• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • Estás utilizando Kubernetes. ¡Genial! ¿Qué tal su seguridad?

    Todos sabemos que Kubernetes se ha convertido en una de las mejores plataformas de orquestación de contenedores de la actualidad. Más del 80% de las organizaciones actuales aprovechan Kubernetes de una forma u otra. Simplemente automatiza las configuraciones de aprovisionamiento y la gestión de los contenedores.

    Pero además de la simplicidad, la seguridad también tiene una de las partes más cruciales de cualquier aplicación en contenedores. Debe saber cómo proporcionar seguridad sólida a las aplicaciones que se ejecutan en el clúster de Kubernetes. Los problemas de seguridad han aumentado exponencialmente en los últimos años, por lo que este dominio se centra en todas las organizaciones.

    Si conoces el conceptos básicos de Kubernetes, entonces sabría, Kubernetes de forma predeterminada, asigna una dirección IP a cada puerto en los clústeres y proporciona seguridad basada en IP. Pero Kubernetes proporciona solo las medidas de seguridad básicas. Desafortunadamente, cuando habla de la supervisión de seguridad avanzada y la aplicación de cumplimiento de los administradores, Kubernetes no proporciona ese nivel de seguridad. Pero, afortunadamente, muchos escáneres de Kubernetes de código abierto de terceros pueden ayudarlo a proteger sus clústeres de Kubernetes.

    A continuación, se muestran algunos beneficios de utilizar los escáneres de Kubernetes:

    • Identifica las configuraciones incorrectas y las vulnerabilidades en el clúster, contenedores, pods
    • Proporciona soluciones para corregir las configuraciones incorrectas y eliminar las vulnerabilidades.
    • Ofrece una vista en tiempo real del estado del clúster.
    • Da más confianza al equipo de DevOps para desarrollar e implementar las aplicaciones en un clúster de Kubernetes
    • Ayuda a evitar fallas en el clúster al identificar el problema en la etapa inicial.

    Exploremos las siguientes herramientas para ayudarlo a encontrar vulnerabilidades de seguridad y configuraciones incorrectas para brindar seguridad a su aplicaciones en contenedores.

    Cazador de Kube

    Cazador de Kube es una herramienta de análisis de vulnerabilidades de Aqua Security para su clúster de Kubernetes. Esta herramienta es muy útil para aumentar la conciencia de seguridad de los clústeres de Kubernetes. Esta herramienta ofrece múltiples opciones de escaneo estándar como remoto, entrelazado, red para identificar las vulnerabilidades.

    Tiene una lista de pruebas activas y pasivas que pueden identificar la mayoría de las vulnerabilidades presentes en un clúster de Kubernetes.

    cazador de kube - geekflare

    Hay algunas formas diferentes de ejecutar esta herramienta.

    • Puede descargar el archivo zip binario, extraerlo o usar pip para instalar directamente Kube Hunter en una máquina con acceso de red al clúster de Kubernetes. Después de la instalación, puede comenzar a escanear su clúster en busca de vulnerabilidades.
    • El segundo método para utilizar Kube Hunter es como contenedor de ventana acoplable. Puede instalar Kube Hunter directamente en una máquina del clúster y luego sondear las redes locales para escanear los clústeres.
    • Y la tercera forma es ejecutar Kube Hunter como un pod dentro de su clúster de Kubernetes. Esto le ayuda a encontrar vulnerabilidades en cualquier módulo de aplicaciones.

    Banco Kube

    Banco Kube es una de las herramientas de seguridad de calidad de código abierto que verifica si sus implementaciones cumplen con el estándar de seguridad de CIS (Center for Internet Security).

    Es compatible con las pruebas comparativas para varias versiones de Kubernetes. Aparte de eso, también señala los errores y ayuda a corregirlos. Proporciona la solución para corregir los errores. Esta herramienta también verifica para garantizar que la autorización y autenticación del usuario sean adecuadas, que los datos estén encriptados de forma segura. Asegura que la implementación permitida permite el principal de CIS.

    banco kube

    Características del banco Kube:

    • Aplicación Written as Go
    • Prueba para maestros y nodos de Kubernetes
    • Disponible como contenedor
    • Las pruebas se definen en Ñame, más fácil de ampliar y actualizar
    • Admite salida en formato JSON

    Checkov

    Checkov es una herramienta de seguridad que se utiliza para evitar configuraciones incorrectas en la nube durante el tiempo de compilación de Kubernetes, Terraform, Cloudformation, marco sin servidor y otros lenguajes de infraestructura como código. Está escrito en Python y tiene como objetivo aumentar la adopción de seguridad y el cumplimiento de las mejores prácticas.

    Puede ejecutar escaneos con Checkov para analizar el infraestructura como código.

    checkov

    Características de Checkov:

    • De código abierto y fácil de usar
    • Más de 500 políticas de seguridad integradas
    • Mejores prácticas de cumplimiento para AWS, Azure y Google Cloud
    • Admite varios formatos de salida: CLI, JUnit XML, JSON
    • Integre escaneos a sus pipelines ci / cd
    • Ejecuta un análisis de la carpeta de entrada que contiene sus archivos de Terraform y Cloudformation

    MKIT

    MKIT son las siglas de Managed Kubernetes Inspection Tool. Esta herramienta lo ayuda a identificar rápidamente los riesgos de seguridad clave para los clústeres de Kubernetes y sus recursos. Tiene formas rápidas y fáciles de evaluar las configuraciones incorrectas en el clúster y las cargas de trabajo.

