English English French French Spanish Spanish German German
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

8 Kubernetes-Scanner zum Auffinden von Sicherheitslücken und Fehlkonfigurationen

Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Sie verwenden Kubernetes. Großartig! Wie wäre es mit seiner Sicherheit?

Wir alle wissen, dass Kubernetes heute zu einer der besten Container-Orchestrierungsplattformen geworden ist. Mehr als 80% der Unternehmen setzen heute Kubernetes auf die eine oder andere Weise ein. Es automatisiert einfach die Bereitstellungskonfigurationen und die Verwaltung der Container.

Neben der Einfachheit hat Sicherheit auch einen der wichtigsten Bestandteile jeder containerisierten Anwendung. Sie müssen wissen, wie Sie den auf dem Kubernetes-Cluster ausgeführten Anwendungen robuste Sicherheit bieten können. Die Sicherheitsprobleme haben in den letzten Jahren exponentiell zugenommen, sodass der Fokus dieser Domäne auf jeder Organisation liegt.

Wenn Sie das wissen Grundlagen von KubernetesDann weist Kubernetes standardmäßig jedem Port in den Clustern eine IP-Adresse zu und bietet IP-basierte Sicherheit. Kubernetes bietet jedoch nur die grundlegenden Sicherheitsmaßnahmen. Wenn Sie über die erweiterte Sicherheitsüberwachung und Compliance-Durchsetzung von Administratoren sprechen, bietet Kubernetes diese Sicherheitsstufe leider nicht an. Glücklicherweise können Ihnen viele Open-Source-Kubernetes-Scanner von Drittanbietern dabei helfen, Ihre Kubernetes-Cluster zu sichern.

Hier sind einige Vorteile der Verwendung von Kubernetes-Scannern:

  • Identifiziert die Fehlkonfigurationen und Schwachstellen im Cluster, in den Containern und in den Pods
  • Bietet Lösungen zur Korrektur von Fehlkonfigurationen und zur Beseitigung von Sicherheitslücken
  • Es bietet eine Echtzeitansicht des Clusterzustands.
  • Gibt dem DevOps-Team mehr Vertrauen in die Entwicklung und Stellen Sie die Anwendungen auf einem Kubernetes bereit Gruppe
  • Es hilft, Clusterfehler zu vermeiden, indem das Problem frühzeitig erkannt wird.

Lassen Sie uns die folgenden Tools untersuchen, um Sicherheitslücken und Fehlkonfigurationen zu finden und Ihre Sicherheit zu gewährleisten containerisierte Anwendungen.

Kube Hunter

Kube-Jäger ist ein Tool zum Scannen von Sicherheitslücken von Aqua Security für Ihren Kubernetes-Cluster. Dieses Tool ist sehr nützlich, um das Sicherheitsbewusstsein für Kubernetes-Cluster zu erhöhen. Dieses Tool bietet mehrere Standard-Scanoptionen wie Remote, Interlace und Netzwerk, um die Sicherheitsanfälligkeiten zu identifizieren.

Es enthält eine Liste aktiver und passiver Tests, mit denen die meisten Schwachstellen in einem Kubernetes-Cluster identifiziert werden können.

Kube Jäger - Geekflarefl

Es gibt verschiedene Möglichkeiten, wie Sie dieses Tool ausführen können.

  • Sie können die binäre Zip-Datei herunterladen, extrahieren oder mithilfe von pip Kube Hunter direkt auf einem Computer mit Netzwerkzugriff auf den Kubernetes-Cluster installieren. Nach der Installation können Sie Ihren Cluster nach Schwachstellen durchsuchen.
  • Die zweite Methode zur Verwendung von Kube Hunter ist als Docker-Container. Sie können Kube Hunter direkt auf einem Computer im Cluster installieren und dann die lokalen Netzwerke untersuchen, um die Cluster zu scannen.
  • Und die dritte Möglichkeit besteht darin, Kube Hunter als Pod in Ihrem Kubernetes-Cluster auszuführen. Auf diese Weise können Sie Schwachstellen in Anwendungs-Pods finden.

Kube Bench

Kube Bank ist eines der Open-Source-Sicherheitstools, mit denen überprüft wird, ob Ihre Bereitstellungen den Sicherheitsbenchmark der CIS (Center for Internet Security) erfüllen.

