⚡ ѕ–ќ…ƒ» Ќќ¬џ… ќЌЋј…Ќ  ”–— ѕќ —≈“≈¬џћ “≈’ЌќЋќ√»яћ —ќ — »ƒ ќ… 50%

до конца скидки осталось

Ќачать обучение 🚀
ћерион Ќетворкс

8 минут чтени€

Ќе секрет, что на сегодн€шний день Kubernetes стал одной из лучших оркестраторов контейнерных платформ. Ѕолее 80% организаций сегодн€ используют Kubernetes в тех или иных цел€х. ќн просто автоматизирует конфигурирование и управление контейнерами.

ќбучайс€ в Merion Academy

ѕройди курс по
сетевым технологи€м

Ќачать

Ќо помимо простоты, безопасность также €вл€етс€ одной из наиболее важных частей любого контейнерного приложени€. ¬ы должны знать, как обеспечить надежную безопасность приложений, работающих в кластере Kubernetes. ¬опросы безопасности в последние несколько лет экспоненциально возрастают, поэтому кажда€ организаци€ сосредотачивает внимание на этой области.

≈сли вы знакомы с Kubernetes, то вы знаете, что, по умолчанию, Kubernetes назначает IP-адрес каждому порту в кластере и обеспечивает безопасность на основе IP. Ќо он предоставл€ет только основные меры безопасности.  огда речь заходит о расширенном мониторинге безопасности и обеспечении соответстви€ нормативным требовани€м, к сожалению, Kubernetes не обеспечивает нужного уровн€ безопасности. Ќо, к счастью, есть сторонние сканеры Kubernetes с открытым исходным кодом, которые могут помочь вам защитить ваши кластеры Kubernetes.

¬от несколько преимуществ использовани€ сканеров Kubernetes:

  • ќпределение неправильных настроек и у€звимостей в кластере, контейнерах, модул€х
  • ѕредоставл€ет решени€ дл€ исправлени€ неправильных настроек и устранени€ у€звимостей
  • ƒает представление о состо€нии кластера в реальном времени.
  • ƒает больше уверенности команде DevOps в необходимости разработки и развертывани€ приложений в кластере Kubernetes
  • ѕомогает избежать сбо€ кластера, вы€вл€€ проблему на ранней стадии.

–ассмотрим следующие инструменты, которые помогут найти у€звимость и неправильную конфигурацию системы безопасности дл€ обеспечени€ безопасности контейнерных приложений.


1. Kube Hunter

Kube Hunter - это средство поиска у€звимостей от Aqua Security. Ётот инструмент очень полезен дл€ повышени€ уровн€ безопасности кластеров Kubernetes. Ётот инструмент дл€ вы€влени€ у€звимостей предлагает несколько стандартных вариантов сканировани€, таких как удаленный, чересстрочный, сетевой.

ќн содержит список активных и пассивных тестов, которые могут идентифицировать большинство у€звимостей, присутствующих в кластере Kubernetes.

Kube Hunter

—уществует несколько различных вариантов использовани€ этого инструмента.

  • ћожно загрузить архив, извлечь его или использовать pip дл€ непосредственной установки Kube Hunter на машину с сетевым доступом к кластеру Kubernetes. ѕосле установки можно начать сканирование кластера на наличие у€звимостей.
  • ¬торой способ использовани€ Kube Hunter - в качестве контейнера Docker. ¬ы можете непосредственно установить Kube Hunter на машину в кластере, а затем проверить локальные сети дл€ сканировани€ кластеров.
  • » третий способ - запустить Kube Hunter как под внутри Kubernetes кластера. Ёто помогает находить у€звимости в любых модул€х приложений.

2. KubeBench

Kube Bench €вл€етс€ одним из инструментов обеспечени€ безопасности с открытым исходным кодом, которые провер€ют соответствие ваших приложений эталонному стандарту безопасности CIS (Center for Internet Security).

ќн поддерживает тесты дл€ нескольких версий Kubernetes.  роме того, он также указывает на ошибки и помогает в их исправлении. Ётот инструмент также провер€ет настройки авторизации и аутентификации пользователей, а также уровень шифровани€ данных. Ёто гарантирует, что приложение соответствует требовани€м CIS.

KubeBench

¬озможности KubeBench:

  • Ќаписано как приложение Go
  • “ест дл€ мастеров и узлов Kubernetes
  • ƒоступно как контейнер
  • “есты определены в YAML, что упрощает расширение и обновление
  • ѕоддержка выходных данных формата JSON

3. Checkov

Checkov - это средство безопасности, используемое дл€ предотвращени€ неправильных настроек облака во врем€ сборки Kubernetes, Terraform, Cloudformation, Serverless фреймворков и других сервисов типа Infrastructure-as-code-language. ќн написан на €зыке Python и направлен на повышение эффективности внедрени€ безопасности и соответстви€ передовым практикам.

ћожно выполнить сканирование с помощью Checkov дл€ анализа сервисов типа Infrastructure-as-code-language

Checkov

‘ункции Checkov:

  • ќткрытый и простой в использовании
  • Ѕолее 500 встроенных политики безопасности
  • ѕередовые практики обеспечени€ соответстви€ дл€ AWS, Azure и Google Cloud
  • ѕоддержка нескольких форматов вывода - CLI, JUnit XML, JSON
  • »нтеграци€ сканирований в конвейеры ci/cd
  • ¬ыполн€ет сканирование входной папки, содержащей файлы Terraform & Cloudformation

4. MKIT

MKIT означает управл€емый инструмент проверки Kubernetes. Ётот инструмент помогает быстро вы€вл€ть ключевые угрозы безопасности кластеров Kubernetes и их ресурсов. ќн имеет быстрые и простые методы дл€ оценки неправильных настроек в кластере и рабочих нагрузках.

