• Tiempo de lectura:8 minutos de lectura
  • Categoría de la entrada:Entornos de Ejecución

Kubernetes es, sin duda, la plataforma de orquestación preferida con más del 70-80 % de las organizaciones que la utilizan de una forma u otra. Con el aumento de su popularidad, la protección de los clústeres también se ha vuelto crucial en los últimos tiempos.

Kubernetes para la mayoría de las configuraciones proporciona seguridad básica de forma predeterminada, por ejemplo, seguridad basada en IP para clústeres.

Sin embargo, cuando se trata de medidas de seguridad avanzadas, debes integrarlas por tu propia cuenta.

Kubernetes no los proporciona. Por lo tanto, es fundamental mitigar los riesgos de seguridad utilizando herramientas de terceros.

La divulgación de vulnerabilidades conocidas puede ayudar a minimizar el riesgo en la industria de TI. Por lo tanto, el código abierto podría ser una gran opción.

En comparación con las herramientas de seguridad administradas, las herramientas de escaneo de código abierto brindan una opción de bajo costo para implementar rápidamente pruebas de seguridad y evitar el bloqueo de proveedores.

Exploremos algunas herramientas que pueden ayudarlo a encontrar vulnerabilidades y configuraciones incorrectas en su clúster de Kubernetes.

1. Panel Kubescape

Kubescape es una herramienta de código abierto que lo ayuda a evaluar la seguridad, las vulnerabilidades y la configuración de su clúster. Admite archivos YAML y puede detectar configuraciones incorrectas según múltiples marcos.

Después de escanear y analizar su clúster, generará un informe PDF o JSON con el análisis de riesgo. Es ideal escanear regularmente sus clústeres y archivos YAML, ya que identifica todas las vulnerabilidades que deben abordarse de inmediato.

Puede comenzar a escanear ejecutando el comando:

kubescape scan –submit –enable-host-scan –verbose

A partir de entonces, puedes enviar los resultados del análisis al portal de Kubescape. Puedes dirigirte a Kubescape y crear una cuenta.

Luego selecciona “escaneo de configuración” en el panel lateral. Al desplazarte hacia abajo, puedes encontrar tu número de cuenta.

Para enviar sus resultados al portal, ejecuta:

kubescape scan –submit –account=YOUR_ACCOUNT_NUMBER

La capacidad de almacenar y acceder a los resultados del análisis te ayudará a realizar un seguimiento de las mejoras y parches de seguridad.

2. Kube Bench

Kube Bench es una herramienta de código abierto de Aqua Security que le permite realizar pruebas en Kubernetes para confirmar que está siguiendo las mejores prácticas del Center for Internet Security (CIS). Kube Bench es una aplicación Go que se puede implementar como contenedor.

Estas pruebas funcionan con muchas versiones de Kubernetes y se definen en archivos de trabajo YAML que se pueden modificar y ampliar fácilmente para generar resultados de prueba en formato JSON.

Kube Bench señala los errores en los resultados de las pruebas y hace recomendaciones sobre cómo corregirlos. También funciona bien con herramientas automatizadas para garantizar que los datos se cifren adecuadamente tanto en tránsito como en reposo y que la implementación sigue los principios de privilegios mínimos.

Kube Bench es una excelente herramienta para descubrir problemas de incumplimiento de Kubernetes. Kube Bench 0.50 agregó soporte para cambiar las ubicaciones de kubeconfig para kube-controller y Scheduler. Para ejecutar Kube Bench en AKS, ejecute:

docker run –rm -v `pwd`:/host aquasec/kube-bench:última instalación ./kube-bench

3. Kubeaudit

Desarrollado por Shopify, Kubeaudit es una herramienta de línea de comandos que evalúa los clústeres de Kubernetes para las políticas de seguridad estándar. Está escrito en Go y se puede instalar en máquinas locales con un solo comando. Tiene múltiples modos de auditoría, incluidos manifiesto, local y clúster.

Los “auditores” en Kubeaudit son pruebas que se pueden ejecutar de forma simultánea o individual. Examina el clúster de Kubernetes contra un conjunto de auditorías, incluso si hay brechas que permitan la escalada de privilegios, si alguna imagen del clúster está mal configurada o si la cuenta raíz está deshabilitada para el sistema o no.

No solo busca vulnerabilidades en el clúster, sino que también brinda consejos sobre cómo solucionarlas. Cada “auditor” proporciona información detallada, así como prácticas sugeridas para implementar en su sistema.

Puede ejecutar Kubeaudit ejecutando el siguiente comando:

kubeaudit all -f “/ruta/a/config_or_manifest”

4. Kube Scan

Kube Scan de Octarine es una herramienta de gestión de riesgos para Kubernetes. Busca clústeres de Kubernetes y asigna una puntuación de riesgo a cada carga de trabajo, donde 0 representa bajo riesgo y 10 representa alto peligro. El marco del sistema de puntuación de configuración común de Kubernetes (KSCCSS) se utiliza para generar la puntuación de riesgo.

Es comparable al CVSS. Calcula una puntuación de riesgo basada en más de 30 parámetros de seguridad, como políticas, capacidades y niveles de privilegio de Kubernetes, así como una línea de base de riesgo. La facilidad de explotación o el alto impacto y la amplitud de la explotación también son factores en la puntuación de riesgo.

Kube Scan se puede ejecutar desde la línea de comandos y tiene una interfaz en línea fácil de usar para identificar y mostrar información de riesgo. También puede agregar reglas únicas al diseño del marco KCCSS.

Una vez que lo instala, escanea las cargas de trabajo que se ejecutan actualmente en el clúster y luego genera un informe detallado de gestión de riesgos.

5. Kube-hunter

Kube-hunter es otro escáner de vulnerabilidades de Kubernetes de código abierto desarrollado por Aqua Security y escrito en Python. Esta herramienta va más allá que Kube Bench, analiza los pods y clústeres de Kubernetes fuera de los procedimientos de CIS para encontrar fallas potencialmente peligrosas antes de que los atacantes las exploten al permitir que el usuario escriba un módulo personalizado que se puede ejecutar desde máquinas locales, de forma remota o incluso desde dentro. el clúster en modo activo y pasivo.

Agrega herramientas de prueba de identificación y penetración a las reglas CIS de Kube Bench para ayudar a encontrar posibles problemas de seguridad en el clúster de Kubernetes. Kube-hunter escanea vulnerabilidades de varias maneras, incluidas remotas, entrelazadas y de red, ejecutadas localmente o en un clúster.

Debe descargarse como un formato zip binario y ejecutarse usando pip directamente en una PC local con acceso de red al clúster. Alternativamente, Kube-hunter se puede instalar fácilmente en un entorno de Kubernetes ejecutándolo como un pod dentro del clúster.


Conclusión Final

Para un monitoreo exitoso y sistemas robustos, es fundamental seleccionar la herramienta correcta.

Algunas de las herramientas mencionadas anteriormente permiten hacer más que solo monitorear; también le permiten administrar, solucionar problemas y rastrear.

Al igual que las métricas que utiliza, las herramientas deben seleccionarse y utilizarse cuidadosamente en función de sus necesidades y las de su empresa.