    La herramienta viene con una interfaz que se ejecuta en http://localhost:8000 por defecto. Le da una vista de los cheques fallidos y pasados. En la sección de recursos afectados, obtendrá los detalles de los recursos afectados y no afectados.

    mkit

    Características MKIT:

    • Construido usando todas las bibliotecas y herramientas de código abierto
    • Fácil de instalar y usar
    • Admite varios proveedores de Kubernetes: AKS, EKS y GKE
    • Almacena datos sensibles dentro del contenedor
    • Proporciona una interfaz web.

    Kubei

    Kubei se utiliza para evaluar los riesgos inmediatos en un clúster de Kubernetes. La mayor parte de Kubei está escrita en el lenguaje de programación Go. Cubre todos los puntos de referencia de CIS Docker.

    Escanea todas las imágenes utilizadas por el clúster de Kubernetes, pods de aplicaciones, pods del sistema, etc. Obtiene múltiples opciones para personalizar el escaneo en términos de nivel de vulnerabilidad de interés, velocidad del escaneo, alcance del escaneo, etc. Con la GUI proporciona, puede ver todas las vulnerabilidades que encuentra en el clúster y cómo mitigarlas.

    kubei

    Características de Kubei:

    • Escáner de vulnerabilidad en tiempo de ejecución de Kubernetes de código abierto
    • Escanea imágenes públicas alojadas en su registro
    • Proporciona el estado en tiempo real del estado del clúster.
    • Interfaz de usuario web para visualización de escaneos
    • Proporciona múltiples opciones personalizadas para escanear

    Escaneo de Kube

    Escaneo de Kube es un escáner de contenedores que viene como contenedor en sí mismo. Lo instala en un nuevo clúster, después de lo cual escanea las cargas de trabajo que se están ejecutando actualmente en su clúster y le muestra la puntuación de riesgo y los detalles de riesgo en la interfaz de usuario web amigable. La puntuación de riesgo se clasifica de 0 a 10, 0 significa que no hay riesgo y 10 significa alto riesgo.

    kubescan

    La fórmula utilizada y las reglas de puntuación utilizadas por el análisis de Kube se basan en KCCSS, el sistema de puntuación de configuración común de Kubernetes, que es un marco de código abierto. Es similar a CVSS (Common Vulnerability Scoring System). Utiliza más de 30 configuraciones de seguridad, como políticas, capacidades y niveles de privilegios de Kubernetes, y crea una línea de base de riesgo para proporcionar una puntuación de riesgo. La puntuación de riesgo también se basa en la facilidad de explotación o el alto impacto y alcance de la explotación.

    Características de Kube Scan:

    • Herramienta de puntuación de evaluación de riesgos de código abierto
    • Interfaz de usuario web con evaluación de riesgos y detalles de puntuación de riesgo
    • Funciona como un contenedor en el clúster.
    • Vuelve a escanear el clúster cada 24 horas.

    Kubeaudit

    Kubeaudit, como sugiere el nombre, es una herramienta de auditoría de clústeres de Kubernetes de código abierto. Encuentra las configuraciones incorrectas de seguridad en los recursos de Kubernetes y le indica cómo resolverlas. Está escrito en el lenguaje Go para usarlo como paquete Go o como herramienta de línea de comandos. Puede instalarlo en su máquina usando brew con un solo comando.

    Sugiere varias prácticas, como ejecutar aplicaciones como un usuario sin root, otorgar acceso de solo lectura al sistema de archivos raíz, evitar otorgar más privilegios a las aplicaciones en el clúster para evitar problemas de seguridad comunes. Tiene una lista extensa de auditores que se utilizan para probar las preocupaciones de seguridad del clúster de Kubernetes, como SecurityContext de los pods.

    kubeauditar

    Características de Kubeaudit:

    • Herramienta de auditoría de Kubernetes de código abierto
    • Proporciona tres modos diferentes: manifiesto, local, clúster, para auditar el clúster.
    • Da el resultado de la auditoría en tres niveles de gravedad: error, advertencia, información
    • Utiliza varios auditores incorporados para auditar contenedores, pods, espacios de nombres

    Kubesec

    Kubesec es una herramienta de análisis de riesgos de seguridad de código abierto para los recursos de Kubernetes. Valida la configuración y los archivos de manifiesto utilizados para la implementación y las operaciones del clúster de Kubernetes. Puede instalarlo en su sistema usando su imagen de contenedor, su paquete binario, un controlador de admisión en Kubernetes o un complemento de kubectl.

    kubesec

    Características de Kubesec:

    • Una herramienta de análisis de riesgos de código abierto
    • Viene con un servidor HTTP incluido que se ejecuta en segundo plano en 8080 de forma predeterminada.
    • Ejecute Kubesec-as-a-Service a través de HTTPS en v2.kubesec.io/scan
    • Puede escanear varios documentos YAML en un solo archivo de entrada.

    Conclusión

    Estas herramientas tienen como objetivo mantener el clúster de Kubernetes y sus recursos seguros y dificultar que los piratas informáticos entren en las aplicaciones que se ejecutan dentro del clúster. Los escáneres lo ayudarán a implementar las aplicaciones en el clúster con más confianza. Por lo tanto, pruebe estas herramientas y identificar las vulnerabilidades en ellos antes de que lo haga un hacker.