar um contêiner que instala o kube-bench no host e, em seguida, executar o kube-bench diretamente no host

  • instalar os binários mais recentes na página de Releases,

  • compilá-lo a partir do código-fonte.

Kubeaudit

A ferramenta kubeaudit é uma ferramenta de linha de comando e um pacote Go para auditar clusters Kubernetes em relação a várias preocupações de segurança diferentes.

O Kubeaudit pode detectar se está sendo executado dentro de um contêiner em um cluster. Se sim, ele tentará auditar todos os recursos do Kubernetes nesse cluster:

kubeaudit all

Este tool também possui o argumento autofix para corrigir automaticamente problemas detectados.

Kube-hunter

A ferramenta kube-hunter busca por vulnerabilidades de segurança em clusters Kubernetes. A ferramenta foi desenvolvida para aumentar a conscientização e visibilidade de problemas de segurança em ambientes Kubernetes.

kube-hunter --remote some.node.com

Kubei

Kubei é uma ferramenta de verificação de vulnerabilidades e benchmark CIS Docker que permite aos usuários obter uma avaliação de risco precisa e imediata de seus clusters Kubernetes. Kubei escaneia todas as imagens que estão sendo usadas em um cluster Kubernetes, incluindo imagens de pods de aplicativos e pods de sistema.

KubiScan

KubiScan é uma ferramenta para escanear clusters Kubernetes em busca de permissões arriscadas no modelo de autorização baseado em funções (RBAC) do Kubernetes.

Managed Kubernetes Auditing Toolkit

Mkat é uma ferramenta construída para testar outros tipos de verificações de alto risco em comparação com outras ferramentas. Principalmente possui 3 modos diferentes:

  • find-role-relationships: Que encontrará quais funções da AWS estão sendo executadas em quais pods

  • find-secrets: Que tenta identificar segredos em recursos do K8s como Pods, ConfigMaps e Secrets.

  • test-imds-access: Que tentará executar pods e tentará acessar os metadados v1 e v2. AVISO: Isso executará um pod no cluster, tenha muito cuidado, pois talvez você não queira fazer isso!

Auditoria de Código IaC

Popeye

Popeye é uma utilidade que escaneia o cluster Kubernetes em tempo real e relata possíveis problemas com os recursos e configurações implantados. Ele higieniza seu cluster com base no que está implantado e não no que está armazenado em disco. Ao escanear seu cluster, ele detecta configurações incorretas e ajuda a garantir que as melhores práticas estejam em vigor, evitando assim dores de cabeça futuras. Ele visa reduzir a sobrecarga cognitiva enfrentada ao operar um cluster Kubernetes em ambiente real. Além disso, se seu cluster emprega um servidor de métricas, ele relata possíveis alocações excessivas ou insuficientes de recursos e tenta alertá-lo caso seu cluster fique sem capacidade.

KICS

KICS encontra vulnerabilidades de segurança, problemas de conformidade e configurações erradas de infraestrutura nas seguintes soluções de Infraestrutura como Código: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM e especificações OpenAPI 3.0

Checkov

Checkov é uma ferramenta de análise de código estático para infraestrutura como código.

Ele escaneia a infraestrutura em nuvem provisionada usando Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless ou ARM Templates e detecta configurações erradas de segurança e conformidade usando varredura baseada em gráficos.

Kube-score

kube-score é uma ferramenta que realiza análise de código estático das definições de objetos Kubernetes.

Para instalar:

DistribuiçãoComando / Link

Binários pré-compilados para macOS, Linux e Windows

GitHub releases

Docker

docker pull zegl/kube-score (Docker Hub)

Homebrew (macOS e Linux)

brew install kube-score

Krew (macOS e Linux)

kubectl krew install score

Dicas

Kubernetes PodSecurityContext e SecurityContext

Você pode configurar o contexto de segurança dos Pods (com PodSecurityContext) e dos containers que serão executados (com SecurityContext). Para mais informações, leia:

Kubernetes SecurityContext(s)

Fortalecimento da API do Kubernetes

É muito importante proteger o acesso ao Servidor de API do Kubernetes pois um ator malicioso com privilégios suficientes poderia abusar dele e causar danos ao ambiente de várias maneiras. É importante garantir tanto o acesso (origens permitidas para acessar o Servidor de API e negar qualquer outra conexão) quanto a autenticação (seguindo o princípio do princípio do mínimo privilégio). E definitivamente nunca permitir solicitações anônimas.

Processo de solicitação comum: Usuário ou Conta de Serviço K8s –> Autenticação –> Autorização –> Controle de Admissão.

Dicas:

  • Feche portas.

  • Evite acesso anônimo.

  • Restrição de Nó; Sem acesso de nós específicos à API.

  • https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction

  • Basicamente impede que os kubelets adicionem/removam/atualizem rótulos com um prefixo node-restriction.kubernetes.io/. Esse prefixo de rótulo é reservado para administradores rotularem seus objetos Node para fins de isolamento de carga de trabalho, e os kubelets não poderão modificar rótulos com esse prefixo.

  • E também permite que os kubelets adicionem/removam/atualizem esses rótulos e prefixos de rótulo.

  • Garanta com rótulos o isolamento seguro da carga de trabalho.

  • Evite que pods específicos acessem a API.

  • Evite a exposição do ApiServer à internet.

  • Evite acesso não autorizado RBAC.

  • Porta do ApiServer com firewall e lista de permissões de IP.

Fortalecimento do SecurityContext

Por padrão, o usuário root será usado quando um Pod for iniciado se nenhum outro usuário for especificado. Você pode executar sua aplicação em um contexto mais seguro usando um modelo semelhante ao seguinte:

apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000
runAsGroup: 3000
fsGroup: 2000
volumes:
- name: sec-ctx-vol
emptyDir: {}
containers:
- name: sec-ctx-demo
image: busybox
command: [ "sh", "-c", "sleep 1h" ]
securityContext:
runAsNonRoot: true
volumeMounts:
- name: sec-ctx-vol
mountPath: /data/demo
securityContext:
allowPrivilegeEscalation: true

Endurecimento Geral

Você deve atualizar seu ambiente Kubernetes com a frequência necessária para ter:

  • Dependências atualizadas.

  • Correções de bugs e segurança.

Ciclos de lançamento: A cada 3 meses há um novo lançamento menor -- 1.20.3 = 1(Major).20(Minor).3(patch)

A melhor maneira de atualizar um Cluster Kubernetes é (de aqui):

  • Atualize os componentes do Nó Mestre seguindo esta sequência:

  • etcd (todas as instâncias).

  • kube-apiserver (todos os hosts do plano de controle).

  • kube-controller-manager.

  • kube-scheduler.

  • cloud controller manager, se você usar um.

  • Atualize os componentes do Nó de Trabalho como kube-proxy, kubelet.

Apoie o HackTricks
PreviousKubernetes Network AttacksNextKubernetes SecurityContext(s)

Last updated