點擊上方藍字關注?👆👆

↓推薦關注↓

隨著 Kubernetes 越來越受歡迎，門檻也越來越低。但是安全問題仍然存在，下面介紹兩個審計集群安全的開源工具。

kube-bench

kube-bench^[1] 是一個 Go 應用程序，擁有 4.5k star。用于檢查 Kubernetes 集群是否符合CIS Kubernetes Benchmark^[2]指南。

CIS：互聯網安全中心。這是一個非營利組織，利用來自社區的反饋來解決網絡安全問題。建立一個免受網絡攻擊的環境的建議列表。這些建議包括尋找過于寬松的配置文件權限、集群組件的潛在風險設置、識別未受保護的帳戶以及檢查常規網絡策略。

通過配置 YAML 文件進行測試，這樣做的好處是該工具很容易隨著測試的規范化而更新。

運行

運行 kube-bench 有多種方法^[3]

• docker 容器運行

• 在 Kubernetes 集群中運行

• 在 AKS 集群中運行

• 在 EKS 集群中運行

• 在 OpenShift 上運行

• 在 GKE 集群中運行

• 在 ACK 集群中運行

下面演示在 Docker 容器中運行 Kube-bench。它需要訪問主機的 PID 名稱空間，以便檢查正在運行的進程，以及訪問主機上配置文件等。

docker?run?--rm?--pid=host?-v?/etc:/etc:ro?-v?/var/lib/etcd:/var/lib/etcd:ro?-v?/var/lib/kubelet/config.yaml:/var/lib/kubelet/config.yaml:ro??-v?$(which?kubectl):/usr/local/mount-from-host/bin/kubectl?-v?$HOME/.kube:/.kube?-e?KUBECONFIG=/.kube/config?-it?aquasec/kube-bench:latest?run

運行后會輸出檢查報告，該報告分為五個主題塊，從標題中即可看出：

• 主節點安全配置；

• Etcd 節點配置；

• 控制平面配置；

• 工作節點安全配置；

• Kubernetes Policy

針對 Master Node 的配置文件檢查結果如下：

[INFO]?1?Master?Node?Security?Configuration [INFO]?1.1?Master?Node?Configuration?Files [PASS]?1.1.1?Ensure?that?the?API?server?pod?specification?file?permissions?are?set?to?644?or?more?restrictive?(Automated) #?省略 [FAIL]?1.1.7?Ensure?that?the?etcd?pod?specification?file?permissions?are?set?to?644?or?more?restrictive?(Automated) [FAIL]?1.1.8?Ensure?that?the?etcd?pod?specification?file?ownership?is?set?to?root:root?(Automated)==?Remediations?master?== 1.1.7?Run?the?below?command?(based?on?the?file?location?on?your?system)?on?the?master?node. For?example, chmod?644?/etc/kubernetes/manifests/etcd.yaml1.1.8?Run?the?below?command?(based?on?the?file?location?on?your?system)?on?the?master?node. For?example, chown?root:root?/etc/kubernetes/manifests/etcd.yaml

針對 Etcd 的檢查：

[INFO]?2?Etcd?Node?Configuration [INFO]?2?Etcd?Node?Configuration?Files [FAIL]?2.1?Ensure?that?the?--cert-file?and?--key-file?arguments?are?set?as?appropriate?(Automated) [FAIL]?2.2?Ensure?that?the?--client-cert-auth?argument?is?set?to?true?(Automated)==?Remediations?etcd?== 2.1?Follow?the?etcd?service?documentation?and?configure?TLS?encryption. Then,?edit?the?etcd?pod?specification?file?/etc/kubernetes/manifests/etcd.yaml on?the?master?node?and?set?the?below?parameters. --cert-file=</path/to/ca-file> --key-file=</path/to/key-file>2.2?Edit?the?etcd?pod?specification?file?/etc/kubernetes/manifests/etcd.yaml?on?the?master node?and?set?the?below?parameter. --client-cert-auth="true"

檢查結果為FAIL、WARN的，會對應序號給出修改方案。但是修改方案是否試用于你的集群，需要自行綜合去判斷，應該全面了解修改會對集群產生什么影響。

kube-hunter^[4]

是一個 Python 工具，旨在發現 Kubernetes 集群中的漏洞。它從攻擊者的角度評估集群安全。擁有 3.5K star。

運行

• 二進制

• 容器

• Pod

下面演示使用 docker 容器運行。

docker?run?-it?--rm?--network?host?aquasec/kube-hunter

運行之后需要選擇掃描方式：

Choose?one?of?the?options?below: 1.?Remote?scanning??????(scans?one?or?more?specific?IPs?or?DNS?names) 2.?Interface?scanning???(scans?subnets?on?all?local?network?interfaces) 3.?IP?range?scanning????(scans?a?given?IP?range)

遠程掃描

要指定遠程機器進行掃描，選項 1 或使用--remote選項，容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--remote?192.168.28.72

接口掃描

要指定接口掃描，可以使用--interface選項（這將掃描機器的所有網絡接口），容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--interface

