اما در مورد خوشه ها چطور؟
بیایید نگاهی به ابزارهای زیر بیاندازیم تا به شما کمک کند آسیب پذیری ها و تنظیمات نادرست را برای ایمن نگه داشتن برنامه های ضد کانتینر خود پیدا کنید.
Kube Hunter
Kube Hunter یک ابزار اسکن آسیب پذیری از Aqua است. امنیت خوشه Kubernetes شما.
این ابزار برای افزایش آگاهی در مورد امنیت خوشه های Kubernetes بسیار مفید است.
این ابزار چندین گزینه اسکن استاندارد مانند از راه دور ، شبکه را برای شناسایی آسیب پذیری ها ارائه می دهد.
لیست فعال است و تست های غیرفعال که می تواند بسیاری از آسیب پذیری های موجود در خوشه Kubernetes را نشان دهد.
روش های مختلفی برای اجرای این ابزار وجود دارد.
- شما می توانید فایل zip را بارگیری کنید ، آن را استخراج کنید یا از pip برای نصب مستقیم Kube Hunter در استفاده کنید ماشینی با دسترسی شبکه به خوشه Kubernetes. پس از نصب ، می توانید اسکن را شروع کنید آزمایش خوشه از نظر آسیب پذیری.
- روش دوم استفاده از Kube Hunter استفاده از ظرف Docker است. می توانید مستقیماً Kube Hunter را روی دستگاهی در خوشه نصب كنید و سپس LAN ها را برای اسكن خوشه ها جستجو كنید.
- و روش سوم اجرای Kube Hunter به عنوان غلاف درون خوشه Kubernetes است. این روش به شما کمک می کند تا آسیب پذیری ها را در هر برنامه کاربردی پیدا کنید.
Kube Bench
Kube Bench یکی از با کیفیت ترین ابزارهای امنیتی منبع باز است که بررسی می کند آیا استقرارهای شما برای آزمایشات امنیتی مرکز امنیت اینترنت (CIS)
این ابزار همچنین از معیارهای نسخه های مختلف Kubernetes پشتیبانی می کند.
علاوه بر این ، این همچنین اشکال را نشان می دهد و به رفع آنها کمک می کند.
این یک راه حل خوب رفع اشکال.
این ابزار همچنین صحت تأیید اعتبار و تأیید اعتبار کاربر و همچنین قدرت رمزگذاری داده ها را تأیید می کند.
19659021] ویژگی های Kube Bench:
- Written in Go
- Test Kubernetes گره اصلی و کارگری
- موجود به عنوان کانتینر
- تست ها در YAML تعریف شده اند ، تمدید و به روزرسانی آنها آسان تر است.
- پشتیبانی از خروجی JSON
] Checkov
Checkov یک ابزار امنیتی است که برای جلوگیری از نادرست پیکربندی ابر در هنگام ساخت برای Kubernetes ، Terraform ، Cloudformation ، frameless Server و سایر انواع زیرساخت ها به عنوان کد استفاده می شود.
این مقاله در Python نوشته شده و هدف آن بهبود امنیت و انطباق با بهترین شیوه ها.
می توانید اسکن های Checkov را برای تجزیه و تحلیل زیرساخت ها به عنوان کد اجرا کنید.
ویژگی های Checkov:
- OpenSource و کاربرد آسان
- بیش از 500 سیاست امنیتی داخلی
- دستورالعمل های انطباق با AWS ، Azure و Google Cloud
- از چندین فرمت خروجی پشتیبانی می کند – CLI ، JUnit XML ، JSON
- در تصاویر را در ci / cd شما برچسب گذاری می کند
- شروع به اسکن پوشه حاوی پرونده های Terraform و Cloudformation می کند.
Tufin
Tufin اسکریپت های مختلفی را ارائه می دهد که مورد علاقه ماست:
- kubernetes-vulnerabilities
- test-network – سیاست های
kubernetes-vulnerabilities
حاوی اطلاعاتی در مورد Kubernetes:
- آسیب پذیری
- افزونه ها کنترل کننده ] آسیب پذیری ها
هر پرونده در پوشه ها (وانیل ، gke ، eks و غیره) حاوی آسیب پذیری های شناخته شده k8s است.
هر پرونده حاوی لیستی از CVE هاست. هر CVE باید حاوی یکی از زمینه های زیر باشد:
- FixedIn: تعداد وصله هایی که هر نسخه جزئی آسیب پذیر را برطرف می کنند (با فرض ثابت بودن نسخه های بالاتر)
- ExistsIn: لیست نسخه های آسیب پذیر (دامنه ها یا نسخه ها)
FirstVulnerableVersion – اولین نسخه پیدا شد و این آسیب پذیری.
افزونه ها کنترل کننده پذیرش
این پرونده حاوی لیستی از افزونه های مدیر Kubernetes است.
هر پلاگین می تواند برای هر پلتفرم Kubernetes پیشنهادی داشته باشد (فعال / غیرفعال).
MKIT
MKIT مخفف Managed Kubernetes Inspection Tool است.
