两个开源工具,强化你的 K8S 安全!

发布于:2020 年 5 月 25 日 16:40

两个开源工具,强化你的K8S安全!

对于 Kubernetes 用户而言,安全永远是最受关注的话题。在谷歌 / 百度搜索“Kubernetes 安全”,你会搜到大量的文章、博客等信息。Rancher 也十分重视用户的安全问题。原因很简单:你需要使容器和 Kubernetes 安全与企业中现有的安全配置文件保持一致。

在 Kubernetes 中有许多特性可以保证你的集群安全——身份验证和身份授权、etcd 数据库中的 secret 和对象中的加密等等。但是除此之外,你还需要了解其他风险,比如权限逐步扩大并获取 secret。

互联网安全中心(CIS)发布的全面的 Kubernetes Benchmark 为建立 Kubernetes 的安全配置提供了规范指导:

https://www.cisecurity.org/benchmark/kubernetes/

当你在查看 Kubernetes 及其安全状况时,需要考虑你的实际操作如何与其保持一致。特别要注意:

  • 强化环境并与 CIS 的 Benchmark 保持一致
  • 排查可能会被利用的漏洞

下图是有关 Kubernetes 安全的一个框架,本文重点介绍运行时和平台安全性的内容。

两个开源工具,强化你的K8S安全!

有一些十分优秀的工具可以利用 CIS Benchmark 检测当前 Kubernetes 环境中潜在的安全风险,并与你的安全实践保持一致。在本文中,我们将探讨其中的两个。

kube-bench 和 kube-hunter

kube-bench 和 kube-hunter 是 Aqua 的开源工具,它们可以在 Kubernetes 集群中寻找安全问题。它们在 Kubernetes 基础架构堆栈中分析安全状况的方法有所区别。kube-bench 主要用于让你的实践符合 CIS 的标准,而 kube-hunter 则关注你要暴露的漏洞。它们两个结合使用,可以为我们确定合规性提供一个很好的视角。

让我们先从 kube-bench 开始,它会根据 CIS 的安全性最佳实践检查 Kubernetes 是否部署。kube-bench 可以运行在本地或在你的 Kubernetes 环境中作为容器。一旦部署完成,kube-bench 会根据要执行的测试以及不同的 Kubernetes 版本,为你提供一些用于 master 或节点的配置文件。需要注意的是,配置文件会被写入 YAML。那意味着你可以对它们进行调整以适应你的测试,或者当 CIS 或 Kubernetes 公开更多测试时直接采用它们即可。

以下 CIS Benchmark 摘要摘录了你可以获取、测试和修正的信息。kube-bench 通过运行符合 CIS Benchmark 的测试来做到这一点。然后你将会获得总结性的信息以及在需要的时候会获得修正建议。例如,如果你在你的 API Server 上关闭了身份认证,那么给出的建议中会向你解释如何启用身份认证。你执行任意修正操作之后,需要再一次运行这个工具,直到完全符合标准。

两个开源工具,强化你的K8S安全!

CIS 的 Kubernetes 安全性 Benchmark,p14

运行 kube-bench

kube-bench 向你展示了如何根据 CIS Benchmark 或你的容器生命周期来调整你的环境,使其符合企业的最佳实践。

首先登录你的 Kubernetes server,在上面直接运行 kube-bench,并安装。通过运行 Docker 命令 docker run –rm -v pwd:/host aquasec/kube-bench:latest install,可以在你的环境中部署容器,如下所示:

两个开源工具,强化你的K8S安全!

部署完成后,它将安装 kube-bench,并将其运行在 Kubernetes server 上。这时,你需要决定运行哪个测试,并确定要展示哪些信息在屏幕上。它会默认展示很多信息,所以你可以设置几个标志(flag),让它只展示几项你需要的信息。如下所示:

两个开源工具,强化你的K8S安全!

以下是运行“./kube-bench node”这一命令的输出结果:

两个开源工具,强化你的K8S安全!

运行 kube-hunter

kube-hunter 会在你的环境内部或外部运行扫描功能,以让你了解在你的 Kubernetes 平台中的安全性漏洞。kube-hunter 可以在集群内部或外部、在任何机器上作为一个容器运行。当你进入集群 DNS 或 IP 之后,kube-hunter 就会开始查看你当前打开的端口、运行测试并查看是否存在任何漏洞。然后,你将会获得大量相关信息,可以帮助你确定下一步应该如何执行。

kube-hunter 的默认状态是“passive”,这意味着它将查找诸如 Kubernetes SSL 证书中的电子邮件地址之类的内容,并检查开放端口、代理服务和 dashboard。在“active”状态中,kube-hunter 将会查找其他弱点,并利用发现的弱点来进一步探索漏洞,因此它十分强大。虽然 kube-hunter 不会查看容器镜像内部(有其他工具可以专门查看此处),但它可以运行可能暴露数据泄露或有危害的电子邮件地址的测试。

这有一个完整的列表,可以帮助你使用 kube-hunter 进行 passive 和 active 测试:

https://kube-hunter.aquasec.com/

你可以用以下几种方式来安装和运行 kube-hunter:

  • 本地机器:通过 Python 脚本安装,它可以让你执行远程扫描
  • 容器:通过基于 Docker 的容器安装,你可以将该容器运行在你的 Kubernetes 集群内
  • Pod:这可以让你看到潜在危害的 pod

本文我们将使用容器的方法。开始之前,需要在 Aqua( https://kube-hunter.aquasec.com/ )上注册,以获得一个 token 来安装一个 Docker 容器并运行远程扫描。

两个开源工具,强化你的K8S安全!

然后你将获得一个 Docker 命令

两个开源工具,强化你的K8S安全!

这有三个扫描选项(如下)。你可以修改显示的信息(基于日志),这取决于你想了解什么内容,例如 debug、info(这是默认的)以及标准告警。

两个开源工具,强化你的K8S安全!

接下来,你将获得一个漏洞列表,其中包括严重性、用户环境的详细信息以及你可以与组织共享的 URL。

两个开源工具,强化你的K8S安全!

结论

在本文中,我们了解了两个强大的工具,kube-bench 和 kube-hunter,它们可以让你了解你的 Kubernetes 安全。就你的整体安全状况而言,这两个工具仅仅只是开始。你还需要解决容器生命周期的其他方面的问题。在 CNCF 中也有几种工具,你可以利用它们为 Kubernetes 及其中的服务构建全面安全的格局。

阅读数:8 发布于:2020 年 5 月 25 日 16:40

评论

发布
暂无评论