Поскольку более 30 параметров безопасности находятся под контролем каждого разработчика, вам нужно быть экспертом Kubernetes, чтобы понять, представляет ли окончательная конфигурация высокий риск для вашего кластера. С помощью одного изменения в одном файле вы можете открыть весь кластер Kubernetes для атак, утечки секретов, риска для конфиденциальных данных или случайного предоставления публичного доступа к частным сервисам.
Мы в Octarine верим в то, чтобы обеспечить безопасность для всех. Мы выпустили инструмент kube-scan с открытым исходным кодом , который позволяет вам быстро и легко оценить риски безопасности для ваших рабочих нагрузок Kubernetes, чтобы мгновенно понять уровень безопасности ваших кластеров.
Безопасный и простой способ оценить ваше состояние безопасности
Kube-scan — это модуль, который работает внутри вашего кластера. Он сканирует все ваши файлы манифеста, анализирует параметры безопасности и дает оценку безопасности для ваших рабочих нагрузок с помощью простого веб-интерфейса. Для каждой рабочей нагрузки вы получите четкое объяснение факторов риска, какие параметры уменьшают или усугубляют риски, и каковы потенциальные последствия (побег контейнера, человек-посредник, нежелательные взаимодействия между контейнерами и т. Д.) ,
Kube-scan предназначен для того, чтобы помочь вам понять, какие из ваших рабочих нагрузок наиболее подвержены риску и почему, и дает вам возможность расставлять приоритеты для обновлений вашей политики безопасности Pod, определений модулей и файлов манифеста, чтобы контролировать риск.
Как kube-scan вычисляет оценку риска
Kube-Scan с открытым исходным кодом анализирует более 30 параметров безопасности, включая уровни привилегий, возможности и политики Kubernetes, и устанавливает базовый уровень риска. Затем он анализирует, как эти настройки работают в тандеме, чтобы вы могли понять, какие комбинации уменьшат (или увеличат) ваш уровень риска. Например, комбинация потенциальных рисков локального доступа (привилегированный контейнер, контейнер, выполняющийся от имени root) и удаленного доступа (прослушивание порта, отсутствие политики входа Kubernetes и т. Д.) Подвергается большему риску, если сервис открыт для Интернета через Балансировщик нагрузки, порт хоста или сеть с общим хостом.
Kube-scan также учитывает простоту эксплуатации, а также влияние и масштабы эксплойтов. Это похоже на общую систему оценки уязвимостей (CVSS). Сочетание рисков, ремедиации, факторов ухудшения, эксплуатируемости и воздействия оценивается в диапазоне от 0 (безопасно) до 10 (очень рискованно).
Как установить kube-scan
Kube-scan — это развертывание в одном модуле с файлом YAML, которое помогает быстро развернуть его в кластере. Модуль содержит сканер манифеста, подсчет очков и веб-интерфейс.
Данные не покидают контейнеры. Нет входного или выходного доступа, и данные не отправляются и не извлекаются из Octarine. Это безопасно для запуска в любой среде и может быть удалено после доступа к странице оценки рисков. Вы можете найти инструкции по развертыванию kube-scan на GitHub: https://github.com/octarinesec/kube-scan .
Существует два способа развертывания контейнера kube-scan:
Прямой доступ к модулю kube-scan
Эта команда устанавливает и запускает модуль kube-scan:
Оболочка
xxxxxxxxxx
1
kubectl apply -f https://raw.githubusercontent.com/octarinesec/kube-scan/master/kube-scan.yaml
Затем прокси свой локальный порт 8080 для порта 80 модуля в кластере:
Оболочка
xxxxxxxxxx
1
kubectl port-forward --namespace kube-scan svc/kube-scan-ui 8080:80
Когда модуль запущен, просто подключитесь к этому URL, чтобы увидеть результаты сканирования:
Простой текст
xxxxxxxxxx
1
http://localhost:8080/
kube-scan за балансировщиком нагрузки
Если вы предпочитаете не создавать переадресацию портов на веб-интерфейс kube-scan, вы можете развернуть kube-scan за балансировщиком нагрузки:
Оболочка
1
kubectl apply -f https://raw.githubusercontent.com/octarinesec/kube-scan/master/kube-scan-lb.yaml
Затем получите имя хоста, используемое для доступа к веб-интерфейсу через балансировщик нагрузки:
Оболочка
xxxxxxxxxx
1
kubectl -n kube-scan get service kube-scan-ui -o jsonpath={..hostname}
Это отобразит имя хоста, к которому нужно подключиться через порт 80:
Простой текст
xxxxxxxxxx
1
http://:8080/
Просмотрите веб-интерфейс kube-scan
После завершения установки вы можете увидеть оценку риска для всех ваших рабочих нагрузок. Нажмите на любой риск, чтобы увидеть разбивку факторов риска.
Счет рассчитывается один раз, когда начинается запуск. Если вы хотите запустить новое сканирование, удалите модуль. Вы можете установить kube-scan в нескольких кластерах, чтобы сравнить свое состояние безопасности в разных средах.
Что дальше?
Kube-scan — это отличный инструмент, позволяющий увидеть риски ваших рабочих нагрузок. Octarine предоставляет гораздо более широкое решение для обеспечения безопасности, которое дает вам возможность видеть и контролировать ваши Kubernetes, настроенные и работающие в течение всего жизненного цикла ваших приложений, от создания контейнеров, CI / CD, до запуска в производство.
Узнайте больше здесь и спросите нас о чем угодно.