Es unterstützt die Benchmark-Tests für mehrere Versionen von Kubernetes. Abgesehen davon weist es auch auf die Fehler hin und hilft bei deren Behebung. Es bietet die Lösung zur Behebung der Fehler. Dieses Tool überprüft auch, ob die Benutzerautorisierung und -authentifizierung korrekt sind und die Daten sicher verschlüsselt sind. Es stellt sicher, dass die zulässige Bereitstellung den CIS-Principal zulässt.

Würfelbank

Kube Bench Eigenschaften:

  • Geschrieben als Go-Anwendung
  • Test auf Kubernetes-Master und -Knoten
  • Verfügbar als Container
  • Tests sind in definiert YAML, einfacher zu erweitern und zu aktualisieren
  • Unterstützt die Ausgabe im JSON-Format

Checkov

Checkov ist ein Sicherheitstool, das verwendet wird, um Cloud-Fehlkonfigurationen während der Erstellungszeit für Kubernetes zu verhindern. Terraform, Cloudformation, Serverless Framework und andere Infrastruktur-als-Code-Sprachen. Es ist in Python geschrieben und zielt darauf ab, die Sicherheitsakzeptanz und die Einhaltung von Best Practices zu verbessern.

Sie können Scans mit Checkov ausführen, um das zu analysieren Infrastruktur als Code.

checkov

Checkov-Funktionen:

  • Open Source und einfach zu bedienen
  • Mehr als 500 integrierte Sicherheitsrichtlinien
  • Best Practices für die Einhaltung von Vorschriften für AWS, Azure und Google Cloud
  • Unterstützt mehrere Ausgabeformate - CLI, JUnit XML, JSON
  • Integrieren Sie Scans in Ihre ci / cd-Pipelines
  • Führt eine Suche nach dem Eingabeordner aus, der Ihre enthält Terraform & Cloudformation-Dateien

MKIT

MKIT steht für Managed Kubernetes Inspection Tool. Mit diesem Tool können Sie wichtige Sicherheitsrisiken für Kubernetes-Cluster und deren Ressourcen schnell identifizieren. Es bietet schnelle und einfache Möglichkeiten, um die Fehlkonfigurationen im Cluster und die Workloads zu bewerten.

Das Tool verfügt über eine Schnittstelle, die ausgeführt wird http://localhost:8000 standardmäßig. Sie erhalten einen Überblick über fehlgeschlagene und bestandene Prüfungen. Im Abschnitt "Betroffene Ressourcen" erhalten Sie Details zu betroffenen und nicht betroffenen Ressourcen.

mkit

MKIT-Funktionen:

  • Erstellt mit allen Open-Source-Bibliotheken und -Tools
  • Einfach zu installieren und zu verwenden
  • Unterstützt mehrere Kubernetes-Anbieter - AKS, EKS und GKE
  • Speichert vertrauliche Daten im Container
  • Bietet eine Weboberfläche

Kubei

Kubei wird verwendet, um die unmittelbaren Risiken in einem Kubernetes-Cluster zu bewerten. Der größte Teil von Kubei ist in der Programmiersprache Go geschrieben. Es deckt alle CIS Docker-Benchmarks ab.

Es werden alle vom Kubernetes-Cluster, Anwendungs-Pods, System-Pods usw. verwendeten Bilder gescannt. Sie haben mehrere Optionen, um den Scan in Bezug auf die interessierende Schwachstelle, die Geschwindigkeit des Scans, den Umfang des Scans usw. anzupassen. Über die GUI Sie erhalten die Möglichkeit, alle im Cluster gefundenen Schwachstellen anzuzeigen und zu ermitteln, wie Sie diese verringern können.

Kubei

Kubei Eigenschaften:

  • Open-Source-Kubernetes Runtime Vulnerability Scanner
  • Scannt öffentliche Bilder, die in Ihrer Registrierung gehostet werden
  • Bietet den Echtzeitstatus des Clusterzustands
  • Web-Benutzeroberfläche zur Visualisierung von Scans
  • Bietet mehrere benutzerdefinierte Optionen für den Scan

Kube Scan

Kube-Scan ist ein Containerscanner, der selbst als Container geliefert wird. Sie installieren es in einem neuen Cluster. Anschließend werden die derzeit in Ihrem Cluster ausgeführten Workloads gescannt und die Risikobewertung sowie die Risikodetails in der benutzerfreundlichen Web-Benutzeroberfläche angezeigt. Die Risikobewertung wird von 0 bis 10 bewertet, 0 bedeutet kein Risiko und 10 bedeutet hohes Risiko.

