Thank you for reading this post, don't forget to subscribe! 

KubiScan

Инстру­мент для ска­ни­ро­ва­ния кла­сте­ра Kubernetes на нали­чие рис­ко­ван­ных прав в моде­ли авто­ри­за­ции управ­ле­ния досту­пом на осно­ве ролей (RBAC) в Kubernetes.

Инстру­мент был опуб­ли­ко­ван в рам­ках иссле­до­ва­ния «Защи­та кла­сте­ров Kubernetes путем устра­не­ния рис­ко­ван­ных разрешений».

KubiScan помо­га­ет адми­ни­стра­то­рам кла­сте­ра опре­де­лять раз­ре­ше­ния, кото­рые зло­умыш­лен­ни­ки могут исполь­зо­вать для взло­ма кластеров.

Это может быть осо­бен­но полез­но в боль­ших сре­дах, где есть мно­го раз­ре­ше­ний, кото­рые слож­но отследить.

KubiScan соби­ра­ет инфор­ма­цию о рис­ко­ван­ных ролях \ clusterroles, роле­вых при­вяз­ках \ clusterrolebindings, поль­зо­ва­те­лях и моду­лях, авто­ма­ти­зи­руя тра­ди­ци­он­но руч­ные про­цес­сы и предо­став­ляя адми­ни­стра­то­рам види­мость, необ­хо­ди­мую для сни­же­ния риска.

Что этот сканер может сделать?

• Опре­де­лить рис­ко­ван­ные роли \ ClusterRoles
• Опре­де­лить рис­ко­ван­ные при­вяз­ки к ролям \ ClusterRoleBindings
• Выяв­ле­ние рис­ко­ван­ных субъ­ек­тов (поль­зо­ва­те­лей, групп и учет­ных запи­сей служб)
• Опре­де­лить рис­ко­ван­ные поды \ контейнеры
• Дам­па токе­нов из моду­лей (все или по про­стран­ству имен)
• Полу­чить свя­зан­ные RoleBindings \ ClusterRoleBindings для Role, ClusterRole или Subject (учет­ная запись поль­зо­ва­те­ля, груп­пы или службы)
• Пере­чис­ли­те объ­ек­ты опре­де­лен­но­го типа («Поль­зо­ва­тель», «Груп­па» или «Сер­вис­ный аккаунт»)
• Спи­сок пра­вил для RoleBinding или ClusterRoleBinding
• Пока­зать бло­ки, кото­рые име­ют доступ к сек­рет­ным дан­ным через том или пере­мен­ные среды
• Полу­чить токе­ны началь­ной загруз­ки для кластера