Статьи

Установите Open Source kube-scan для поиска угроз безопасности Kubernetes

Поскольку более 30 параметров безопасности находятся под контролем каждого разработчика, вам нужно быть экспертом Kubernetes, чтобы понять, представляет ли окончательная конфигурация высокий риск для вашего кластера. С помощью одного изменения в одном файле вы можете открыть весь кластер Kubernetes для атак, утечки секретов, риска для конфиденциальных данных или случайного предоставления публичного доступа к частным сервисам. 

Мы в Octarine верим в то, чтобы обеспечить безопасность для всех. Мы выпустили инструмент kube-scan с открытым исходным кодом , который позволяет вам быстро и легко оценить риски безопасности для ваших рабочих нагрузок Kubernetes, чтобы мгновенно понять уровень безопасности ваших кластеров.

Безопасный и простой способ оценить ваше состояние безопасности

Kube-scan — это модуль, который работает внутри вашего кластера. Он сканирует все ваши файлы манифеста, анализирует параметры безопасности и дает оценку безопасности для ваших рабочих нагрузок с помощью простого веб-интерфейса. Для каждой рабочей нагрузки вы получите четкое объяснение факторов риска, какие параметры уменьшают или усугубляют риски, и каковы потенциальные последствия (побег контейнера, человек-посредник, нежелательные взаимодействия между контейнерами и т. Д.) ,

Kube-scan предназначен для того, чтобы помочь вам понять, какие из ваших рабочих нагрузок наиболее подвержены риску и почему, и дает вам возможность расставлять приоритеты для обновлений вашей политики безопасности Pod, определений модулей и файлов манифеста, чтобы контролировать риск.

Как kube-scan вычисляет оценку риска

Kube-Scan с открытым исходным кодом анализирует более 30 параметров безопасности, включая уровни привилегий, возможности и политики Kubernetes, и устанавливает базовый уровень риска. Затем он анализирует, как эти настройки работают в тандеме, чтобы вы могли понять, какие комбинации уменьшат (или увеличат) ваш уровень риска. Например, комбинация потенциальных рисков локального доступа (привилегированный контейнер, контейнер, выполняющийся от имени root) и удаленного доступа (прослушивание порта, отсутствие политики входа Kubernetes и т. Д.) Подвергается большему риску, если сервис открыт для Интернета через Балансировщик нагрузки, порт хоста или сеть с общим хостом.

Kube-scan также учитывает простоту эксплуатации, а также влияние и масштабы эксплойтов. Это похоже на общую систему оценки уязвимостей (CVSS). Сочетание рисков, ремедиации, факторов ухудшения, эксплуатируемости и воздействия оценивается в диапазоне от 0 (безопасно) до 10 (очень рискованно).

Как установить kube-scan

Kube-scan — это развертывание в одном модуле с файлом YAML, которое помогает быстро развернуть его в кластере. Модуль содержит сканер манифеста, подсчет очков и веб-интерфейс. 

Данные не покидают контейнеры. Нет входного или выходного доступа, и данные не отправляются и не извлекаются из Octarine. Это безопасно для запуска в любой среде и может быть удалено после доступа к странице оценки рисков. Вы можете найти инструкции по развертыванию kube-scan на GitHub: https://github.com/octarinesec/kube-scan

Существует два способа развертывания контейнера kube-scan:

Прямой доступ к модулю kube-scan

Эта команда устанавливает и запускает модуль kube-scan:


Оболочка