CISA发布Kubernetes强化测试工具

安全 应用安全
本月初,美国国家安全局 (NSA) 和美国网络安全与基础设施安全局 (CISA)发布了《Kubernetes强化指南》。

本月初,美国国家安全局 (NSA) 和美国网络安全与基础设施安全局 (CISA)发布了《Kubernetes强化指南》。该指南详细介绍了加强Kubernetes系统的建议,并提供了配置指南以最大限度地降低风险。主要操作包括扫描容器和Pod是否存在漏洞或错误配置,以尽可能低的权限运行容器和 Pod,以及如何使用网络分离、防火墙、强身份验证和日志审计。

为了保障指南的有效落地,CISA日前发布了与指南配套的测试工具——Kubescape,该工具基于OPA引擎和ARMO的姿态控制,可用于测试Kubernetes是否遵循NSA和CISA强化指南中定义的安全部署。用户可使用Kubescape测试集群或扫描单个YAML文件并将其集成到流程中。

Kubescape测试内容如下:

  • 非根容器
  • 不可变容器文件系统
  • 特权容器
  • hostPID、hostIPC 权限
  • 主机网络访问
  • allowedHostPaths字段
  • 保护pod服务帐户令牌
  • 资源政策
  • 控制平面强化
  • 外露仪表板
  • 允许权限提升
  • 配置文件中的应用程序凭据
  • 集群管理员绑定
  • 执行到容器
  • 危险能力
  • 不安全的能力
  • Linux加固
  • 入口和出口被阻止
  • 容器主机端口
  • 网络政策

据了解,Kubernetes是一个应用较广泛的开源系统,可自动部署、扩展和管理在容器中运行的应用程序,通常托管在云环境中,并提供比传统软件平台更高的灵活性。

针对Kubernetes的攻击通常为数据窃取、计算力窃取或拒绝服务。一般来说,数据盗窃是主要动机。然而,攻击者也可能会尝试使用Kubernetes来利用网络的底层基础设施来窃取计算力,以实现加密货币挖矿等目的。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2009-05-18 08:52:17

压力测试Rpplet测试

2010-08-12 08:57:03

FlexRIATest

2009-04-02 09:23:48

JavaScript测试工具浏览器

2012-02-02 09:12:16

JavaJMeter

2009-06-26 10:22:58

JSF测试

2011-05-31 18:09:05

动态测试

2021-07-09 05:58:12

勒索软件攻击网络安全

2021-07-02 15:58:41

勒索软件就绪评估RRA网络安全

2012-02-08 14:16:55

Apache

2021-07-06 05:13:25

勒索软件CISA安全审计工具

2013-11-13 10:49:50

2011-05-31 18:25:25

测试工具

2009-03-31 09:49:40

Rational功能测试性能测试

2010-06-04 16:31:33

Linux网络测试

2014-07-01 10:09:01

2023-12-27 07:35:29

HyBench数据字段

2019-02-26 08:30:48

2012-12-24 22:54:31

2024-07-29 14:47:06

2024-03-06 18:09:06

Linux性能工具
点赞
收藏

51CTO技术栈公众号