Ces dernières années, il y a eu une énorme augmentation de l’utilisation de conteneurs et de gadgets, et il y a eu une énorme augmentation de l’utilisation des clusters Kubernetes pour le développement de la charge de travail des applications. Cependant, ces clusters Kubernetes souffrent de failles de sécurité dues à des situations trop tolérantes et à des configurations de sécurité incorrectes. Les organisations et les utilisateurs individuels ont désormais besoin de stratégies de surveillance et d’observation pour identifier les vulnérabilités courantes ou contrôler la résilience de leurs environnements Kubernetes. Pour cela, ils peuvent utiliser divers outils open source disponibles gratuitement sur internet. Voici quelques outils de sécurité fiables parmi lesquels un utilisateur peut choisir lorsqu’il travaille avec Kubernetes.
Chasseur de Kube
Chasseur de Kube est un outil open source utilisé pour détecter les failles de sécurité dans les clusters Kubernetes. L’outil est utilisé pour détecter les failles de sécurité dans les environnements Kubernetes. Cet outil a été développé par Aqua Security, une société de sécurité de conteneurs.
Il y a trois façons d’exécuter le Kube-hunter. Chaque mode offre une approche différente pour détecter les vulnérabilités dans un cluster : tout d’abord, exécutez Kube-hunter sur n’importe quelle machine (comme un ordinateur portable) et sélectionnez l’analyse à distance pour obtenir le nom de domaine ou l’adresse IP du cluster Kubernetes. Cela fournit une vue de l’ensemble du système Kubernetes du point de vue d’un intrus. Deuxièmement, l’utilisateur peut exécuter Kube-hunter directement sur une machine du cluster, puis choisir d’explorer toutes les interfaces de réseau local. Enfin, les utilisateurs peuvent exécuter Kube-hunter sur un pod au sein du cluster. Cela montre (par exemple) que si l’un des composants de l’application était exposé via des vulnérabilités logicielles, à quel point un cluster serait exposé.
Cet outil est disponible sous forme de conteneur et est disponible sur le site kube-hunter.aquasec.com, où les utilisateurs intéressés peuvent s’inscrire en ligne pour recevoir un badge qui leur permet de visualiser ou de partager les résultats en ligne. De plus, les utilisateurs peuvent exécuter eux-mêmes du code Python. La plus récente version v0.5.0 sorti en avril.
Cube-singe
Cube-singe est un outil open source, qui en est une application Singe du chaos Netflix, et est utilisé pour les clusters Kubernetes. Il est écrit en langage Go et permet de contrôler la résilience du système aux pannes en supprimant accidentellement les pods Kubernetes dans le cluster.
Cet outil fonctionne sur un modèle opt-in, ce qui signifie que le test ne s’applique qu’aux clusters Kubernetes qui acceptent de s’inscrire à ce test. L’outil s’exécute en tant que développement dans le cluster Kubernetes et supprime les pods à l’aide de l’API Kube pour injecter les défaillances du système et tester la stabilité des pods restants. Cet outil n’offre pas la possibilité d’interrompre les nœuds eux-mêmes ou d’affecter le réseau ou les E/S. Utilisé uniquement comme outil de destruction de pod. Néanmoins, il est rapide à déployer et à configurer, permettant à ses utilisateurs de simuler et de tester la résistance de leur produit aux pannes de pod. Le programme de terminaison des pods a lieu une fois par jour en semaine à une heure variable (la valeur par défaut est 8h00). Ce type de test peut vous aider à comprendre à quelle vitesse l’ensemble de votre système ou des services spécifiques reviendront sur Internet en cas d’accident au niveau du microservice.
L’outil est open source et peut être facilement utilisé par toute personne intéressée à le télécharger, le partager ou le partager. Plus d’informations sur l’utilisation de Kube-Monkey peuvent être trouvées dans son organisme officiel Entrepôt GitHub. La dernière version de cet outil, sortie en novembre 2018, est Version 0.3.0.
Cube-brûleur
Cube-brûleur est un outil qui vise à mettre en évidence les clusters Kubernetes et à tester le stress sur divers composants d’OpenShift, en coordonnant la suppression et la création de ressources k8s. L’outil fonctionne bien avec Vanilla Kubernetes et d’autres distributions, tout ce dont un utilisateur a besoin est l’API Kubernetes.
Cet outil a un binaire compilé statiquement, écrit en langage Go, qui utilise pleinement la bibliothèque client-go pour fonctionner avec l’API. La configuration utilisée par cet outil est définie dans le fichier de configuration YAML. Il peut supprimer ou créer des milliers d’objets décrits dans le fichier de configuration. Les capacités de l’outil fourni par cet outil peuvent se résumer en trois étapes : créer ou supprimer les objets déclarés dans les tâches, collecter les mesures Prometheus souhaitées dans le cluster, et les compiler ou les indexer dans la TSDB configurée. En outre, l’outil offre d’autres fonctionnalités telles que la collecte autonome d’alertes, la notification, la collecte PProf et les mesures de délai de démarrage des pods.
C’est un outil open source, disponible pour tout le monde à utiliser, partager ou télécharger. Sa dernière version est v0.9.1, publié en mars et a ajouté de nombreuses fonctions personnalisées pour plus de fonctions de modèle et de nombreuses autres améliorations.
Bouée acoustique
Bouée acoustique est un outil de diagnostic open source utilisé pour comprendre le niveau de sécurité global d’un cluster Kubernetes en effectuant un ensemble de plugins, y compris Commandants tests de conformité. Il est évolutif, indépendant des clusters et personnalisable pour créer des rapports clairs et informatifs sur le complexe Kubernetes.
L’outil de diagnostic propose de manière sélective des décharges d’objets de ressources Kubernetes et des nœuds de cluster qui permettent les scénarios d’utilisation suivants : débogage de la charge de travail, tests de conformité complets de bout en bout et collecte de données personnalisée via des plug-ins évolutifs. Depuis la version 0.20, cet outil prend en charge Kubernetes v1.17 ou une version ultérieure. Les versions de cet outil sont indépendantes de la version Kubernetes, tout en garantissant que les nouvelles versions continuent de fonctionner dans différentes versions de Kubernetes. Cet outil prend en charge des plugins (par exemple, un projet d’analyse de fiabilité) qui permet à ses opérateurs et développeurs d’étendre le système avec des tests supplémentaires.
Cet outil de diagnostic est pris en charge par le programme de conformité Kubernetes certifié, qui a été établi par la Cloud Native Computing Foundation (CNCF) et est utilisé par tous les fournisseurs de services Kubernetes certifiés. Sa dernière version v0.50.0 est sorti en mars avec un support pour les images sans distribution.
Sceau puissant
Sceau puissant est un outil de test qui injecte des clusters Kubernetes afin qu’un utilisateur puisse détecter les problèmes le plus rapidement possible. Vous permet d’écrire des scripts qui définissent des expériences de chaos complètes. De plus, cet outil fonctionne avec OpenStack, Kubernetes, Azure, AWS, les machines locales et Google Cloud Platform.
L’outil est conçu spécifiquement pour l’environnement Kubernetes. Il peut définir des objets qui s’exécutent dans chaque conteneur afin qu’il sache exactement ce qui doit être cassé à des fins de test. Il a plusieurs façons pour différentes utilisations. Par exemple, le fonctionnement interactif permet aux ingénieurs système d’expérimenter ou d’observer leur comportement dans des clusters et, au fil du temps, de créer leurs propres politiques de test. Il prend en charge les politiques YAML qui décrivent des expériences de chaos complet. Ces politiques peuvent être réglementées de plusieurs manières, telles que la définition de règles pour l’heure de la journée, la probabilité, le nombre d’applications qui seront interrompues ou l’endroit où l’interrompre. Une fois déployé, cet outil fonctionne en mode autonome.
Cet outil est publié en tant qu’outil open source via Magasin Bloomberg GitHub, disponible gratuitement. La dernière version de cet outil est 3.2.0 publié en avril qui a ajouté la prise en charge de la sourdine Alertmanager. De plus, cet outil est inspiré du tristement célèbre Singe du chaos Netflix.
Identifiez et corrigez les failles de sécurité de Kubernetes avec ces outils
Avec la montée en puissance des nouvelles architectures telles que les gadgets et les outils d’orchestration de conteneurs, la façon dont ces groupes sont surveillés et testés évolue. Ces nouveaux changements incluent désormais de nouveaux concepts tels que l’observabilité. Les outils mentionnés ci-dessus peuvent vous aider à identifier et à atténuer les failles de sécurité liées aux dernières tendances et concepts. De plus, l’utilisation de ces outils peut aider les DevOps à mieux gérer leurs Kubernetes.
Image en vedette: Image Shutterstock / TechGenix
Vues de la publication :
5
Post Views:
82