網段掃描

要指定要掃描的特定 CIDR，使用--cidr選項，容器方式運行：

docker?run?--rm?aquasec/kube-hunter?--cidr?192.168.0.0/24

以下是運行檢查之后輸出的報告：

+--------+---------------------+----------------------+----------------------+----------------------+----------------------+ |?KHV002?|?192.168.28.154:6443?|?Initial?Access?//????|?K8s?Version??????????|?The?kubernetes???????|?v1.19.8??????????????| |????????|?????????????????????|?Exposed?sensitive????|?Disclosure???????????|?version?could?be?????|??????????????????????| |????????|?????????????????????|?interfaces???????????|??????????????????????|?obtained?from?the????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?/version?endpoint????|??????????????????????| +--------+---------------------+----------------------+----------------------+----------------------+----------------------+ |?KHV052?|?192.168.28.194:10255|?Discovery?//?Access??|?Exposed?Pods?????????|?An?attacker?could????|?count:?9?????????????| |????????|?????????????????????|?Kubelet?API??????????|??????????????????????|?view?sensitive???????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?information?about????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?pods?that?are????????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?????bound?to?a?Node??|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?using?the?/pods??????|??????????????????????| |????????|?????????????????????|??????????????????????|??????????????????????|?endpoint?????????????|??????????????????????| +--------+---------------------+----------------------+----------------------+----------------------+----------------------+

列出兩個漏洞：

• 攻擊者可以通過/version獲取到 k8s 的版本；

• 攻擊者可以通過/pods接口獲取到集群節點上運行的 Pod 數量。

Kubernetes 節點自動發現

設置--k8s-auto-discover-nodes標志查詢 Kubernetes 集群中的所有節點，然后嘗試掃描所有節點。默認情況下，它將使用集群內配置^[5]連接到 Kubernetes API。如果您想使用顯式 kubeconfig 文件，請設置--kubeconfig /root/.kube/kubeconfig.

查看命令幫助，可以運行：

#?docker?run?-it?--rm?--network?host?aquasec/kube-hunter?--help

kube-hunter 是用于 Kubernetes 集群滲透測試的可選擇工具。它易于安裝和運行，并展示集群在攻擊者視角的樣子。但輸出的報告，沒有修復方案提示，需要運維人員自行評估方案。

結論

這兩個實用程序都非常成熟且易于上手，并提供了集群安全性的良好描述。盡管存在一些缺陷，但對關注集群安全的人來說，它們是一個不錯的選擇。

安全性不僅限于集群配置，讓容器中運行的應用程序保持最新狀態、防止未經授權訪問鏡像注冊表、使用安全網絡協議、監控應用程序活動等也同樣值得注意。

其他可選工具

除了這兩個分析工具。 kubescape ^[6]也是值得推薦的選擇。Kubescape 提供了風險分析、安全合規、RBAC 可視化工具和鏡像漏洞掃描等功能，截至目前已有超過 5.1K star。

參考資料

[1]

kube-bench: https://github.com/aquasecurity/kube-bench

[2]

CIS Kubernetes Benchmark: https://www.cisecurity.org/benchmark/kubernetes/

[3]

多種方法: https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md

[4]

kube-hunter: https://github.com/aquasecurity/kube-hunter

[5]

集群內配置: https://kubernetes.io/docs/reference/access-authn-authz/rbac/

[6]

kubescape : https://github.com/armosec/kubescape

[7]

Kubernetes cluster security assessment with kube-bench and kube-hunter: https://blog.flant.com/kubernetes-security-with-kube-bench-and-kube-hunter/

---

我發起一個抽獎，歡迎您的參與👇

---

后臺回復“加群”，帶你進入高手如云交流群

歡迎小伙伴們投稿原創文章~

投稿格式：markdown格式的md文件

投稿郵箱: pub@kubeinfo.cn

推薦閱讀

一款強大的Kubernetes API流量查看神器

Argo CD 發現高危漏洞，對 K8s 有何影響？

Golang 從零搭建 LevelDB

為什么云中的容器可以成為攻擊者的天堂

52 張圖，萬字講解 Linux，建議收藏！

Win11將迎來首次重大更新，終于要支持安卓應用了

快叫女朋友來一起看煙花了！超漂亮！！

22 款必備的命令行生產力工具，提高效率全靠它了

有了這篇 Shell 腳本實踐指南，同事對我“刮目相看”！

全網粉絲20W的頭部大號，專注云原生、Golang、Linux實用腳本，效率工具，免費CSDN下載，回復【golang】獲取近 6 萬 Star的資源，回復【1024】獲取全種類IT資料，回復【紅包封面】獲取超好看封面，回復【加群】進入高手如云技術交流群

分享、點贊和在看

支持我們分享更多好文章，謝謝！

點擊“閱讀原文”查看更多? ? ? ? ? ? ? ? ??

?點個在看集群永保穩定👇

總結

以上是生活随笔為你收集整理的使用 kube-bench 和 kube-hunter 对 Kubernetes 集群风险评估的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。