»нструмент поставл€етс€ с интерфейсом, который по умолчанию работает на http://localhost:8000. »нструмент дает представление о неуспешных и успешных проверках. ¬ разделе Ђ«атронутые ресурсыї вы получите подробные сведени€ о затронутых и не затронутых ресурсах.

MKIT

‘ункции MKIT:

  • —оздана с использованием всех библиотек и инструментов с открытым исходным кодом
  • ѕростота установки и использовани€
  • ѕоддержка нескольких поставщиков Kubernetes - AKS, EKS и GKE
  • ’ранение конфиденциальных данных внутри контейнера
  • ѕредоставл€ет веб-интерфейс

5. Kubei

Kubei используетс€ дл€ оценки непосредственных рисков в кластере Kubernetes. Ѕольша€ часть Kubei написана на €зыке программировани€ Go. ќн охватывает все эталонные тесты CIS дл€ Docker.

ќн сканирует все образы, используемые кластером Kubernetes, прикладные и системные модули и т.д. ¬ы получаете несколько вариантов настройки сканировани€ с точки зрени€ уровн€ у€звимости, скорости сканировани€, области сканировани€ и т.д. — помощью графического интерфейса можно просмотреть все у€звимости, обнаруженные в кластере, и способы их устранени€.

Kubei

ќсновные характеристики Kubei:

  • —канер у€звимостей среды выполнени€ Kubernetes с открытым исходным кодом
  • ѕровер€ет общедоступные образы, размещенные в реестре
  • ѕредоставл€ет состо€ние работоспособности кластера в режиме реального времени
  • ¬еб-интерфейс пользовател€ дл€ визуализации сканирований
  • ѕредоставл€ет несколько пользовательских параметров дл€ сканировани€

6. Kube Scan

Kube Scan - это сканер контейнера, который сам поставл€етс€ как контейнер. ¬ы устанавливаете его в новый кластер, после чего он сканирует рабочие нагрузки, выполн€ющиес€ в данный момент в кластере, и показывает оценку риска и сведени€ о рисках в удобном веб-интерфейсе. –иск оцениваетс€ от 0 до 10, 0 означает отсутствие риска, а 10 - высокий риск.

Kube Scan

‘ормула и правила оценки, используемые Kube scan, основаны на KCCSS, общей системе оценки конфигурации Kubernetes, котора€ €вл€етс€ фреймворком с открытым исходным кодом. ќн аналогичен CVSS (Common Vulnerability Scoring System). ќн использует более 30 параметров настройки безопасности, таких как политики, возможности Kubernetes, уровни привилегий и создает базовый уровень риска дл€ оценки риска. ќценка риска также основана на простоте эксплуатации или уровне воздействи€ и масштабах эксплуатации.

‘ункции KubeScan:

  • »нструмент оценки рисков с открытым исходным кодом
  • ¬еб-интерфейс пользовател€ с оценкой рисков и подробност€ми оценки рисков
  • ¬ыполн€етс€ как контейнер в кластере.
  • –егул€рные сканирование кластера каждые 24 часа

7. Kubeaudit

Kubeaudit, как предполагает название, €вл€етс€ инструментом кластерного аудита Kubernetes с открытым исходным кодом. ќн находит неправильные настройки безопасности в ресурсах Kubernetes и подсказывает, как их устранить. ќн написан на €зыке Go, что позвол€ет использовать его как пакет Go или средство командной строки. ≈го можно установить на компьютер с помощью команды brew.

ќн предлагает различные решени€ вроде запуск приложений от имени пользовател€ без рут прав, предоставление доступа только дл€ чтени€ к корневой файловой системе, избегание предоставлени€ дополнительных привилегий приложени€м в кластере дл€ предотвращени€ общих проблем безопасности. ќн содержит обширный список аудиторов, используемых дл€ проверки проблем безопасности кластера Kubernetes, таких как SecurityContext модулей.

Kubeaudit

ќсобенности Kubeaudit:

  • »нструмент аудита Kubernetes с открытым исходным кодом
  • ѕредоставл€ет три различных режима - манифест, локальный, кластер, дл€ аудита кластера
  • ƒает результат аудита на трех уровн€х серьезности - ошибка, предупреждение, информаци€
  • »спользует несколько встроенных аудиторов дл€ аудита контейнеров, модулей, пространств имен

8. Kubesec

Kubesec - это инструмент анализа рисков безопасности с открытым исходным кодом дл€ ресурсов Kubernetes. ќн провер€ет конфигурацию и файлы манифестов, используемые дл€ развертывани€ и операций кластера Kubernetes. ¬ы можете установить его в свою систему с помощью образа контейнера, двоичного пакета, контроллера допуска в Kubernetes или плагина kubectl.

Kubesec

ќсобенности Kubesec:

  • »нструмент анализа рисков с открытым исходным кодом
  • ќн поставл€етс€ с объединенным HTTP-сервером, который по умолчанию работает в фоновом режиме и слушает порт 8080.
  • ћожет запускатьс€ как Kubesec-as-a-Service через HTTPS по адресу v2.kubesec.io/scan
  • ћожет сканировать несколько документов YAML в одном входном файле.

«аключение

”казанные средства предназначены дл€ обеспечени€ безопасности кластера Kubernetes и его ресурсов и затрудн€ют взлом хакерами приложений, работающих внутри кластера. —канеры помогут более уверенно развертывать приложени€ на кластере.


>