カテゴリー

Uncategorized

Kubestriker:Kubernetesクラスターのセキュリティ監査ツール

  1. HOME >
  2. Uncategorized >

Kubestriker:Kubernetesクラスターのセキュリティ監査ツール

Kubestrikerは、Kubernetesクラスターのセキュリティ設定ミスを特定するためのオープンソースのプラットフォームに依存しないツールです。

セキュリティKubernetes

Kubernetesプラットフォームのさまざまなサービスとオープンポートでさまざまなチェックを実行し、異常を継続的にスキャン、監視、アラートすることでKubernetesクラスターへの潜在的な攻撃から保護し、ユーザーがKubernetesインフラストラクチャのコンポーネントを確認できるようにします。攻撃パス(ハッカーがKubernetesクラスター内の誤って構成されたコンポーネントをチェーンすることで攻撃を進める方法)。

Kubernetesは、コンテナ化されたワークフローの人気のあるオープンソースプラットフォームであり、最新のテクノロジーインフラストラクチャの主要な構成要素になっています。Gartnerによると、2025年までに、グローバル組織の85%以上がコンテナ化されたアプリケーションを本番環境で実行するようになります。この広範な人気と適切なセキュリティ対策の欠如により、Kubernetesは攻撃者の完璧な標的になっています」とKubestrikerの作成者でセキュリティアーキテクトでDevSecOpsの実践者であるVasantChinnipilliはHelpNetSecurityに語りました。

「安全なKubernetesネイティブインフラストラクチャの作成と維持は簡単ではありません。クラスター内の多数の可動部分に関連するセキュリティの課題に対処し、潜在的な攻撃のリスクを軽減する必要があるためです。その結果、Kubestrikerは、これらの問題を最も効率的でユーザーフレンドリーな方法で管理および克服するために誕生しました。」

Kubestrikerの機能

彼は2020年12月にツールの最初のバージョンをリリースし、これまでに大きな進歩を遂げました。

セキュリティKubernetes

クベストリカー:

  • 自己管理およびクラウドプロバイダー管理(Amazon EKS、Azure AKS、Google GKE)のKubernetesインフラストラクチャをスキャンします
  • さまざまなサービスおよび/または開いているポートの偵察フェーズチェックを完了します
  • 自動列挙を実行して、誤って構成されたサービスを検出します
  • 認証されたスキャンと認証されていないスキャンの両方を実行できます
  • クラスタ内のさまざまなIAMの設定ミスをスキャンします
  • さまざまな誤って構成されたコンテナ、ポッドセキュリティポリシー、ネットワークポリシーを検出します
  • クラスタ内のサブジェクトの過剰な特権を評価します
  • コンテナでコマンドを実行し、出力をストリームバックします

「さらに、Kubestrikerには、Jenkins、Azureパイプライン、BambooなどのDevOpsパイプラインツールとのCI / CD統合機能もあります。これにより、インフラストラクチャを継続的にスキャンして、サンドボックス/本番環境に展開する前に構成の誤りを特定できます」と彼は付け加えました。

「このツールを使用すると、DevOpsの専門家は違反の根本原因を理解できるため、セキュリティチームに連絡してガイダンスを求める必要がなく、詳細な調査結果を含むレポートが自動的に生成されます。このレポートは、監査人やアーキテクトが使用することもできます。 DevOpsがコンプライアンス基準に準拠し、ビジネス戦略と整合していることを確認してください。」

制限と今後の機能

彼は新しい機能を追加し続けており、ツールのより大きな計画を持っています。彼は現在取り組んでいます:

  • スキャン機能を拡張して、AWS ECR、Azure Container Registry、Google Container Registry、Docker Hub、Docker Self-Hosted Private Registry、Quay、Harbour、Gitlab、JFrogレジストリに保存されているイメージの脆弱性についてコンテナレジストリのスキャンを含める
  • Slack、PagerDuty、HTTPエンドポイント、Jira、Splunk、ELK、Sumo Logic、AmazonS3などの通知チャネルおよびチケットツールとすぐに使用できる統合を組み込む
  • CircleCI、Jenkins、BuildKite、Azure Pipelines、GitLabなどの既存のCI / CDパイプラインの一部としてコンテナーイメージのスキャンを追加することにより、監視機能を強化します
  • クラスター内で発生するセキュリティ異常の継続的なスキャン、監視、およびアラートの組み込み

Kubestrikerのアプリケーションコードのセキュリティはまだレビューされていないため、ユーザーにアクセスを制御し、組織内のパブリックドメインでアクセスできないようにすることを強くお勧めします。しかし、彼は、この欠点はすぐに解決されると約束しています。

「リリース以来、Kubestrikerは10000回以上アクセスされており、世界中の多くの業界専門家からフィードバックを受け取っています。継続的なサポートとガイダンス、特にフィードバックや改善のための提案を共有してくれたサイバーセキュリティコミュニティに感謝します」と彼は付け加えました。

「イノベーションにはコラボレーションが必要なので、採用者と貢献者のKubestrikerコミュニティが着実に成長している間、より多くのユーザーと協力し、より多くの貢献者を参加させることで、その使用の拡大を続けたいと思います。」

それが実際に動作するのを見ることに興味がある人のために、Vasant Chinnipilliは、5月6日にBlack Hat Asia2021アーセナルでKubestrikerを発表してデモを行います。

-Uncategorized