KubeAudit - Audit Kubernetes clusters

KubeAudit - 审核Kubernetes集群

  • kubeaudit 是一个命令行工具和一个 Go 包,用于审计 Kubernetes 集群的各种安全问题。
1
kubectl run -n kube-system  --rm --restart=Never -it --image=madhuakula/hacker-container -- bash
  • 下载kubeaudit
1
wget https://github.com/Shopify/kubeaudit/releases/download/v0.21.0/kubeaudit_0.21.0_linux_amd64.tar.gz
  • 执行
1
kubeaudit all

Falco - Runtime security monitoring & detection

Falco - 运行时安全监测和检测

  • 部署 Falco
1
2
3
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update
helm install falco falcosecurity/falco
  • 运行镜像,里面执行cat /etc/shadow
1
kubectl run --rm --restart=Never -it --image=madhuakula/hacker-container -- bash

Popeye - A Kubernetes cluster sanitizer

Popeye - Kubernetes集群清理工具

1
kubectl run --rm --restart=Never -it --image=madhuakula/hacker-container -- bash

Secure network boundaries using NSP

使用 NSP 保护网络边界

  • 启动web镜像
1
kubectl run --image=nginx website --labels app=website --expose --port 80
  • 启动终端
1
kubectl run temp -it --rm --image=alpine /bin/sh
  • 创建一个网络策略并将其应用于 Kubernetes 集群以阻止/拒绝任何请求。
1
2
3
4
5
6
7
8
9
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: website-deny
spec:
  podSelector:
    matchLabels:
      app: website
  ingress: []
  • 通过运行以下命令将此 NSP 策略部署到集群:
1
kubectl apply -f website-deny.yaml
  • 删除策略
1
kubectl -- delete -f web-deny-all.yaml