Todo sobre Apple, Android, Juegos Apks y Sitios de Peliculas

Cómo buscar vulnerabilidades de Kubernetes con Kubescape

Kubescape es un nuevo herramienta de código abierto de ARMO que le permite automatizar los análisis del clúster de Kubernetes para identificar problemas de seguridad. Kubescape audita su clúster según las recomendaciones de refuerzo publicadas por NSA y CISA.

Aquí se explica cómo instalar Kubescape y comenzar a escanear su clúster. Los análisis periódicos podrían ayudarle a resolver problemas antes de que los atacantes los utilicen.

Descargando Kubescape

Kubescape se distribuye actualmente como un binario prediseñado para Windows, macOS y Ubuntu. Puedes descargarlo directamente desde el página de lanzamientos de GitHub del proyecto.

También hay un script de instalación automatizada que puedes pegar en tu terminal. Esto buscará el binario correcto para su sistema y lo agregará a su ruta.

curl -s https://raw.githubusercontent.com/armosec/kubescape/master/install.sh | /bin/bash

Intente ejecutar kubescape para comprobar que la instalación esté completa. Verás una sinopsis de los comandos disponibles.

Escaneando su clúster

Kubernetes se conecta a su clúster mediante archivos de configuración estándar de Kubectl. Configure la variable de entorno KUBECONFIG en su shell para que haga referencia al archivo de configuración del clúster que desea escanear:

export KUBECONFIG=.kube/my-cluster.yaml

Kubescape se quejará de que “no pudo cargar la configuración de Kubernetes” si esta variable no está configurada o el archivo especificado no es válido. Actualice la variable KUBECONFIG cada vez que ejecute Kubescape si desea escanear varios clústeres.

Los escaneos se inician con el comando de escaneo. Debe indicar el marco de refuerzo con el que desea escanear. Actualmente, nsa es la única opción compatible.

kubescape scan framework nsa --exclude-namespaces kube-system,kube-public

Kubescape escaneará todos los recursos en su clúster, excepto los recursos en espacios de nombres omitidos por el indicador –exclude-namespaces. Se recomienda enumerar aquí los espacios de nombres integrados de Kubernetes, ya que no podrá solucionar ningún problema que se encuentre.

Su primer análisis de Kubescape puede llevar algún tiempo, ya que la herramienta necesita descargar las definiciones de su marco. Estos definen las pruebas con las que se califica su grupo. Una vez que se complete el escaneo, verá una salida coloreada en su terminal que detalla cualquier problema descubierto.

Resultados del escaneo

Cada prueba fallida produce su propia sección de resultados con una lista de los recursos sospechosos, una descripción del problema y una sugerencia de solución. Una tabla en la parte inferior del informe proporciona un resumen de todas las pruebas ejecutadas, la cantidad de recursos que fallaron y el porcentaje general de éxito.

Kubescape comprueba más de 20 posibles debilidades según la lista identificada por la NSA. El informe de la NSA proporciona una descripción de los temas cubiertos y la justificación de su inclusión. Algunos de los problemas clave que busca Kubescape incluyen:

  • Oportunidades de escalada de privilegios
  • Contenedores que se ejecutan en modo privilegiado
  • Contenedores que funcionan con capacidades peligrosas
  • Panel de Kubernetes expuesto
  • Contenedores que se ejecutan como root
  • Credenciales contenidas en archivos de configuración
  • Plano de control incorrectamente asegurado

La ejecución de Kubescape le permite verificar el estado de su clúster con respecto a las pautas de mejores prácticas actuales, lo que le brinda más confianza de que no está poniendo en riesgo sus datos y cargas de trabajo.

Escaneo de archivos de manifiesto

Kubescape puede funcionar sin una conexión de clúster. Puede escanear manifiestos de recursos almacenados como archivos YAML locales, lo que le permite verificar su seguridad antes de aplicarlos a su clúster. Agregue un argumento adicional después del nombre del marco para especificar los archivos que desea escanear:

kubescape scan framework nsa k8s/*.yaml

Puede utilizar una URL como ruta de archivo para escanear archivos almacenados de forma remota, como en un repositorio de Git.

Es mejor utilizar el modo de escaneo de clúster predeterminado cuando realiza una auditoría de seguridad integral. Lo ideal es que los escaneos de manifiestos se incorporen a las canalizaciones de CI. Si se utiliza de esta manera, puede evitar la introducción involuntaria de nuevas vulnerabilidades a medida que actualiza sus recursos y los implementa en su clúster.

Escaneos sin conexión

Kubescape está diseñado para uso en línea, ya que necesita descargar las definiciones del marco antes de poder completar un escaneo. Sin embargo, puede guardar manualmente el marco para facilitar los análisis sin conexión. Debería intentar actualizar el archivo periódicamente para que no quede obsoleto.

Descargue el archivo del marco de la NSA:

kubescape download framework nsa --output nsa.json

Ahora escanee su clúster usando el archivo descargado:

kubescape scan framework nsa --use-from nsa.json

El indicador –use-from le indica a Kubescape que cargue definiciones de marco desde el archivo especificado. También existe –use-default que intentará utilizar el archivo almacenado en caché local en la ubicación predeterminada cuando esté disponible. Kubescape vuelve a descargar las definiciones más recientes del servidor cuando no se encuentra ningún archivo.

Formatos de salida

Kubescape genera resultados en su terminal de forma predeterminada, pero también puede generar informes en formato JSON o Junit. Agregue el indicador -f para especificar el modo deseado:

kubescape scan framework nsa -f json

kubescape scan framework nsa -f junit

La última opción emite un archivo XML que pueden consumir las herramientas de informes de prueba que funcionan con el formato Junit. Esto le permite introducir escaneos de Kubescape en sus soluciones de informes de pruebas existentes para visualización y agregación.

La salida se emite al flujo de salida estándar de su terminal independientemente del formato de informe que especifique. Agregue el indicador -o para proporcionar una ruta de archivo para guardar:

kubescape scan framework nsa -f json -o report.json

Los mensajes de progreso habituales de Kubescape se pueden desactivar con el indicador -s. Esto resulta útil en escenarios de CI en los que no desea contaminar los registros de trabajos con caracteres ASCII.

Conclusión

Kubescape le permite evaluar la seguridad de sus clústeres de Kubernetes según las pautas publicadas por la NSA. La sencilla herramienta de código abierto proporciona un único comando para comparar su entorno con más de 20 comprobaciones clave.

Kubescape no busca vulnerabilidades dentro de los contenedores que ejecuta en su clúster. Necesitará otra herramienta como Docker Scan o Trivy para hacerlo. Ejecutar un motor de escaneo de contenedores junto con Kubescape le brinda la imagen más completa de la situación de seguridad de su entorno.