Kubernetes安全扫描之kubescape

最新推荐文章于 2024-05-10 17:06:04 发布
最新推荐文章于 2024-05-10 17:06:04 发布
阅读量947 收藏 22
点赞数 9
文章标签: kubernetes 安全 容器 web安全 学习 网络 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wufjsjjx/article/details/137075629
版权

一 背景

Kubescape 是第一个用于测试 Kubernetes 是否按照 NSA 和 CISA 的 Kubernetes 强化指南中定义的安全部署的工具 使用 Kubescape 测试集群或扫描单个 YAML 文件并将其集成到您的流程中。

二 特性

  • 功能:提供多云 K8s 集群检测,包括风险分析、安全性兼容、 RBAC 可视化工具和图像漏洞扫描。
  • 集群扫描:Kubescape 扫描 K8s 集群、 YAML 文件和 HELM 图表,根据多个框架(如 NSA-CISA、 MITRE att & ck)、软件漏洞和在 CI/CD 管道早期阶段的 RBAC (基于角色的访问控制)违规检测错误配置,即时计算风险评分并显示随时间推移的风险趋势。
  • 工具集成:与其他 DevOps 工具集成,包括 Jenkins、 CircleCI、 Github 工作流、 Prometheus 和 Slack,并支持多云 k8部署,如 EKS、 GKE 和 AKS。

由于其简单易用的 CLI 界面、灵活的输出格式和自动扫描能力,它成为开发人员中增长最快的 Kubernetes 工具之一,节省了用户和管理员宝贵的时间、精力和资源

三 安装

3.1 Mac 安装

shell
复制代码
  brew tap armosec/kubescape
  brew install kubescape

3.2 Linux安装

shell
复制代码
curl -s https://raw.githubusercontent.com/armosec/kubescape/master/install.sh | /bin/bash

四 集群检测

4.1 执行扫描

扫描可分为本地集群扫描和提交结果到saas平台。

shell
复制代码
chmod +x /root/.kubescape/kubescape 
/root/.kubescape/kubescape scan framework nsa --exclude-namespaces kube-system,kube-public

4.2 输出结果

五 SaaS平台

saas平台地址:portal.armo.cloud/,主要有三大功能,

  • 集群检测
  • 镜像扫描
  • RBAC可视化

5.1 集群检测

与单独在集群检测输出不同,saas平台会将集群检测及上传到平台进行可视化展示

shell
复制代码
curl -s https://raw.githubusercontent.com/armosec/kubescape/master/install.sh | /bin/bash
  • 提交检测结果到平台
shell
复制代码
export ID=6xxxxxxxxxxx
kubescape scan --submit --account=${ID}
  • 查看结果

同时可根据提示跳转到详细安全信息内容

5.2 镜像扫描

shell
复制代码
helm repo add armo https://armosec.github.io/armo-helm/

helm upgrade --install armo  armo/armo-cluster-components -n armo-system --create-namespace --set accountGuid=${ID} --set clusterName=`kubectl config current-context`

  • 查看结果

可以看到集群整个镜像扫描的信息。

同时针对单个镜像也可以看到详细扫描信息。

可以针对单个镜像可以看是否有FIX AVAILABLE,以及FIX IN VERSION

5.3 RBAC可视化

目前RBAC功能还处于beat阶段。

六 其他

kubescape可以很方便的在Node节点对集群进行包风险分析、安全性兼容、 RBAC 可视化工具和图像漏洞扫描,同时可以利用SaaS非常方便的进行可视化,同时可以非常方便的与其他系统进行集成。

