Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En DevOps y Seguridad  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

8 Escáner de Kubernetes para encontrar vulnerabilidades de seguridad y errores de configuración

Por

Está utilizando Kubernetes. Estupendo ¿Qué le parece su seguridad?

Todos sabemos que Kubernetes se ha convertido en una de las mejores plataformas de orquestación de contenedores de la actualidad. Más del 80% de las organizaciones actuales aprovechan Kubernetes de una forma u otra. Simplemente automatiza las configuraciones de aprovisionamiento y la gestión de los contenedores

Pero aparte de la simplicidad, la seguridad también es una de las partes más cruciales de cualquier aplicación en contenedores. Debe ser consciente de cómo proporcionar una seguridad robusta a las aplicaciones que se ejecutan en el clúster Kubernetes. Los problemas de seguridad han aumentado exponencialmente en los últimos años, por lo que este ámbito está en el punto de mira de todas las organizaciones.

Si conoce los fundamentos de Kubernetes, entonces sabrá que, por defecto, Kubernetes asigna una dirección IP a cada puerto de los clústeres y proporciona seguridad basada en IP. Pero Kubernetes sólo proporciona las medidas de seguridad básicas. Desgraciadamente, cuando se habla de la supervisión avanzada de la seguridad y de la aplicación de las normas por parte de los administradores, Kubernetes no proporciona ese nivel de seguridad. Pero, afortunadamente, muchos escáneres de código abierto de terceros para Kubernetes pueden ayudarle a proteger sus clústeres Kubernetes

He aquí algunas ventajas de utilizar escáneres de Kubernetes

  • Identifica las desconfiguraciones y vulnerabilidades en el clúster, los contenedores y los pods
  • Proporciona soluciones para corregir las configuraciones erróneas y eliminar las vulnerabilidades
  • Proporciona una visión en tiempo real de la salud del clúster.
  • Da más confianza al equipo de DevOps para desarrollar y desplegar las aplicaciones en un clúster Kubernetes
  • Ayuda a evitar fallos en el clúster identificando el problema en una fase temprana.

Exploraremos las siguientes herramientas que le ayudarán a encontrar vulnerabilidades de seguridad y errores de configuración para proporcionar seguridad a sus aplicaciones en contenedores

Cazador de Kube

Kube Hunter es una herramienta de exploración de vulnerabilidades de Aqua Security para su clúster Kubernetes. Esta herramienta es muy útil para aumentar la concienciación sobre la seguridad de los clústeres Kubernetes. Esta herramienta ofrece múltiples opciones de escaneo estándar como remoto, entrelazado, red para identificar las vulnerabilidades

Tiene una lista de pruebas activas y pasivas que pueden identificar la mayoría de las vulnerabilidades presentes en un clúster Kubernetes

cazador de kube - geekflare

Puede ejecutar esta herramienta de varias formas

  • Puede descargar el archivo zip binario, extraerlo o utilizar pip para instalar directamente Kube Hunter en una máquina con acceso de red al clúster Kubernetes. Tras la instalación, puede empezar a escanear su clúster en busca de vulnerabilidades.
  • El segundo método para utilizar Kube Hunter es como contenedor Docker. Puede instalar directamente Kube Hunter en una máquina del clúster y luego sondear las redes locales para escanear los clústeres.
  • Y la tercera forma es ejecutar Kube Hunter como un pod dentro de su clúster Kubernetes. Esto le ayudará a encontrar vulnerabilidades en cualquier pod de aplicación.

Banco de Kube

Kube Banco es una de las herramientas de seguridad de calidad de código abierto que comprueba si sus despliegues cumplen el punto de referencia de seguridad del CIS (Centro para la Seguridad en Internet)

Admite las pruebas de referencia para varias versiones de Kubernetes. Además, también señala los errores y ayuda a solucionarlos. Proporciona la solución para arreglar los errores. Esta herramienta también comprueba que la autorización y la autenticación de los usuarios sean correctas y que los datos estén cifrados de forma segura. Se asegura de que el despliegue permitido hasta permite el CIS principal

banco kube

Características de Kube Bench

  • Escrito como aplicación Go
  • Prueba para maestros y nodos Kubernetes
  • Disponible como contenedor
  • Las pruebas se definen en YAML, más fácil de ampliar y actualizar
  • Admitir salida en formato JSON

Checkov

Checkov es una herramienta de seguridad utilizada para evitar configuraciones erróneas de la nube durante el tiempo de compilación para Kubernetes, Terraform, Cloudformation, Serverless framework y otros lenguajes de infraestructura como código. Está escrito en Python y su objetivo es aumentar la adopción de la seguridad y el cumplimiento de las mejores prácticas

Puede ejecutar exploraciones utilizando Checkov para analizar la infraestructura como código

checkov

Características de Checkov

  • De código abierto y fácil de usar
  • Más de 500 políticas de seguridad incorporadas
  • Cumplimiento de las mejores prácticas para AWS, Azure y Google Cloud
  • Soporta múltiples formatos de salida - CLI, JUnit XML, JSON
  • Integra escaneos a sus oleoductos ci/cd
  • Ejecuta escaneos para la carpeta de entrada que contiene sus archivos Terraform & Formación en nube

MKIT

MKIT son las siglas de Managed Kubernetes Inspection Tool. Esta herramienta le ayuda a identificar rápidamente los principales riesgos de seguridad para los clústeres Kubernetes y sus recursos. Dispone de formas rápidas y sencillas de evaluar los errores de configuración en el clúster y las cargas de trabajo