Kubescan

Die von Kube Scan verwendete Formel und Bewertungsregeln basieren auf KCCSS, dem Kubernetes Common Configuration Scoring System, einem Open-Source-Framework. Es ähnelt CVSS (Common Vulnerability Scoring System). Es verwendet mehr als 30 Sicherheitseinstellungen wie Kubernetes-Richtlinien, -Funktionen und Berechtigungsstufen und erstellt eine Risikobasis, um eine Risikobewertung bereitzustellen. Die Risikobewertung basiert auch auf der Leichtigkeit der Ausbeutung oder der hohen Auswirkung und dem Umfang der Ausbeutung.

Kube Scan-Funktionen:

  • Open-Source-Tool zur Bewertung der Risikobewertung
  • Web-Benutzeroberfläche mit Details zur Risikobewertung und Risikobewertung
  • Es wird als Container im Cluster ausgeführt.
  • Scannt den Cluster alle 24 Stunden erneut

Kubeaudit

KubeauditWie der Name schon sagt, handelt es sich um ein Open-Source-Tool zur Überwachung von Kubernetes-Clustern. Es findet die Sicherheitsfehlkonfigurationen in den Kubernetes-Ressourcen und zeigt Ihnen, wie Sie sie beheben können. Es ist in der Sprache Go geschrieben, um es als Go-Paket oder Befehlszeilentool zu verwenden. Sie können es mit Brew mit einem einzigen Befehl auf Ihrem Computer installieren.

Es werden verschiedene Vorgehensweisen vorgeschlagen, z. B. das Ausführen von Anwendungen als Benutzer ohne Rootberechtigung und der schreibgeschützte Zugriff auf das Root-Dateisystem. Vermeiden Sie, Anwendungen im Cluster mehr Berechtigungen zu erteilen, um allgemeine Sicherheitsbedenken zu vermeiden. Es verfügt über eine umfangreiche Liste von Auditoren, mit denen die Sicherheitsbedenken des Kubernetes-Clusters getestet werden, z. B. SecurityContext of Pods.

kubeaudit

Kubeaudit-Funktionen:

  • Open-Source-Kubernetes-Auditing-Tool
  • Bietet drei verschiedene Modi: Manifest, Lokal, Cluster, um den Cluster zu überwachen
  • Gibt das Prüfergebnis in drei Schweregraden an - Fehler, Warnung, Info
  • Verwendet mehrere integrierte Auditoren zum Überprüfen von Containern, Pods und Namespaces

Kubesec

Kubesec ist ein Open-Source-Tool zur Analyse von Sicherheitsrisiken für Kubernetes-Ressourcen. Es überprüft die Konfiguration und die Manifestdateien, die für die Bereitstellung und den Betrieb von Kubernetes-Clustern verwendet werden. Sie können es auf Ihrem System installieren, indem Sie das Container-Image, das Binärpaket, einen Zulassungscontroller in Kubernetes oder ein Kubectl-Plugin verwenden.

Kubesec

Kubesec-Funktionen:

  • Ein Open-Source-Tool zur Risikoanalyse
  • Es wird mit einem gebündelten HTTP-Server geliefert, der standardmäßig bei 8080 im Hintergrund ausgeführt wird.
  • Führen Sie Kubesec-as-a-Service über HTTPS unter v2.kubesec.io/scan aus
  • Es kann mehrere YAML-Dokumente in einer einzigen Eingabedatei scannen.

Fazit

Diese Tools zielen darauf ab, den Kubernetes-Cluster und seine Ressourcen sicher zu halten und es Hackern zu erschweren, in die im Cluster ausgeführten Anwendungen einzudringen. Mithilfe der Scanner können Sie die Anwendungen im Cluster sicherer bereitstellen. Probieren Sie diese Tools aus und Identifizieren Sie die Schwachstellen in ihnen, bevor es ein Hacker tut.

Danke an unsere Sponsoren
Weitere großartige Lektüre zu DevOps
Macht Ihr Geschäft
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder