Kubernetes Cluster Güvenlik(Vulnerabilities)
Merhabalar,
Bu yazımda Kubernetes Clusterımız güvenlik test yapabilceğimiz open-source “kubescape” inceliycez.
Kubescape: Kubernetes birden fazla kütüphane göre güvenli bir şekilde deployment yapılıp yapılmadığını test etmek için kullanılan açık kaynaklı bir araçtır. DevSecOps için best practise bir uygulamadır.
Kubescape, güvenlik sorunlarını belirlemek için Kubernetes küme(cluster) taramalarını otomatikleştirmenize olanak tanıyan ARMO’nun yeni bir açık kaynaklı aracıdır. Kubescape, kümenizi NSA ve CISA tarafından yayınlanan sağlamlaştırma önerilerine göre denetler.
Kubescape temel olarak kontrol ettiği ;
- Access Kubernetes dashboard
- Access container service account
- Access tiller endpoint
- Applications credentials in configuration files
- CVE-2021–25741 — Using symlink for arbitrary host file system access
- CVE-2021–25742-nginx-ingress-snippet-annotation-vulnerability
- Cluster internal networking
- Cluster-admin binding
- CoreDNS poisoning
- Data Destruction
- Delete Kubernetes events
- Exec into container
- Exposed dashboard
- Exposed sensitive interfaces
- HostPath mount
- Kubernetes CronJob
- List Kubernetes secrets
- Malicious admission controller (mutating)
- Malicious admission controller (validating)
- Mount service principal
- Privileged container
- SSH server running inside container
- Writable hostPath mount
Testleri kubeapiserver bağlanarak NSA ve CISA belirlediği standartlara göre yapar.
Kurulumu başlayalım. Aşağıdaki linkten istediğiniz sisteme göre kurulum yapabilirsiniz. Benim sisteminim ubuntu 20.04 olduğu için ubuntuya göre kurulum gerçekleştircez.
curl -s https://raw.githubusercontent.com/armosec/kubescape/master/install.sh | /bin/bashKomutu ile yüklemeye başlıyoruz.
kubespace --helpKomutu ile çalıştırabilceğimiz komutlara bakalım.
Kubescape ile güvenlik test yapmak için “scan” komutunu kullanıyoruz. Daha fazla “flag” için aşağıdaki linklten yararlanabilirsiniz.
Kubernetes Clusterımızı NSA framework göre test etmek için,
kubescape scan framework nsa --submit
Kubernetes Clusterımızı MITRE ATT&CK framework göre test etmek için,
Kubernetes Clusterımızı namespace bazlı test etmek için,
kubescape scan framework nsa --exclude-namespaces kube-systemkubescape scan framework mitre --exclude-namespaces kube-system
Bu yazımızın da sonuna gelmiş bulunmaktayız. Araştırmalarım ve sektörde karşılaştığım senaryolar üzerine yazılarımı yazmaya devam edeceğim. Umarım faydalı bir yazı olmuştur. Yazımı okuduğunuz için teşekkürler.
Referanslar;
