• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Vous utilisez Kubernetes. Génial! Et sa sécurité?

    Nous savons tous que Kubernetes est devenu l'une des meilleures plates-formes d'orchestration de conteneurs aujourd'hui. Aujourd'hui, plus de 80% des entreprises exploitent Kubernetes d'une manière ou d'une autre. Il automatise simplement les configurations de provisionnement et la gestion des conteneurs.

    Mais outre la simplicité, la sécurité a également l'un des éléments les plus cruciaux de toute application conteneurisée. Vous devez savoir comment fournir une sécurité robuste aux applications exécutées sur le cluster Kubernetes. Les problèmes de sécurité ont augmenté de façon exponentielle au cours des dernières années, de sorte que ce domaine se concentre sur chaque organisation.

    Si vous connaissez le bases de Kubernetes, alors vous savez que Kubernetes par défaut attribue une adresse IP à chaque port des clusters et fournit une sécurité basée sur IP. Mais Kubernetes ne fournit que les mesures de sécurité de base. Malheureusement, lorsque vous parlez de la surveillance avancée de la sécurité et de l'application de la conformité des administrateurs, Kubernetes ne fournit pas ce niveau de sécurité. Mais heureusement, de nombreux scanners Kubernetes open-source tiers peuvent vous aider à sécuriser vos clusters Kubernetes.

    Voici quelques avantages de l'utilisation des scanners Kubernetes:

    • Identifie les erreurs de configuration et les vulnérabilités dans le cluster, les conteneurs, les pods
    • Fournit des solutions pour corriger les erreurs de configuration et supprimer les vulnérabilités
    • Il donne une vue en temps réel de la santé du cluster.
    • Donne plus de confiance à l'équipe DevOps pour développer et déployer les applications sur un cluster Kubernetes
    • Cela permet d'éviter la défaillance du cluster en identifiant le problème à un stade précoce.

    Explorons les outils suivants pour vous aider à trouver les failles de sécurité et les erreurs de configuration pour assurer la sécurité de votre applications conteneurisées.

    Chasseur de Kube

    Chasseur de Kube est un outil d'analyse de vulnérabilité d'Aqua Security pour votre cluster Kubernetes. Cet outil est très utile pour accroître la sensibilisation à la sécurité des clusters Kubernetes. Cet outil offre plusieurs options d'analyse standard telles que la télécommande, l'entrelacement, le réseau pour identifier les vulnérabilités.

    Il contient une liste de tests actifs et passifs qui peuvent identifier la plupart des vulnérabilités présentes dans un cluster Kubernetes.

    chasseur de kube - geekflare

    Il existe différentes manières d'exécuter cet outil.

    • Vous pouvez télécharger le fichier zip binaire, l'extraire ou utiliser pip pour installer directement Kube Hunter sur une machine disposant d'un accès réseau au cluster Kubernetes. Après l'installation, vous pouvez commencer à analyser votre cluster à la recherche de vulnérabilités.
    • La deuxième méthode d'utilisation de Kube Hunter est en tant que conteneur docker. Vous pouvez directement installer Kube Hunter sur une machine du cluster, puis sonder les réseaux locaux pour analyser les clusters.
    • Et la troisième méthode consiste à exécuter Kube Hunter en tant que pod dans votre cluster Kubernetes. Cela vous aide à trouver des vulnérabilités dans tous les pods d'application.

    Banc Kube

    Banc Kube est l'un des outils de sécurité de qualité open-source qui vérifie si vos déploiements répondent au référentiel de sécurité CIS (Center for Internet Security).

    Il prend en charge les tests de référence pour plusieurs versions de Kubernetes. En dehors de cela, il souligne également les erreurs et aide à les corriger. Il fournit la solution pour corriger les erreurs. Cet outil vérifie également que l'autorisation et l'authentification de l'utilisateur sont correctes, les données sont cryptées de manière sécurisée. Il garantit que le déploiement autorisé autorise le principal CIS.

    banc kube

    Caractéristiques du banc Kube:

    • Écrit comme application Go
    • Tester les maîtres et les nœuds Kubernetes
    • Disponible en conteneur
    • Les tests sont définis dans YAML, plus facile à étendre et à mettre à jour
    • Prend en charge la sortie au format JSON

    Checkov

    Checkov est un outil de sécurité utilisé pour éviter les erreurs de configuration du cloud pendant la construction de Kubernetes, Terraform, Cloudformation, Framework sans serveur et autres langages d'infrastructure en tant que code. Il est écrit en Python et vise à accroître l'adoption de la sécurité et la conformité aux meilleures pratiques.

    Vous pouvez exécuter des analyses à l'aide de Checkov pour analyser infrastructure comme code.

    checkov

    Caractéristiques de Checkov:

    • Open-source et simple à utiliser
    • Plus de 500 politiques de sécurité intégrées
    • Bonnes pratiques de conformité pour AWS, Azure et Google Cloud
    • Prend en charge plusieurs formats de sortie - CLI, JUnit XML, JSON
    • Intégrez des scans à vos pipelines ci / cd
    • Exécute l'analyse du dossier d'entrée contenant vos fichiers Terraform et Cloudformation

    MKIT

    MKIT signifie Managed Kubernetes Inspection Tool. Cet outil vous aide à identifier rapidement les principaux risques de sécurité pour les clusters Kubernetes et leurs ressources. Il dispose de moyens rapides et faciles pour évaluer les erreurs de configuration dans le cluster et les charges de travail.

