Cuando ejecutas Kubernetes, ¿cómo sabes si está configurado de forma segura? Kubernetes es un sistema complejo, con varios componentes del plano de control, cada uno de los cuales tiene numerosos parámetros de configuración. En algunos casos, está claro que un parámetro tendrá un impacto en la seguridad de kubernetes , por ejemplo, proporcionar claves y certificados para configurar conexiones seguras entre componentes. En otros casos, el impacto en la seguridad es mucho menos obvio. ¿Sabía que se sabe que los atacantes intentan deliberadamente inundar sus registros de auditoría para que se envuelvan, intentando cubrir sus huellas? Esto significa que incluso los ajustes de configuración de su registro de auditoría influyen en la seguridad. 

Con docenas o cientos de parámetros de configuración diferentes en todo el sistema, es difícil para los administradores de Kubernetes saber si los han configurado correctamente con buenas prácticas de seguridad en mente. Afortunadamente, hay orientación disponible en forma de las recomendaciones de referencia del Centro de Seguridad de Internet .

Benchmark de la CEI Kubernetes

El Centro de Seguridad de Internet publica una serie de puntos de referencia con consejos sobre cómo configurar el software de acuerdo con las mejores prácticas de seguridad.

Los documentos de referencia siguen un formato estándar, con instrucciones sobre cómo auditar (es decir, cómo determinar si su configuración coincide con la recomendación) y cómo remediar en caso de que su configuración no pase esa prueba de auditoría. También hay antecedentes sobre por qué es importante un entorno y sobre los posibles impactos de cambiar un entorno para cumplir con la recomendación.

Es posible que se pregunte cómo el CIS establece estas recomendaciones. La respuesta es que las recomendaciones están escritas en colaboración por un grupo de expertos voluntarios en seguridad de toda la comunidad de Kubernetes. Ahora estamos en v1.4.0 del CIS Kubernetes Benchmark, con los autores de referencia trabajando para mantener el documento actualizado a medida que Kubernetes evoluciona.

imagen 1

Ejemplo de una prueba del CIS Kubernetes Benchmark

Configuraciones de prueba con kube-bench

El punto de referencia de Kubernetes incluye más de 200 páginas de pruebas recomendadas, por lo que no es práctico ejecutarlas a mano ni una sola vez, y la realidad es que debería ejecutar pruebas en cada nodo de su clúster. Además, es una buena idea ejecutarlos regularmente para detectar la deriva de la configuración.

Sin embargo, no todas las pruebas definidas por el CIS Benchmark son aplicables a todas las distribuciones de Kubernetes. Algunas distribuciones, especialmente cuando se ofrecen como un servicio administrado, tienen controles compensatorios que quedan fuera del alcance del CIS Benchmark. Esto da como resultado pruebas fallidas que sugieren ajustes de configuración no seguros en Kubernetes, cuando de hecho los problemas de seguridad se abordan en otras partes del sistema general. Estos son falsos negativos, por lo que para evitar esto es útil poder modificar el conjunto de pruebas para omitir aquellas pruebas que no son relevantes en un entorno dado.

Desde el principio, el formato de archivo de prueba YAML de kube-bench ha hecho que sea relativamente fácil ajustar las pruebas para satisfacer sus necesidades, pero eso requiere que el usuario tenga una muy buena comprensión y una opinión firme sobre qué pruebas quieren agregar, eliminar o modificar por su entorno particular.

Uno de los desafíos con estas pruebas recomendadas es un reflejo de los cambios significativos en Kubernetes desde que se lanzó por primera vez el benchmark CIS Kubernetes. En aquel entonces, todos los parámetros de configuración se configuraban en tiempo de ejecución en cada ejecutable, por lo que podía ver la configuración de manera confiable ejecutando un comando ps y viendo qué configuración se configuró. Esta es la base para la mayoría de los comandos de auditoría en el Benchmark, como puede ver en el ejemplo anterior.

Sin embargo, Kubernetes ahora admite la lectura de parámetros para algunos componentes de un archivo de configuración de formato YAML o JSON. Tanto el CIS Benchmark como el kube-bench necesitan cambios para reflejar el hecho de que esto no solo es posible, sino que es un enfoque cada vez más utilizado. En particular, el enfoque del archivo de configuración es utilizado por EKS de Amazon. Verás se actualiza tanto para el benchmark como para la herramienta kube-bench para permitir pruebas de benchmark precisas cuando este enfoque de archivo de configuración está en uso.

fuente:https://blog.aquasec.com/kubernetes-security-cis-benchmarks?utm_source=trendemon&utm_medium=content&utm_campaign=flow

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *