當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

使用 kube-bench 和 kube-hunter 对 Kubernetes 集群风险评估

發(fā)布時間：2023/12/4 编程问答 33 豆豆

生活随笔收集整理的這篇文章主要介紹了使用 kube-bench 和 kube-hunter 对 Kubernetes 集群风险评估小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

點擊上方藍(lán)字關(guān)注?👆👆

↓推薦關(guān)注↓

隨著 Kubernetes 越來越受歡迎，門檻也越來越低。但是安全問題仍然存在，下面介紹兩個審計集群安全的開源工具。

kube-bench

kube-bench^[1] 是一個 Go 應(yīng)用程序，擁有 4.5k star。用于檢查 Kubernetes 集群是否符合CIS Kubernetes Benchmark^[2]指南。

CIS：互聯(lián)網(wǎng)安全中心。這是一個非營利組織，利用來自社區(qū)的反饋來解決網(wǎng)絡(luò)安全問題。建立一個免受網(wǎng)絡(luò)攻擊的環(huán)境的建議列表。這些建議包括尋找過于寬松的配置文件權(quán)限、集群組件的潛在風(fēng)險設(shè)置、識別未受保護(hù)的帳戶以及檢查常規(guī)網(wǎng)絡(luò)策略。

通過配置 YAML 文件進(jìn)行測試，這樣做的好處是該工具很容易隨著測試的規(guī)范化而更新。

運行

運行 kube-bench 有多種方法^[3]

docker 容器運行
在 Kubernetes 集群中運行
在 AKS 集群中運行
在 EKS 集群中運行
在 OpenShift 上運行
在 GKE 集群中運行
在 ACK 集群中運行

下面演示在 Docker 容器中運行 Kube-bench。它需要訪問主機的 PID 名稱空間，以便檢查正在運行的進(jìn)程，以及訪問主機上配置文件等。

docker?run?--rm?--pid=host?-v?/etc:/etc:ro?-v?/var/lib/etcd:/var/lib/etcd:ro?-v?/var/lib/kubelet/config.yaml:/var/lib/kubelet/config.yaml:ro??-v?$(which?kubectl):/usr/local/mount-from-host/bin/kubectl?-v?$HOME/.kube:/.kube?-e?KUBECONFIG=/.kube/config?-it?aquasec/kube-bench:latest?run

運行后會輸出檢查報告，該報告分為五個主題塊，從標(biāo)題中即可看出：

主節(jié)點安全配置；
Etcd 節(jié)點配置；
控制平面配置；
工作節(jié)點安全配置；
Kubernetes Policy

針對 Master Node 的配置文件檢查結(jié)果如下：

[INFO]?1?Master?Node?Security?Configuration [INFO]?1.1?Master?Node?Configuration?Files [PASS]?1.1.1?Ensure?that?the?API?server?pod?specification?file?permissions?are?set?to?644?or?more?restrictive?(Automated) #?省略 [FAIL]?1.1.7?Ensure?that?the?etcd?pod?specification?file?permissions?are?set?to?644?or?more?restrictive?(Automated) [FAIL]?1.1.8?Ensure?that?the?etcd?pod?specification?file?ownership?is?set?to?root:root?(Automated)==?Remediations?master?== 1.1.7?Run?the?below?command?(based?on?the?file?location?on?your?system)?on?the?master?node. For?example, chmod?644?/etc/kubernetes/manifests/etcd.yaml1.1.8?Run?the?below?command?(based?on?the?file?location?on?your?system)?on?the?master?node. For?example, chown?root:root?/etc/kubernetes/manifests/etcd.yaml

針對 Etcd 的檢查：

[INFO]?2?Etcd?Node?Configuration [INFO]?2?Etcd?Node?Configuration?Files [FAIL]?2.1?Ensure?that?the?--cert-file?and?--key-file?arguments?are?set?as?appropriate?(Automated) [FAIL]?2.2?Ensure?that?the?--client-cert-auth?argument?is?set?to?true?(Automated)==?Remediations?etcd?== 2.1?Follow?the?etcd?service?documentation?and?configure?TLS?encryption. Then,?edit?the?etcd?pod?specification?file?/etc/kubernetes/manifests/etcd.yaml on?the?master?node?and?set?the?below?parameters. --cert-file=</path/to/ca-file> --key-file=</path/to/key-file>2.2?Edit?the?etcd?pod?specification?file?/etc/kubernetes/manifests/etcd.yaml?on?the?master node?and?set?the?below?parameter. --client-cert-auth="true"

檢查結(jié)果為FAIL、WARN的，會對應(yīng)序號給出修改方案。但是修改方案是否試用于你的集群，需要自行綜合去判斷，應(yīng)該全面了解修改會對集群產(chǎn)生什么影響。

kube-hunter^[4]

是一個 Python 工具，旨在發(fā)現(xiàn) Kubernetes 集群中的漏洞。它從攻擊者的角度評估集群安全。擁有 3.5K star。

運行

二進(jìn)制
容器
Pod

下面演示使用 docker 容器運行。

docker?run?-it?--rm?--network?host?aquasec/kube-hunter

運行之后需要選擇掃描方式：

Choose?one?of?the?options?below: 1.?Remote?scanning??????(scans?one?or?more?specific?IPs?or?DNS?names) 2.?Interface?scanning???(scans?subnets?on?all?local?network?interfaces) 3.?IP?range?scanning????(scans?a?given?IP?range)

遠(yuǎn)程掃描

要指定遠(yuǎn)程機器進(jìn)行掃描，選項 1 或使用--remote選項，容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--remote?192.168.28.72

接口掃描

要指定接口掃描，可以使用--interface選項（這將掃描機器的所有網(wǎng)絡(luò)接口），容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--interface

網(wǎng)段掃描

要指定要掃描的特定 CIDR，使用--cidr選項，容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--cidr?192.168.0.0/24

以下是運行檢查之后輸出的報告：

+--------+---------------------+----------------------+----------------------+----------------------+----------------------+ |?KHV002?|?192.168.28.154:6443?|?Initial?Access?//????|?K8s?Version??????????|?The?kubernetes???????|?v1.19.8??????????????| |????????|?????????????????????|?Exposed?sensitive????|?Disclosure???????????|?version?could?be?????|??????????????????????| |????????|?????????????????????|?interfaces???????????|??????????????????????|?obtained?from?the????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?/version?endpoint????|??????????????????????| +--------+---------------------+----------------------+----------------------+----------------------+----------------------+ |?KHV052?|?192.168.28.194:10255|?Discovery?//?Access??|?Exposed?Pods?????????|?An?attacker?could????|?count:?9?????????????| |????????|?????????????????????|?Kubelet?API??????????|??????????????????????|?view?sensitive???????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?information?about????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?pods?that?are????????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?????bound?to?a?Node??|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?using?the?/pods??????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?endpoint?????????????|??????????????????????| +--------+---------------------+----------------------+----------------------+----------------------+----------------------+

列出兩個漏洞：

攻擊者可以通過/version獲取到 k8s 的版本；
攻擊者可以通過/pods接口獲取到集群節(jié)點上運行的 Pod 數(shù)量。

Kubernetes 節(jié)點自動發(fā)現(xiàn)

設(shè)置--k8s-auto-discover-nodes標(biāo)志查詢 Kubernetes 集群中的所有節(jié)點，然后嘗試掃描所有節(jié)點。默認(rèn)情況下，它將使用集群內(nèi)配置^[5]連接到 Kubernetes API。如果您想使用顯式 kubeconfig 文件，請設(shè)置--kubeconfig /root/.kube/kubeconfig.

查看命令幫助，可以運行：

#?docker?run?-it?--rm?--network?host?aquasec/kube-hunter?--help

kube-hunter 是用于 Kubernetes 集群滲透測試的可選擇工具。它易于安裝和運行，并展示集群在攻擊者視角的樣子。但輸出的報告，沒有修復(fù)方案提示，需要運維人員自行評估方案。

結(jié)論

這兩個實用程序都非常成熟且易于上手，并提供了集群安全性的良好描述。盡管存在一些缺陷，但對關(guān)注集群安全的人來說，它們是一個不錯的選擇。

安全性不僅限于集群配置，讓容器中運行的應(yīng)用程序保持最新狀態(tài)、防止未經(jīng)授權(quán)訪問鏡像注冊表、使用安全網(wǎng)絡(luò)協(xié)議、監(jiān)控應(yīng)用程序活動等也同樣值得注意。

其他可選工具

除了這兩個分析工具。 kubescape ^[6]也是值得推薦的選擇。Kubescape 提供了風(fēng)險分析、安全合規(guī)、RBAC 可視化工具和鏡像漏洞掃描等功能，截至目前已有超過 5.1K star。

參考資料

[1]

kube-bench: https://github.com/aquasecurity/kube-bench

[2]

CIS Kubernetes Benchmark: https://www.cisecurity.org/benchmark/kubernetes/

[3]

多種方法: https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md

[4]

kube-hunter: https://github.com/aquasecurity/kube-hunter

[5]

集群內(nèi)配置: https://kubernetes.io/docs/reference/access-authn-authz/rbac/

[6]

kubescape : https://github.com/armosec/kubescape

[7]

Kubernetes cluster security assessment with kube-bench and kube-hunter: https://blog.flant.com/kubernetes-security-with-kube-bench-and-kube-hunter/

我發(fā)起一個抽獎，歡迎您的參與👇

后臺回復(fù)“加群”，帶你進(jìn)入高手如云交流群

歡迎小伙伴們投稿原創(chuàng)文章~

投稿格式：markdown格式的md文件

投稿郵箱: pub@kubeinfo.cn

總結(jié)

以上是生活随笔為你收集整理的使用 kube-bench 和 kube-hunter 对 Kubernetes 集群风险评估的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： C#中的语句
下一篇：【招聘(北京武汉)】北京高远华信科技 .