对于Kubernetes用户而言,安全永远是最受关注的话题。在谷歌/百度搜索“Kubernetes安全”,你会搜到大量的文章、博客等信息。Rancher也十分重视用户的安全问题。原因很简单:你需要使容器和Kubernetes安全与企业中现有的安全配置文件保持一致。
在Kubernetes中有许多特性可以保证你的集群安全——身份验证和身份授权、etcd数据库中的secret和对象中的加密等等。但是除此之外,你还需要了解其他风险,比如权限逐步扩大并获取secret。
互联网安全中心(CIS)发布的全面的Kubernetes Benchmark为建立Kubernetes的安全配置提供了规范指导:
https://www.cisecurity.org/benchmark/kubernetes/
当你在查看Kubernetes及其安全状况时,需要考虑你的实际操作如何与其保持一致。特别要注意:
强化环境并与CIS的Benchmark保持一致
排查可能会被利用的漏洞
下图是有关Kubernetes安全的一个框架,本文重点介绍运行时和平台安全性的内容。
有一些十分优秀的工具可以利用CIS Benchmark检测当前Kubernetes环境中潜在的安全风险,并与你的安全实践保持一致。在本文中,我们将探讨其中的两个。
kube-bench和kube-hunter
kube-bench和kube-hunter是Aqua的开源工具,它们可以在Kubernetes集群中寻找安全问题。它们在Kubernetes基础架构堆栈中分析安全状况的方法有所区别。kube-bench主要用于让你的实践符合CIS的标准,而kube-hunter则关注你要暴露的漏洞。它们两个结合使用,可以为我们确定合规性提供一个很好的视角。
让我们先从kube-bench开始,它会根据CIS的安全性最佳实践检查Kubernetes是否部署。kube-bench可以运行在本地或在你的Kubernetes环境中作为容器。一旦部署完成,kube-bench会根据要执行的测试以及不同的Kubernetes版本,为你提供一些用于master或节点的配置文件。需要注意的是,配置文件会被写入YAML。那意味着你可以对它们进行调整以适应你的测试,或者当CIS或Kubernetes公开更多测试时直接采用它们即可。
以下CIS Benchmark摘要摘录了你可以获取、测试和修正的信息。kube-bench通过运行符合CIS Benchmark的测试来做到这一点。然后你将会获得总结性的信息以及在需要的时候会获得修正建议。例如,如果你在你的API Server上关闭了身份认证,那么给出的建议中会向你解释如何启用身份认证。你执行任意修正操作之后,需要再一次运行这个工具,直到完全符合标准。
CIS 的Kubernetes 安全性Benchmark,p14
运行kube-bench
kube-bench向你展示了如何根据CIS Benchmark或你的容器生命周期来调整你的环境,使其符合企业的最佳实践。
首先登录你的Kubernetes server,在上面直接运行kube-bench,并安装。通过运行Docker命令docker run –rm -v pwd:/host aquasec/kube-bench:latest install,可以在你的环境中部署容器,如下所示:
部署完成后,它将安装kube-bench,并将其运行在Kubernetes server上。这时,你需要决定运行哪个测试,并确定要展示哪些信息在屏幕上。它会默认展示很多信息,所以你可以设置几个标志(flag),让它只展示几项你需要的信息。如下所示:
以下是运行“./kube-bench node”这一命令的输出结果:
运行kube-hunter
kube-hunter会在你的环境内部或外部运行扫描功能,以让你了解在你的Kubernetes平台中的安全性漏洞。kube-hunter可以在集群内部或外部、在任何机器上作为一个容器运行。当你进入集群DNS或IP之后,kube-hunter就会开始查看你当前打开的端口、运行测试并查看是否存在任何漏洞。然后,你将会获得大量相关信息,可以帮助你确定下一步应该如何执行。
kube-hunter的默认状态是“passive”,这意味着它将查找诸如Kubernetes SSL证书中的电子邮件地址之类的内容,并检查开放端口、代理服务和dashboard。在“active”状态中,kube-hunter将会查找其他弱点,并利用发现的弱点来进一步探索漏洞,因此它十分强大。虽然kube-hunter不会查看容器镜像内部(有其他工具可以专门查看此处),但它可以运行可能暴露数据泄露或有危害的电子邮件地址的测试。
这有一个完整的列表,可以帮助你使用kube-hunter进行passive和active测试:
https://kube-hunter.aquasec.com/
你可以用以下几种方式来安装和运行kube-hunter:
本地机器:通过Python脚本安装,它可以让你执行远程扫描
容器:通过基于Docker的容器安装,你可以将该容器运行在你的Kubernetes集群内
Pod:这可以让你看到潜在危害的pod
本文我们将使用容器的方法。开始之前,需要在Aqua(https://kube-hunter.aquasec.com/)上注册,以获得一个token来安装一个Docker容器并运行远程扫描。
然后你将获得一个Docker命令
这有三个扫描选项(如下)。你可以修改显示的信息(基于日志),这取决于你想了解什么内容,例如debug、info(这是默认的)以及标准告警。
接下来,你将获得一个漏洞列表,其中包括严重性、用户环境的详细信息以及你可以与组织共享的URL。
结 论
在本文中,我们了解了两个强大的工具,kube-bench和kube-hunter,它们可以让你了解你的Kubernetes安全。就你的整体安全状况而言,这两个工具仅仅只是开始。你还需要解决容器生命周期的其他方面的问题。在CNCF中也有几种工具,你可以利用它们为Kubernetes及其中的服务构建全面安全的格局。
推荐阅读
独家!K8S安全成头等大事,2019年K8S漏洞盘点与解读
影响K8S Pod分配和调度策略的两大关键特性
5大基本技巧!助你在生产上顺利部署K8S Pod
About Rancher Labs
Rancher Labs由CloudStack之父梁胜创建。旗舰产品Rancher是一个开源的企业级Kubernetes管理平台,实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理。Rancher一向因操作体验的直观、极简备受用户青睐,被Forrester评为2018年全球容器管理平台领导厂商,被Gartner评为2017年全球最酷的云基础设施供应商。
目前Rancher在全球拥有超过一亿的下载量,并拥有包括中国人寿、华为、中国平安、兴业银行、民生银行、平安证券、海航科技、厦门航空、上汽集团、海尔、米其林、丰田、本田、中船重工、中联重科、迪斯尼、IBM、Cisco、Nvidia、辉瑞制药、西门子、CCTV、中国联通等全球著名企业在内的共40000家企业客户。
Rancher北上深沈阳火热招聘中!
↓↓↓
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
