Eine kurze Einführung in den Kubernetes Hardening Guide von NSA und CISA
Die NSA und CISA haben die veröffentlicht Kubernetes-Hardening-Leitfaden. Dies ist ein seltenes Ereignis, da es eines der wenigen Male ist, dass die NSA Leitlinien zur Systemhärtung herausgegeben hat.
Dies spricht für die Notwendigkeit, dass Unternehmen ihre Kubernetes-Cluster ordnungsgemäß sichern. Kubernetes (K8s) ist aufgrund seiner Fähigkeit, so viele verschiedene Anwendungsfälle abzudecken, weit verbreitet. Es ist einfach, einen Kubernetes-Cluster zum Laufen zu bringen. Ein so komplexes und konfigurierbares System kann jedoch aus Sicherheitsgründen schwierig zu verwalten sein.
Mit diesem Leitfaden zur Absicherung wollen diese beiden Bundesbehörden „Organisationen dabei unterstützen, mit Kubernetes verbundene Risiken zu bewältigen und die Vorteile dieser Technologie zu nutzen“. Sie behandeln die folgenden Themen:
- Scannen Sie Container und Pods nach Sicherheitslücken oder Fehlkonfigurationen.
- Führen Sie Container und Pods mit den geringstmöglichen Rechten aus.
- Verwenden Sie die Netzwerktrennung, um das Ausmaß des Schadens zu kontrollieren, den ein Kompromiss verursachen kann.
- Verwenden Sie Firewalls, um nicht benötigte Netzwerkkonnektivität einzuschränken, und verwenden Sie Verschlüsselung, um die Vertraulichkeit zu schützen.
- Verwenden Sie starke Authentifizierung und Autorisierung, um den Benutzer- und Administratorzugriff sowie die Angriffsfläche einzuschränken.
- Erfassen und überwachen Sie Auditprotokolle, sodass Administratoren vor potenziellen böswilligen Aktivitäten gewarnt werden können.
- Überprüfen Sie regelmäßig alle Kubernetes-Einstellungen und verwenden Sie Schwachstellenscans, um sicherzustellen, dass Risiken angemessen berücksichtigt und Sicherheitspatches angewendet werden.
Die Agenturen geben detaillierte Empfehlungen, die den Großteil des Leitfadens ausmachen, gefolgt von einigen Konfigurationsbeispielen. Es sind großartige Richtlinien, aber hier ist der Haken: Zu überprüfen, ob Ihre Infrastruktur diesen Empfehlungen entspricht, ist eine schwierige Aufgabe. Ohne das richtige Tool wird es noch schwieriger.
Mondoo eilt zur Rettung!
Vor Kurzem hat Mondoo eine Richtlinie veröffentlicht, die all diese schwere Arbeit für Sie erledigt!
Geben Sie ein: Die Richtlinie „NSA Kubernetes Hardening Guide Version 1.2“ von Mondoo.
Wir haben diese Richtlinie speziell entwickelt, um den Empfehlungen der NSA und der CISA Rechnung zu tragen. Sie deckt diese Kubernetes-Ressourcen ab:
- Kubernetes-API-Server
- Kubelet
- Karten konfigurieren
- Cron-Jobs
- Dämonen-Sets
- Bereitstellungen
- Jobs
- Netzwerkrichtlinien
- Hülsen
- Pod-Sicherheitsrichtlinien (veraltet)
- Pod-Sicherheitszulassungen (> 1.23)
- RBAC etwas Text
- Rollen
- Rollenbindungen
- Cluster-Rollen
- Cluster-Rollenbindungen
- Sets replizieren
- Stateful-Sets
Führen Sie die Richtlinie „NSA Kubernetes Hardening Guide Version 1.2“ von Mondoo auf Ihrem Cluster aus
Hier finden Sie eine schrittweise Anleitung zur Verwendung von Mondoo, um sicherzustellen, dass Ihr Kubernetes-Cluster alle NSA/CISA-Empfehlungen befolgt.
🌟 Wenn Sie einen Kubernetes-Cluster benötigen, verwenden Sie einfach eine der Terraform-Vorlagen von https://github.com/Lunalectric/container-escape um einen Kubernetes-Cluster in Azure oder AWS einzurichten. (Lunalectric ist eine Beispielentität, die wir für Demos verwenden.)
Verwenden Sie die Mondoo-Konsole
2. Stellen Sie sicher, dass Sie mit Ihrer CLI eine Verbindung zum betreffenden Kubernetes-Cluster herstellen können. Sie können schnell überprüfen:
$ kubectl get namespaces3. Führen Sie einen vorläufigen Scan Ihres Clusters durch:
$ cnspec scan k8s4. Folgen Sie dem URL melden Link und sieh dir die Scanergebnisse in der Mondoo-Konsole an.