La herramienta viene con una interfaz que se ejecuta en http://localhost:8000 por defecto. Le ofrece una vista de las comprobaciones fallidas y de las comprobaciones superadas. En la sección de recursos afectados, obtendrá los detalles de los recursos afectados y no afectados

mkit

Características de MKIT

  • Construido utilizando todas las bibliotecas y herramientas de código abierto
  • Fácil de instalar y utilizar
  • Admite varios proveedores de Kubernetes: AKS, EKS y GKE
  • Almacena datos sensibles dentro del contenedor
  • Proporciona una interfaz web

Kubei

Kubei se utiliza para evaluar los riesgos inmediatos en un clúster Kubernetes. La mayor parte de Kubei está escrita en el lenguaje de programación Go. Cubre todos los puntos de referencia de Docker del CIS

Escanea todas las imágenes utilizadas por el clúster Kubernetes, pods de aplicación, pods de sistema, etc. Dispone de múltiples opciones para personalizar el escaneado en términos de nivel de vulnerabilidad de interés, velocidad del escaneado, alcance del escaneado, etc. Con la interfaz gráfica de usuario que proporciona, podrá ver todas las vulnerabilidades que encuentra en el clúster y cómo mitigarlas

kubei

Características de Kubei

  • Escáner de vulnerabilidades en tiempo de ejecución de Kubernetes de código abierto
  • Escanea las imágenes públicas alojadas en su registro
  • Proporciona el estado en tiempo real de la salud del clúster
  • Interfaz de usuario web para la visualización de los escaneos
  • Proporciona múltiples opciones personalizadas para el escaneado

Kube Scan

Kube Escanear es un escáner de contenedores que viene como un contenedor en sí mismo. Usted lo instala en un nuevo clúster, tras lo cual escanea las cargas de trabajo que se están ejecutando actualmente en su clúster y le muestra la puntuación de riesgo y los detalles del riesgo en la amigable interfaz web. La puntuación de riesgo se califica de 0 a 10, 0 significa que no hay riesgo y 10 que hay un riesgo alto

kubescan

La fórmula utilizada y las reglas de puntuación empleadas por Kube scan se basan en KCCSS, el Sistema de Puntuación de Configuración Común de Kubernetes, que es un marco de trabajo de código abierto. Es similar a CVSS (Common Vulnerability Scoring System). Utiliza más de 30 configuraciones de seguridad como políticas de Kubernetes, capacidades, niveles de privilegio y crea una línea base de riesgo para proporcionar una puntuación de riesgo. La puntuación de riesgo también se basa en la facilidad de explotación o el alto impacto y alcance de la explotación

Características de Kube Scan

  • Herramienta de puntuación de evaluación de riesgos de código abierto
  • Interfaz web con evaluación de riesgos y detalles de la puntuación de riesgos
  • Se ejecuta como un contenedor en el clúster.
  • Vuelva a escanear el clúster cada 24 horas

Kubeaudit

Kubeaudit, como su nombre indica, es una herramienta de auditoría de clústeres Kubernetes de código abierto. Encuentra las desconfiguraciones de seguridad en los recursos de Kubernetes y le indica cómo resolverlas. Está escrito en lenguaje Go para utilizarlo como un paquete Go o como una herramienta de línea de comandos. Puede instalarlo en su máquina utilizando brew con un solo comando

Sugiere varias prácticas, como ejecutar las aplicaciones como usuario no root, dar acceso de sólo lectura al sistema de archivos root, evitar dar más privilegios a las aplicaciones en el clúster para prevenir problemas de seguridad comunes. Dispone de una extensa lista de auditores utilizados para comprobar los problemas de seguridad del clúster Kubernetes, como el SecurityContext de los pods

kubeaudit

Características de Kubeaudit

  • Herramienta de auditoría de Kubernetes de código abierto
  • Proporciona tres modos diferentes - manifiesto, local, clúster, para auditar el clúster
  • Proporciona el resultado de la auditoría en tres niveles de gravedad - Error, Advertencia, Información
  • Utiliza varios auditores incorporados para auditar contenedores, pods, espacios de nombres

Kubesec

Kubesec es una herramienta de análisis de riesgos de seguridad de código abierto para recursos Kubernetes. Valida la configuración y los archivos de manifiesto utilizados para el despliegue y las operaciones del clúster Kubernetes. Puede instalarlo en su sistema utilizando su imagen de contenedor, su paquete binario, un controlador de admisión en Kubernetes o un plugin kubectl

kubesec

Características de Kubesec

  • Una herramienta de análisis de riesgos de código abierto
  • Viene con un servidor HTTP incluido que se ejecuta en segundo plano en el 8080 por defecto.
  • Ejecute Kubesec-as-a-Service a través de HTTPS en v2.kubesec.io/scan
  • Puede escanear múltiples documentos YAML en un único archivo de entrada.

Conclusión

Estas herramientas tienen como objetivo mantener el clúster Kubernetes y sus recursos seguros y dificultar a los hackers la irrupción en las aplicaciones que se ejecutan dentro del clúster. Los escáneres le ayudarán a desplegar las aplicaciones en el clúster con mayor confianza. Así que, adelante, pruebe estas herramientas y identifique las vulnerabilidades que presentan antes de que lo haga un hacker.

  • Avi
    Autor
    Avi es un entusiasta de la tecnología con experiencia en tecnologías de tendencia como DevOps, Cloud Computing, Big Data y muchas más. Le apasiona aprender tecnologías de vanguardia y compartir sus conocimientos con los demás a través de... Seguir leyendo
Gracias a nuestros patrocinadores
Más lecturas sobre DevOps
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder