主打容器安全的新创公司Aqua,今年陆续推出免费容器镜像文件扫描工具MicroScanner,以及让该工具串接Jenkins流程。 而现在Aqua又开源发布一款容器网络安全工具Kube-hunter,这款新工具锁定了Kubernetes容器基础架构环境,可以执行渗透测试任务,加强自家容器环境的安全性。 现在该项目已经登上GitHub,让开发者可自由使用。
由于容器化部署需求,Aqua也有推出容器版本的Kube-hunter,方便企业用户部署。而Aqua也有将该工具与Kube-hunter网页进行串接,让用户可以与组织其他成员分享渗透任务的执行结果。 Aqua表示,用户输入电子邮件后,系统会发送一组Docker指令及Token,接着,在自家容器环境输入该指令,Kube-hunter就会开始执行渗透测试。最后,Kube-hunter提供一组URL给该企业,让用户了解当前容器基础架构潜在的问题。
目前,Kube-hunter总共有被动、主动此两种模式。该工具默认为被动模式,可以用来探测企业用户Kubernetes环境内潜在的访问弱点。在主动模式中,Kube-hunter执行的任务范围,包含检查Kubernetes SSL凭证中的电子邮件地址、扫描Kubernetes既有通信端口是否有开放端点,以及Azure Kubernetes集群部署是否有按照正确组态设置等。
如用户将Kube-hunter调整至主动模式时,使用被动模式搜索出的弱点,系统会点出攻击者可能使用的攻击手法。 Aqua表示,打开主动模式的企业用户要特别注意,“它们有可能会改变集群当前运行状态,或者执行的程序代码。”
现在Kube-hunter总共有3种不同使用方式。第一种方式,将Kube-hunter容器部署在集群外,指定集群的网域名称、IP地址后,就能进行渗透测试。第二种方式则是将Kube-hunter部署在集群内特定主机运行,直接在本地环境侦测、扫描。最后,则是使用Pod作为部署单位,执行Kube-hunter。
不过Aqua也一再强调,强烈禁止开发者在非自家环境内,使用该款渗透测试工具。在发布Kube-hunter前,该公司已经审慎评估此款工具可能遭不法滥用,“不过事实上,非法人士早就在用不同工具进行测试、扫描。”通过此款工具,Aqua希望可以让运维人员、系统管理员更容易找出系统部署漏洞,提早进行准备。
利用Kube-hunter就可以进行免费Kubernetes环境渗透测试,在Kube-hunter网页中,系统会列出用户环境出现的漏洞、严重性,以及问题细节的描述。利用URL,企业用户也可以与组织内其他成员分享扫描结果。图片来源:Aqua
閱讀更多 十輪網 的文章