5. So aktivieren Sie die NSA-Richtlinie für Ihren Cluster:
A. Wählen Richtlinie hinzufügen am Ende der Seite.
B. Verwenden Sie das Suchfeld, um nachzuschlagen NSA Kubernetes Hardening Guide Version 1.2.
C. Markieren Sie das Kästchen neben der Richtlinie und wählen Sie dann Aktiviere Schaltfläche, um die Richtlinie zu aktivieren.
6. Wiederholen Sie den Scan von Ihrer CLI aus:
$ cnspec scan k8s7. Gehen Sie auf der Mondoo-Konsole zum Policy Hub und wählen Sie den Richtlinie Version 1.2 des NSA Kubernetes Hardening Guide um die Ergebnisse Ihres Scans zu sehen. Sie können die Ergebnisse entweder pro Abfrage oder pro Asset sehen.
Wählen Sie zum Beispiel die K8s Cluster-Minikubus und erhalten Sie die Ergebnisse aller Prüfungen mit dieser Ressource im Detail.
Verwenden Sie cnspec
Das Open-Source-Sicherheitstest-Tool von Mondoo, cnspec, ermöglicht es Ihnen, schnell Informationen über installierte Pakete auf Ihren Kubernetes-Clustern zu sammeln.
Falls Sie cnspec noch nicht installiert haben, folgen Sie unseren Anleitung.
1. Stellen Sie sicher, dass Sie mit Ihrer CLI eine Verbindung zum Kubernetes-Cluster herstellen können:
$ kubectl get namespaces2. Ändern Sie das Verzeichnis in den Pfad, in dem sich Ihre Richtlinie befindet, und geben Sie diesen Befehl ein, um die NSA-Richtlinie lokal auf Ihrem Kubernetes-Cluster auszuführen:
$ cnspec scan k8s --policy-bundle nsa-kubernetes-hardening.yaml3. Um nur mit bestimmten Komponenten des Clusters zu arbeiten, verwenden Sie diesen Befehl mit dem --entdecken Fahne
$ cnspec scan k8s --discover clusters --policy-bundle nsa-kubernetes-hardening.yaml
$ cnspec scan k8s --discover pods --policy-bundle nsa-kubernetes-hardening.yaml4. Um die volle Ausgabe umzuschalten, verwenden Sie den -o voll Flagge.
$ cnspec scan k8s --policy-bundle nsa-kubernetes-hardening.yaml -o fullFalsch positive Ergebnisse verhindern
Da jedes System einzigartig ist, berücksichtigt Mondoo unterschiedliche Definitionen von sichern und unsicher Konfigurationen. Der Geltungsbereich der Richtlinie „NSA Kubernetes Hardening Guide Version 1.2“ von Mondoo in ihrer Standardkonfiguration ist breit gefächert. Wir ziehen es vor, so viele potenziell schädliche Einstellungen und Objekte wie möglich abzufangen, anstatt sie zu übersehen. Dieser Ansatz führt oft zu mindestens einigen Fehlalarmen, die Sie beheben können.
Nehmen wir an, Sie haben nach der Ausführung der Richtlinie eine gefunden ClusterAdmin-Bindung das sieht auf den ersten Blick verdächtig aus, ist aber völlig in Ordnung und wird tatsächlich benötigt. Kein Problem!
Sehen Sie unsere Anleitung zur Verwendung von Policy-Requisiten um Fehlalarme zu vermeiden. Wir erklären, wie Sie Ihre Mondoo-Scans an Ihre individuellen Sicherheitsanforderungen Ihres Unternehmens anpassen können.
Hinweis
Die NSA Kubernetes Hardening Guide-Richtlinie ist nur für diejenigen verfügbar, die sich bei Mondoo registrieren.
Wenn Sie Ihren Kubernetes-Cluster jedoch ohne Mondoo-Konto scannen möchten, können Sie unser Open-Source-Programm verwenden cnspec-Richtlinien, die auch viele häufig auftretende Kubernetes-Sicherheitsprobleme abdecken:
mondoo-kubernetes-best-practices.mql.yaml
mondoo-kubernetes-security.mql.yaml
Links
CNSPEC Guidelines:
- https://github.com/mondoohq/cnspec-policies/blob/main/core/mondoo-kubernetes-best-practices.mql.yaml
- https://github.com/mondoohq/cnspec-policies/blob/main/core/mondoo-kubernetes-security.mql.yaml
Documentation for Kubernetes Resource Pack:
