Запуск теста повышения безопасности CISA с помощью Kubescape Cloud

фото Джошуа Арагон на Скрыть

Ручное сканирование большой области нецелесообразно. Таким образом, решающее значение имеет то, какие методы сканирования вы выберете для использования. Подходящий и надежный инструмент жизненно важен для автоматизации сканирования. Kubescape, например, сканирует исключительно быстро, что позволяет настроить сканирование в соответствии с вашими индивидуальными потребностями. Таким образом, это необходимо иметь во время процедуры сканирования.

В этой статье я покажу вам, как запустить тест повышения безопасности NSA–CISA с помощью Kubescape, чтобы обнаружить Кубернетес неправильные конфигурации. Вы всегда можете выбрать из множества других фреймворков, доступных в Kubescape.

Кубернетес Безопасность

Сложно создать простую и безопасную оркестровку контейнеров для разработки простого и безопасного приложения. С одной стороны, во многих случаях временное ослабление ограничений безопасности более удобно. С другой стороны, если небольшие проблемы с конфигурацией не будут устранены правильно и быстро после того, как кластер Kubernetes будет запущен и запущен, они могут представлять серьезную угрозу безопасности.

Что такое КИСА?

Сертифицированный аудитор информационных систем относится к названию, выданному Ассоциацией аудита и контроля информационных систем (ISACA). Позиция обеспечивает отраслевой ориентир для тех, кто работает в информационных системах, а именно в области аудита, контроля и безопасности. Обладатели сертификатов CISA показывают компаниям, что они обладают знаниями, техническими способностями и компетенцией для решения динамических проблем, с которыми сталкивается современный бизнес.

Каковы рекомендации NSA–CISA по усилению защиты?

Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) объединились, чтобы выработать всеобъемлющий набор рекомендаций, направленных на укрепление безопасности корпоративной системы Kubernetes.

Этот 52-страничный отчет о кибербезопасности фокусируется на типичных причинах взлома системы Kubernetes и дает администраторам полезные советы о том, как безопасно работать с Kubernetes. Он определяет, насколько хорошо ваши настройки Kubernetes соответствуют рекомендациям NSA–CISA. Кроме того, в нем исследуется мотивация хакеров атаковать кластеры Kubernetes, особенно в общедоступных облаках, для различных целей, таких как кража данных, вычислительных ресурсов или участие в майнинге криптовалюты.

Кубический пейзаж

Кубический пейзаж это инструмент с открытым исходным кодом, который обеспечивает анализ рисков, соответствие требованиям безопасности и уязвимости программного обеспечения. Используя его, вы можете внедрить правила безопасности и лучшие практики в соответствии с несколькими системами соответствия, такими как NSA–CISA и MITRE, или даже разработать собственную структуру. Kubescape также постоянно отслеживает и укрепляет Kubernetes, уменьшает поверхность атаки и предоставляет автоматические предложения и контекстную информацию.

Использование Кубескейпа

Монтаж

Если вы еще не установили Kubescape, вы можете установить его, скопировав и вставив следующую команду в свой терминал.

curl -s  | /bin/bash

Сканирование с использованием NSA–CISA Framework

Вы можете скопировать и вставить эту команду в свой терминал, чтобы сканировать кластер Kubernetes в соответствии с рекомендациями NSA–CISA.

kubescape scan framework nsa --exclude-namespaces kube-system,kube-public

или же

$ kubescape scan framework nsa test.yaml

Как только вы запустите эту команду, Kubescape просканирует все уязвимости в вашем проекте. Вывод этой команды покажет, что сканирование успешно началось, вывод каждого теста и окончательные результаты каждого теста.

В разделе Failed Resources вы можете увидеть, сколько ресурсов не удалось выполнить во время теста. Вы должны немедленно исправить их, так как они могут сделать ваш проект уязвимым.

Помните, что вы можете выбирать из широкого спектра фреймворков, доступных в Kubescape, например, NSA–CISA, MITRE ATT&CK, Armobest и т. д., для поиска уязвимостей. Так что не стесняйтесь немного повозиться и посмотреть, что все, что вы можете сделать в инструменте.

Лучшие практики для безопасности Kubernetes

Использование этих методов может устранить большинство угроз.

RBAC

Настройке и включению RBAC уделяется большое внимание. Последние рекомендации предусматривают дальнейшее разделение обязанностей. Например, рекомендуется разделять администрирование и управление инфраструктурой.

Ограничить пользователей

В руководстве подчеркивается опасность внутренних угроз. Среда Kubernetes может быть скомпрометирована пользователями, администраторами или поставщиками облачных услуг с определенными правами доступа.

Аудит и ведение журнала

В рекомендации особое внимание уделяется сигналам тревоги и мониторингу на основе журналов. Важно учитывать ведение журнала на уровне хоста, приложения и облака. Крайне важно понимать, кто отвечает за каждый уровень ведения журнала при работе Kubernetes в производственной среде.

Создание безопасных образов контейнеров

Чтобы предотвратить запуск уязвимых или неправильно настроенных модулей в кластере, в руководстве по усилению безопасности Kubernetes также рекомендуется развертывать сканер в качестве контроллера допуска на протяжении всего процесса развертывания. Хотя это отличная идея в теории, есть некоторые соображения, которые следует учитывать, прежде чем претворять ее в жизнь.

Используйте стороннюю аутентификацию

Рекомендуется интеграция со сторонней службой аутентификации для Kubernetes (например, GitHub). Помимо добавления многофакторной аутентификации, это гарантирует, что kube-apiserver не изменится при добавлении или выходе пользователей.

Мониторинг сетевого трафика

Кластерные сети часто широко используются контейнерными приложениями. Узнайте, как ваше приложение взаимодействует с другими приложениями, наблюдая за сетевым трафиком в реальном времени и сравнивая его с трафиком, разрешенным сетевой политикой Kubernetes. Это поможет вам обнаружить подозрительные сообщения.

Используйте шифрование

Etcd является конфиденциальным ресурсом и главной целью для злоумышленников. Если злоумышленнику удастся получить доступ к etcd, он может получить контроль над всем кластером. После этого злоумышленники могут использовать доступ для чтения, чтобы использовать безопасность кластера.

В отчете предлагаются рекомендации по повышению безопасности вашего кластера Kubernetes, такие как внедрение безопасности на транспортном уровне (TLS) для шифрования данных в пути и в состоянии покоя. Кроме того, использование брандмауэров и сетевых правил может свести к минимуму ущерб, который может быть нанесен в случае взлома системы.

Поддерживайте версию Kubernetes в актуальном состоянии

Руководство рекомендует администраторам всегда использовать последнюю версию Kubernetes.

Вывод

Kubernetes — это надежная платформа для разработки облачных приложений. С другой стороны, отслеживать все стандарты соответствия и безопасности становится сложно.

В рекомендациях NSA-CISA обсуждается растущее использование Kubernetes и то, как защита кластеров Kubernetes и контейнеров приложений остается в центре внимания.

В этой статье мы обсудили защиту вашего кластера Kubernetes, лучшие практики для этого и то, как вы можете запускать тесты NSA-CISA для сканирования вашего кластера Kubernetes.