Kubestriker выполняет многочисленные углубленные проверки инфраструктуры Kubernetes, чтобы выявить неправильные конфигурации безопасности и проблемы, с которыми инженеры/разработчики DevOps могут столкнуться при использовании Kubernetes, особенно в производственной среде и в больших масштабах.
kubestriker не зависит от платформы и одинаково хорошо работает на многих платформах, таких как автономные k8s, Amazon EKS, Azure AKS, Google GKE и т.д.
Установка Kubestriker
Чтобы установить этот инструмент или клонировать и запустить это приложение, на вашем компьютере должны быть установлены Git, python3 и pip. Рекомендуется установить этот инструмент в виртуальной среде.
Создать виртуальную среду Python
| |
Активировать виртуальную среду Python
| |
Клонировать этот репозиторий
| |
Зайти в репозиторий
| |
Установить зависимости
| |
В случае появления ошибок в быстром наборе инструментов или в меню выбора
| |
Готовимся к Kubestriker
| |
Результат будет сгенерирован в текущем рабочем каталоге с именем цели
Установить с помощью pip
Чтобы установить и запустить это приложение, на вашем компьютере должен быть установлен pip.
Создать виртуальную среду Python
| |
Активировать виртуальную среду Python
| |
Установить с помощью pip
| |
В случае появления ошибок в быстром наборе инструментов или в меню выбора
| |
Готовимся к Kubestriker
| |
Результат будет сгенерирован в текущем рабочем каталоге с именем цели
Как раскрутить контейнер kubestriker
Используйте эту ссылку, чтобы просмотреть последние выпуски контейнера Kubestriker
Вращение контейнера kubestriker
| |
Замените пользователя vasantchinnipilli выше на свое имя пользователя или абсолютный путь к файлу конфигурации kube.
| |
Готовимся к Kubestriker
| |
Результат будет сгенерирован в текущем рабочем каталоге с именем цели
Текущие возможности
- Сканирует инфраструктуру Kubernetes, управляемую автономным и облачным провайдером
- На этапе разведки проверяется наличие различных сервисов или открытых портов
- Выполняет автоматическое сканирование, если включены небезопасные службы, службы чтения-записи или только для чтения.
- Выполняет как сканирование с аутентификацией, так и сканирование без аутентификации
- Сканирует широкий спектр неверных конфигураций IAM в кластере
- Сканирует широкий спектр неправильно настроенных контейнеров
- Сканирует на наличие множества неправильно настроенных политик безопасности подов
- Выполняет сканирование на наличие широкого спектра неверно настроенных сетевых политик
- Сканирует привилегии субъекта в кластере
- Запускает команды в контейнерах и передает обратно вывод
- Предоставляет конечные точки неправильно настроенных служб
- Предоставляет сведения о возможном повышении привилегий
- Предоставляет подробный отчет с подробным объяснением
Будущие улучшения
- Автоматизированная эксплуатация на основе выявленных проблем
- удобство автоматизации api и cicd
- Достойный интерфейс, облегчающий жизнь
Типы сканирования
Аутентифицированное сканирование
Такая проверка предполагает, что пользователь будет иметь как минимум права только для чтения и предоставит токен во время сканирования.
Сканирование без аутентификации
Сканирование без аутентификации будет успешным, если в целевом кластере разрешен анонимный доступ.
Выявление открытого небезопасного порта на главной ноде Kubernetes
Определение рабочего узла с открытыми портами kubelet для чтения и записи и только для чтения