kubestriker:Kubernetes集群的安全审计工具

kubestriker 是一个开源,平台可靠性工具,用于识别Kubernetes集群中的安全性错误配置。

安全kubernetes.

它对Kubernetes平台上的一系列服务和开放端口进行了各种检查,有助于通过不断扫描,监控和警报任何异常,保护对Kubernetes集群的潜在攻击,允许用户查看Kubernetes基础架构的组件,并可视化攻击路径(黑客如何通过Kubernetes集群中的错误配置组件链接误导其攻击)。

Kubernetes. 已成为集装箱工作流程的流行开源平台和现代技术基础设施的关键构建模块。据Gartner称,2025年,超过85%的全球组织将在生产中运行集装箱应用。这种广泛的流行度和缺乏稳健的安全措施,使Kubernetes成为攻击者的完美目标,” Kubestriker’S Creator Vasant Chinnipilli,安全架构师和Devsecops从业者讲述了帮助净安全。

“创建和维护安全的Kubernetes本机基础架构并不容易,因为它涉及解决与集群中众多移动件相关的安全挑战,并减轻任何潜在攻击的风险。因此,KubeStriker出生于以最高效和用户友好的方式管理和克服这些问题。”

kubestriker特色

他于2020年12月发布了该工具的第一个版本,并达到了迄今取得的进展。

安全kubernetes.

kubestriker:

  • 扫描自我管理和云提供商管理(亚马逊EKS,Azure Aks,Google Gke)Kubernetes基础架构
  • 完成各种服务和/或开放端口的侦察阶段检查
  • 执行自动枚举以发现错误配置的服务
  • 可以进行经过身份验证的扫描和未经认证的扫描
  • 扫描集群中的各种IAM错误配置
  • 检测广泛的错误配置容器,豆荚安全策略,网络策略
  • 评估集群中受试者的过度特权
  • 在容器上运行命令并将其流回输出

“此外,KubeStriker还具有与Devops管道工具的CI / CD集成的能力,如Jenkins,Azure管道和竹子。这允许连续扫描基础设施,以在部署到沙箱/生产环境之前识别任何错误配置,” he added.

“该工具还允许Devops专业人士了解任何违规的根本原因,所以他们不’T必须与安全团队联系以获取指导,并自动生成一个报告,其中还可以由审计员和架构师使用的详细发现,以确保Devops遵守合规标准并与业务战略保持一致。”

限制和即将到来的功能

他继续添加新功能,并为该工具提供更大的计划。他目前正在努力:

  • 扩展扫描功能以包括扫描存储在AWS ECR上的图像中的漏洞中的容器注册表,Azure容器注册表,Google容器注册表,Docker Hub,Docker自主私有注册表,码头,港口,Gitlab和Jfrog注册表
  • 使用通知通道和票务工具(如Slack,PageRduty,HTTP端点,JIRA,SPLUNK,ELK,SUMO逻辑和Amazon S3)
  • 通过添加容器图像的扫描作为现有CI / CD管道的一部分加强监测功能,如Circleci,Jenkins,Buildkite,Azure Pipelines和Gitlab等现有CI / CD管道
  • 包含在集群内部发生的安全异常的连续扫描,监测和警报

kubestriker的安全性’■尚未审查的应用程序代码,因此他强烈建议用户控制对它的访问,并确保不可用于在组织中的公共域上访问。但是,他承诺,这种缺点将很快解决。

“自发布以来,Kubestriker已被访问超过10000次,我收到了全球许多行业专业人士的反馈。我很感谢我们的网络安全社区,以实现不断的支持和指导,特别是那些分享反馈和改进建议的人,” he added.

“创新需要合作,虽然kubestriker社区的采用者和贡献者正在稳步增长,但我希望通过与更多用户合作并获得更多船上的贡献者来继续扩大其使用。”

对于有兴趣在行动中看到的人,Vasant Chinnipilli将会 礼物和演示kubestriker at Black Hat Asia 2021 Arsenal on May 6.

分享这个