این ابزار به شما کمک می کند تا به سرعت خطرات اصلی امنیتی خوشه های Kubernetes و منابع آنها را شناسایی کنید.
این روش برای ارزیابی اشتباهات پیکربندی ها در یک خوشه و مواردی دارای روش های آسان و آسان است.
در http قابل اجرا است : // localhost: 8000 به طور پیش فرض.
این به شما ایده ای از چک های ناموفق و قبولی می دهد. در بخش منابع تحت تأثیر اطلاعات مفصلی درباره منابع تحت تأثیر و تحت تأثیر قرار خواهید گرفت.
ویژگی های MKIT :
- ساخته شده با استفاده از کلیه کتابخانه ها و ابزارهای منبع باز
- نصب و استفاده آسان
- پشتیبانی چندین ارائه دهنده Kubernetes – AKS ، EKS و GKE.
- داده های حساس را در داخل ظرف ذخیره می کند
- یک رابط وب فراهم می کند
Kubei
ما قبلاً به طور مفصل به آن پرداخته ایم:
☸️ نحوه بررسی یک Kubernetes خوشه ای برای آسیب پذیری ها؟
Kube Scan
Kube Scan یك اسكنر محفظه ای است كه خود به عنوان یك ظرف در می آید.
شما آن را در یك خوشه جدید نصب می كنید ، سپس بارهای فعلی را كه در حال اجرا هستند ، اسكن می كند خوشه ، و نمره خطر و اطلاعات دقیق در مورد آنها را در یک رابط وب مناسب به شما نشان می دهد.
نمره خطر از 0 تا 10 است ، 0 به معنی بدون خطر است و 10 به معنای خطر بالا است.
ویژگی های اسکن Kube: [19659022] یک ابزار ارزیابی خطر منبع باز
یک رابط وب با جزئیات ارزیابی ریسک
مانند ظرف در یک خوشه کار می کند.
P هر 24 ساعت دوباره خوشه را اسكن مي كند
Kubeaudit
Kubeaudit ، همانطور كه از نامش پیداست ، یك ابزار ممیزی خوشه Kubernetes منبع باز است.
این تنظیمات امنیتی نادرست را در منابع Kubernetes پیدا می كند و نحوه رفع آن را به شما می گوید.
] برای استفاده به عنوان بسته Go یا ابزار خط فرمان به زبان Go نوشته شده است.
شما می توانید با استفاده از دم کرده با یک دستور آن را بر روی دستگاه خود نصب کنید.
این روش های مختلفی مانند برنامه های راه اندازی را به عنوان یک روش غیر روت ارائه می دهد کاربر ، اجازه دسترسی فقط خواندنی به سیستم فایل ریشه ، جلوگیری از اعطای امتیازات اضافی به برنامه های موجود در خوشه برای جلوگیری از مشکلات امنیتی عمومی.
این لیست گسترده ای از ممیزی است که برای مسائل امنیتی خوشه Kubernetes مانند SecurityContext را برای غلاف آزمایش کنید.
و Kubeaudit:
- ابزار ممیزی منبع باز Kubernetes
- سه حالت مختلف – آشکار ، محلی ، خوشه ای ، برای حسابرسی خوشه فراهم می کند.
- نتایج حسابرسی را در سه سطح شدت ارائه می دهد – خطا ، هشدار ، اطلاعات.
- چندین ممیزی داخلی برای کانتینرها ، غلافها ، فضاهای نامی
Kubesec
Kubesec یك ابزار تجزیه و تحلیل خطر امنیتی منبع باز برای منابع Kubernetes است.
این تنظیمات و پرونده های آشكار استفاده شده برای استقرار و عملیات خوشه Kubernetes را تأیید می كند.
شما با استفاده از تصویر ظرف ، باینری ، پلاگین Kubernetes admin یا افزونه kubectl می تواند آن را بر روی سیستم نصب کند.
ویژگی های Kubesec:
- ابزار تحلیل ریسک منبع باز
- همراه با یک سرور HTTP داخلی ، که در پس زمینه 8080 به طور پیش فرض.
- Kubesec-as-a-service را از طریق HTTPS در v2.kubesec.io/scan
- اجرا می کند. این می تواند چندین اسناد YAML را در یک پرونده ورودی اسکن کند. [19659042] KubiScan
ما قبلاً آن را به طور مفصل بررسی كرده ایم:
🍿 KubiScan: خوشه Kubernetes را برای حقوق پرخطر بررسی كنید
Kubestrike
ما قبلاً به طور مفصل به آن پرداختیم:
☸️ Kubestrike: یك ابزار ممیزی امنیتی فوق العاده سریع برای Kubernetes
نتیجه گیری
این ابزارها برای حفظ خوشه Kubernetes و آن هستند منابع امن تر هستند و هک کردن برنامه های در حال اجرا در داخل یک خوشه برای هکرها دشوارتر است.
اسکنرها به شما کمک می کنند با اطمینان بیشتری برنامه ها را در یک خوشه مستقر کنید.
بنابراین این ابزارها را امتحان کنید و آسیب پذیری ها را قبل از اینکه مهاجم انجام دهد شناسایی کنید!