gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-23 07:29:04 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/README.md', 'src/pe

Browse Source
This commit is contained in:
Translator
2025-01-01 23:59:39 +00:00
parent 9bd90436f1
commit 4ffa248b02
210 changed files with 1311 additions and 1324 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/kubernetes-security/kubernetes-hardening/README.md
View File

@@ -6,7 +6,7 @@
### [**Kubescape**](https://github.com/armosec/kubescape)
[**Kubescape**](https://github.com/armosec/kubescape) est un outil open-source K8s fournissant une vue unique multi-cloud de K8s, incluant l'analyse des risques, la conformité de sécurité, un visualiseur RBAC et le scan des vulnérabilités d'image. Kubescape analyse les clusters K8s, les fichiers YAML et les charts HELM, détectant les erreurs de configuration selon plusieurs cadres (comme le [NSA-CISA](https://www.armosec.io/blog/kubernetes-hardening-guidance-summary-by-armo), [MITRE ATT\&CK®](https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/)), les vulnérabilités logicielles et les violations RBAC (contrôle d'accès basé sur les rôles) aux premières étapes du pipeline CI/CD, calcule instantanément le score de risque et montre les tendances de risque au fil du temps.
[**Kubescape**](https://github.com/armosec/kubescape) est un outil open-source K8s fournissant une vue unique multi-cloud K8s, incluant l'analyse des risques, la conformité de sécurité, un visualiseur RBAC et le scan des vulnérabilités d'image. Kubescape analyse les clusters K8s, les fichiers YAML et les charts HELM, détectant les erreurs de configuration selon plusieurs cadres (comme le [NSA-CISA](https://www.armosec.io/blog/kubernetes-hardening-guidance-summary-by-armo), [MITRE ATT\&CK®](https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/)), les vulnérabilités logicielles et les violations RBAC (contrôle d'accès basé sur les rôles) aux premières étapes du pipeline CI/CD, calcule instantanément le score de risque et montre les tendances de risque au fil du temps.
```bash
kubescape scan --verbose
```
@@ -50,17 +50,17 @@ kube-hunter --remote some.node.com
- **`find-role-relationships`** : Qui trouvera quels rôles AWS s'exécutent dans quels pods
- **`find-secrets`** : Qui essaie d'identifier des secrets dans les ressources K8s telles que les Pods, ConfigMaps et Secrets.
- **`test-imds-access`** : Qui essaiera d'exécuter des pods et d'accéder aux métadonnées v1 et v2. AVERTISSEMENT : Cela exécutera un pod dans le cluster, soyez très prudent car vous ne voulez peut-être pas faire cela !
- **`test-imds-access`** : Qui essaiera d'exécuter des pods et d'accéder aux métadonnées v1 et v2. AVERTISSEMENT : Cela exécutera un pod dans le cluster, soyez très prudent car vous ne voudrez peut-être pas faire cela !
## **Audit IaC Code**
### [**Popeye**](https://github.com/derailed/popeye)
[**Popeye**](https://github.com/derailed/popeye) est un utilitaire qui scanne un cluster Kubernetes en direct et **signale les problèmes potentiels avec les ressources et configurations déployées**. Il assainit votre cluster en fonction de ce qui est déployé et non de ce qui est stocké sur le disque. En scannant votre cluster, il détecte les erreurs de configuration et vous aide à vous assurer que les meilleures pratiques sont en place, évitant ainsi de futurs maux de tête. Il vise à réduire la charge cognitive à laquelle on fait face lors de l'exploitation d'un cluster Kubernetes dans la nature. De plus, si votre cluster utilise un serveur de métriques, il signale les allocations de ressources sur/sous-utilisées et tente de vous avertir si votre cluster manque de capacité.
[**Popeye**](https://github.com/derailed/popeye) est un utilitaire qui scanne un cluster Kubernetes en direct et **signale les problèmes potentiels avec les ressources et configurations déployées**. Il assainit votre cluster en fonction de ce qui est déployé et non de ce qui est stocké sur le disque. En scannant votre cluster, il détecte les erreurs de configuration et vous aide à vous assurer que les meilleures pratiques sont en place, évitant ainsi de futurs maux de tête. Il vise à réduire la charge cognitive à laquelle on fait face lors de l'exploitation d'un cluster Kubernetes dans la nature. De plus, si votre cluster utilise un serveur de métriques, il signale les allocations de ressources excessives ou insuffisantes et tente de vous avertir si votre cluster manque de capacité.
### [**KICS**](https://github.com/Checkmarx/kics)
[**KICS**](https://github.com/Checkmarx/kics) trouve des **vulnérabilités de sécurité**, des problèmes de conformité et des erreurs de configuration d'infrastructure dans les **solutions Infrastructure as Code** suivantes : Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM et spécifications OpenAPI 3.0.
[**KICS**](https://github.com/Checkmarx/kics) trouve **des vulnérabilités de sécurité**, des problèmes de conformité et des erreurs de configuration d'infrastructure dans les **solutions Infrastructure as Code suivantes** : Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM et spécifications OpenAPI 3.0.
### [**Checkov**](https://github.com/bridgecrewio/checkov)
@@ -76,8 +76,8 @@ Pour installer :
| Distribution | Commande / Lien |
| --------------------------------------------------- | --------------------------------------------------------------------------------------- |
| Binaries préconstruits pour macOS, Linux et Windows | [Releases GitHub](https://github.com/zegl/kube-score/releases) |
| Docker | `docker pull zegl/kube-score` ([Docker Hub](https://hub.docker.com/r/zegl/kube-score/)) |
| Binaries préconstruits pour macOS, Linux et Windows | [GitHub releases](https://github.com/zegl/kube-score/releases) |
| Docker | `docker pull zegl/kube-score` ([Docker Hub)](https://hub.docker.com/r/zegl/kube-score/) |
| Homebrew (macOS et Linux) | `brew install kube-score` |
| [Krew](https://krew.sigs.k8s.io/) (macOS et Linux) | `kubectl krew install score` |
@@ -94,7 +94,7 @@ kubernetes-securitycontext-s.md
### Durcissement de l'API Kubernetes
Il est très important de **protéger l'accès au serveur API Kubernetes** car un acteur malveillant disposant de privilèges suffisants pourrait en abuser et endommager l'environnement de plusieurs manières.\
Il est important de sécuriser à la fois l'**accès** (**whitelist** des origines pour accéder au serveur API et refuser toute autre connexion) et l'**authentification** ([suivant le principe du **moindre** **privilège**](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-authentication-authorization/)). Et surtout **ne jamais** **autoriser** **les** **requêtes** **anonymes**.
Il est important de sécuriser à la fois l'**accès** (**whitelist** des origines pour accéder au serveur API et refuser toute autre connexion) et l'**authentification** (suivant le principe du **moindre** **privilège**). Et surtout **ne jamais** **autoriser** **les** **requêtes** **anonymes**.
**Processus de demande commun :**\
Utilisateur ou K8s ServiceAccount > Authentification > Autorisation > Contrôle d'admission.
@@ -113,7 +113,7 @@ Utilisateur ou K8s ServiceAccount > Authentification > Autorisation > C
- Évitez l'accès non autorisé RBAC.
- Port de l'ApiServer avec pare-feu et liste blanche d'IP.
### Durcissement du SecurityContext
### Durcissement de SecurityContext
Par défaut, l'utilisateur root sera utilisé lorsqu'un Pod est démarré si aucun autre utilisateur n'est spécifié. Vous pouvez exécuter votre application dans un contexte plus sécurisé en utilisant un modèle similaire à celui-ci :
```yaml