​最后

为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习包》免费分享(安全链接,放心点击)👈

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习包》免费分享(安全链接,放心点击)👈

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习包》免费分享(安全链接,放心点击)👈

瓦罗兰特顶级C位
关注
  • 9
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用 Kubescape 扫描 Kubernetes 漏洞
学海无涯苦作舟的博客
12-26 365
Kubescape 是来自 ARMO的新开源工具,可让您自动执行 Kubernetes 集群扫描以识别安全问题。Kubescape 根据NSA 和 CISA发布的强化建议审核您的集群。 以下是安装 Kubescape 并开始扫描集群的方法。定期扫描可以帮助您在问题被攻击者利用之前解决问题。 下载 Kubescape Kubescape 目前作为 Windows、macOS 和 Ubuntu 的预构建二进制文件分发。您可以直接从项目的 GitHub 发布页面下载它。 还有一个自动安装脚本,您可以将其粘贴到终.
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes 集群安全
探秘KubescapeKubernetes安全扫描的新锐利器
gitblog_00064的博客
04-25 404
探秘KubescapeKubernetes安全扫描的新锐利器 项目地址:https://gitcode.com/armosec/kubescape 项目简介 Kubescape 是一个开源项目,由Armosec开发并维护,旨在帮助用户确保他们的Kubernetes环境符合安全最佳实践。它是一款强大的工具,可以对你的Kubernetes集群进行深度的安全检查,发现潜在的风险和配置错误,并提供修复...
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1036
生产环境中的 k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
免费指南:如何在 2022 年加强 Kubernetes安全
u012516914的专栏
07-04 342
Kubernetes 现在是最流行的容器编排平台。世界上的 Mesoses 和 Docker Swarms 几乎消失了,老实说,我不会想念他们的。但其市场主导地位的不利之处在于,Kubernetes 也成为想要损害其安全性的不良行为者的严重目标。一些可悲的事实:容器安全处于糟糕的状态目前有 56% 的开发人员甚至没有扫描他们的容器!Gartner 预计,到 2023 年,...
Kubernetes 体验 kubescape
engchina的专栏
01-31 381
Kubernetes 体验 kubescape
探索Kubernetes安全的新利器:Kubescape
gitblog_00047的博客
03-20 620
探索Kubernetes安全的新利器:Kubescape 项目地址:https://gitcode.com/kubescape/kubescape 本文将向您介绍一个名为Kubescape的强大开源工具,它专为Kubernetes安全审计和合规性检查而设计。通过深入的技术解析和实际应用案例,我们将揭示其在保障云原生环境安全中的重要价值。 项目简介 Kubescape是基于Cloud Native...
Kubescape:涵盖所有Kubernetes安全的CNCF沙盒平台
k8scaptain的博客
01-19 393
来自ARMO的项目创建者表示,Kubescape近日被CNCF正式接受为沙盒项目,这标志着为Kubernetes项目提供全面开源安全平台的旅程的开始。
使用 kube-bench 和 kube-hunter 进行 Kubernetes 集群安全评估
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
02-09 1404
使用 kube-bench 和 kube-hunter 进行 Kubernetes 集群安全评估
如何验证 Kubernetes YAML 文件
weixin_44592002的博客
11-16 942
与 JSON 和 INI 相比, YAML更加紧凑和可读。比如我们定义一个80端口可以访问的pod,那么YAML、JSON、INI中的配置如下表所示:很明显,YAML 简化了我们定义 Kubernetes 应用程序的方式,特别是考虑到一个普通的应用程序可能涉及数十个配置文件。此外,YAML 的紧凑特性允许您将对象组合在一起,从而减少所需文件的数量。但是,定义我们的 Kubernetes 配置文件存在重大挑战,尤其是在尝试在清单文件之间嵌入约束和关系时。例如,我们如何确保内存限制配置为遵循最佳实践?
3、Kubernetes 集群安全 - 鉴权1
08-04
3、Kubernetes 集群安全 - 鉴权1
2、Kubernetes 集群安全 - 认证1
08-04
HTTP Base 认证:通过 用户名+密码 的方式认证用户名+:+密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heat
4、Kubernetes 集群安全 - 准入控制1
08-04
4、Kubernetes 集群安全 - 准入控制1
k8s-sec:Kubernetes安全
05-16
Kubernetes安全性:从图像卫生到网络策略建筑容器图像工具: 进一步阅读: 在Kubernetes中建立图像来源和安全性Docker和Kubernetes中的图像管理和可变性Kubernetes部署中的容器安全注意事项在Kubernetes安全地构建...
K8s源码分析(二)-K8s调度队列介绍
最新发布
slipegg的博客
05-10 1111
结合K8s源代码,对K8s的调度队列进行了深入分析
飞天使-k8s知识点31-rancher的正确打开方式
飞天使的博客
05-09 387
参考资料:https://stackoverflow.com/questions/66375380/kubectl-proxy-behind-nginx-invalid-upgrade-response。
Sealos急速部署生产用k8s集群
云胜的笔记
05-08 1061
sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config # 永久关闭,reboot生效。这来我装的是不使用docker的版本。最大的好处是提供 99 年证书,用到我跑路是足够了。使用 Sealos,可以安装一个不包含任何组件的裸 Kubernetes 集群。因为我们在oom时应该干脆的杀死应用,而不是用swap续命,引发级联故障。# 查看,我的服务器交付时就已经关了,现在有了阿里云的镜像源,速度嗖嗖快。
kubernetes落地shijian之旅
04-29
Kubernetes是当前最流行的容器编排平台之一,其强大的架构和功能让许多企业和团队选择将其落地应用于生产环境中。但是,Kubernetes的落地之旅并不是一条容易的道路。 首先,Kubernetes需要深入的学习和理解。由于其概念和操作方式都与传统的应用开发和运维有所不同,团队需要全面认知到其组件的作用和架构组成,并对其使用和管理方式进行深入掌握。 其次,在Kubernetes的落地实践中,开发和运维团队需要具备严谨的开发流程和良好的协作能力。由于Kubernetes是一个分工明确的平台,因此,团队需要密切协作,确保应用在多个容器之间的切换和迁移工作得以顺利进行。 最后,Kubernetes的运维部分也是一个巨大的挑战。在大规模的集群管理中,需要掌握一套高效的监控和管理系统,包括自动化部署,容器伸缩,负载均衡等等。此外,数据备份和灾备也是必不可少的环节,在应对系统故障和数据丢失情况时有着重要的作用。 总的来说,kuberenetes的落地需要全面的准备和深入的学习,它不仅仅是一种技术,更是一种理念和方法。只有通过不断的实践和完善,将其落实到各个层面,在业务发展中提供有力的推动,才能获得真正的收益和回报。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值