    L'outil est livré avec une interface qui fonctionne sur http://localhost:8000 par défaut. Il vous donne une vue des chèques échoués et des chèques réussis. Dans la section des ressources affectées, vous obtiendrez les détails des ressources affectées et non affectées.

    mkit

    Caractéristiques MKIT:

    • Construit à l'aide de toutes les bibliothèques et outils open-source
    • Facile à installer et à utiliser
    • Prend en charge plusieurs fournisseurs Kubernetes - AKS, EKS et GKE
    • Stocke les données sensibles à l'intérieur du conteneur
    • Fournit une interface Web

    Kubei

    Kubei est utilisé pour évaluer les risques immédiats dans un cluster Kubernetes. La majeure partie de Kubei est écrite dans le langage de programmation Go. Il couvre tous les benchmarks CIS Docker.

    Il scanne toutes les images utilisées par le cluster Kubernetes, les pods d'application, les pods système, etc. Vous obtenez plusieurs options pour personnaliser l'analyse en termes de niveau de vulnérabilité d'intérêt, de vitesse de l'analyse, de portée de l'analyse, etc. il fournit, vous obtenez de voir toutes les vulnérabilités qu'il trouve dans le cluster et comment les atténuer.

    kubei

    Caractéristiques de Kubei:

    • Scanner de vulnérabilité Open-Source Kubernetes Runtime
    • Analyse les images publiques hébergées dans votre registre
    • Fournit l'état en temps réel de la santé du cluster
    • Interface utilisateur Web pour la visualisation des scans
    • Fournit plusieurs options personnalisées pour l'analyse

    Balayage Kube

    Balayage Kube est un scanner de conteneurs qui se présente comme un conteneur lui-même. Vous l'installez dans un nouveau cluster, après quoi il analyse les charges de travail en cours d'exécution dans votre cluster et vous montre le score de risque et les détails du risque dans l'interface utilisateur Web conviviale. Le score de risque est noté de 0 à 10, 0 signifie aucun risque et 10 signifie risque élevé.

    kubescan

    La formule utilisée et les règles de notation utilisées par l'analyse Kube sont basées sur KCCSS, le système de notation de configuration commune Kubernetes, qui est un framework open-source. Il est similaire au CVSS (Common Vulnerability Scoring System). Il utilise plus de 30 paramètres de sécurité tels que les politiques Kubernetes, les capacités, les niveaux de privilège et crée une base de risque pour fournir un score de risque. Le score de risque est également basé sur la facilité d'exploitation ou sur l'impact élevé et la portée de l'exploitation.

    Caractéristiques de Kube Scan:

    • Outil de notation de l'évaluation des risques open-source
    • Interface utilisateur Web avec évaluation des risques et détails du score de risque
    • Il s'exécute en tant que conteneur dans le cluster.
    • Réanalyse le cluster toutes les 24 heures

    Kubeaudit

    Kubeaudit, comme son nom l'indique, est un outil d'audit de cluster Kubernetes open source. Il trouve les erreurs de configuration de sécurité dans les ressources Kubernetes et vous indique comment les résoudre. Il est écrit dans le langage Go pour l'utiliser comme package Go ou outil de ligne de commande. Vous pouvez l'installer sur votre machine en utilisant brew avec une seule commande.

    Il suggère diverses pratiques telles que l'exécution d'applications en tant qu'utilisateur non root, donnant un accès en lecture seule au système de fichiers racine, évitez d'accorder plus de privilèges aux applications du cluster pour éviter les problèmes de sécurité courants. Il dispose d'une liste complète d'auditeurs utilisés pour tester les problèmes de sécurité du cluster Kubernetes, tels que SecurityContext des pods.

    kubeaudit

    Caractéristiques de Kubeaudit:

    • Outil d'audit open-source Kubernetes
    • Fournit trois modes différents - manifeste, local, cluster, pour auditer le cluster
    • Donne le résultat de l'audit à trois niveaux de gravité - Erreur, Avertir, Info
    • Utilise plusieurs auditeurs intégrés pour auditer les conteneurs, les pods, les espaces de noms

    Kubesec

    Kubesec est un outil d'analyse des risques de sécurité open-source pour les ressources Kubernetes. Il valide la configuration et les fichiers manifestes utilisés pour le déploiement et les opérations du cluster Kubernetes. Vous pouvez l'installer sur votre système en utilisant son image de conteneur, son package binaire, un contrôleur d'admission dans Kubernetes ou un plugin kubectl.

    kubesec

    Caractéristiques de Kubesec:

    • Un outil d'analyse des risques open source
    • Il est livré avec un serveur HTTP fourni qui s'exécute en arrière-plan à 8080 par défaut.
    • Exécutez Kubesec-as-a-Service via HTTPS à v2.kubesec.io/scan
    • Il peut numériser plusieurs documents YAML dans un seul fichier d'entrée.

    Conclusion

    Ces outils visent à sécuriser le cluster Kubernetes et ses ressources et à empêcher les pirates de s'introduire dans les applications exécutées à l'intérieur du cluster. Les scanners vous aideront à déployer les applications sur le cluster avec plus de confiance. Alors, allez-y et essayez ces outils et identifier les vulnérabilités en eux avant qu'un pirate ne le fasse.