gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 05:33:10 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/kubernetes-security/kubernetes-har

Browse Source
This commit is contained in:
Translator
2025-11-17 12:18:59 +00:00
parent e4271999f5
commit 9083555b73
1 changed files with 112 additions and 66 deletions
Download Patch File Download Diff File Expand all files Collapse all files

178
src/pentesting-cloud/kubernetes-security/kubernetes-hardening/README.md
View File

@@ -1,12 +1,12 @@
# Kubernetes-Härtung
# Kubernetes Hardening
{{#include ../../../banners/hacktricks-training.md}}
## Werkzeuge zur Analyse eines Clusters
## Tools zur Analyse eines Clusters
### [**Steampipe - Kubernetes Compliance](https://github.com/turbot/steampipe-mod-kubernetes-compliance)
### [Steampipe - Kubernetes Compliance](https://github.com/turbot/steampipe-mod-kubernetes-compliance)
Es wird **mehrere Compliance-Prüfungen über den Kubernetes-Cluster** durchführen. Es umfasst Unterstützung für CIS, National Security Agency (NSA) und Cybersecurity and Infrastructure Security Agency (CISA) Cybersecurity-Technikbericht zur Härtung von Kubernetes.
Es führt **mehrere Compliance-Prüfungen am Kubernetes-Cluster** durch. Es bietet Unterstützung für CIS sowie die Cybersecurity Technical Reports der National Security Agency (NSA) und der Cybersecurity and Infrastructure Security Agency (CISA) zur Härtung von Kubernetes.
```bash
# Install Steampipe
brew install turbot/tap/powerpipe
@@ -27,100 +27,146 @@ powerpipe server
```
### [**Kubescape**](https://github.com/armosec/kubescape)
[**Kubescape**](https://github.com/armosec/kubescape) ist ein K8s Open-Source-Tool, das eine Multi-Cloud-K8s-Einzelansicht bietet, einschließlich Risikoanalyse, Sicherheitskonformität, RBAC-Visualisierung und Scannen von Bildanfälligkeiten. Kubescape scannt K8s-Cluster, YAML-Dateien und HELM-Diagramme, erkennt Fehlkonfigurationen gemäß mehreren Rahmenwerken (wie dem [NSA-CISA](https://www.armosec.io/blog/kubernetes-hardening-guidance-summary-by-armo) , [MITRE ATT\&CK®](https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/)), Softwareanfälligkeiten und RBAC (role-based-access-control)-Verstöße in frühen Phasen der CI/CD-Pipeline, berechnet sofort den Risikowert und zeigt Risikotrends im Laufe der Zeit an.
[**Kubescape**](https://github.com/armosec/kubescape) ist ein Open-Source-Tool für K8s, das ein zentrales Dashboard für multi-cloud K8s bietet, einschließlich Risikoanalyse, Sicherheits-Compliance, RBAC visualizer und Scanning von Image-Schwachstellen. Kubescape scannt K8s-Cluster, YAML-Dateien und HELM charts, erkennt Fehlkonfigurationen gemäß mehreren Frameworks (wie dem [NSA-CISA](https://www.armosec.io/blog/kubernetes-hardening-guidance-summary-by-armo) , [MITRE ATT\&CK®](https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/)), Software-Schwachstellen und RBAC (rollenbasierte Zugriffskontrolle)-Verstöße bereits in frühen Phasen der CI/CD-Pipeline, berechnet sofort einen Risiko-Score und zeigt Risiko-Trends im Zeitverlauf.
```bash
curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
kubescape scan --verbose
```
### [**Popeye**](https://github.com/derailed/popeye)
[**Popeye**](https://github.com/derailed/popeye) ist ein Dienstprogramm, das live Kubernetes-Cluster scannt und **potenzielle Probleme mit bereitgestellten Ressourcen und Konfigurationen meldet**. Es bereinigt Ihr Cluster basierend auf dem, was bereitgestellt ist, und nicht auf dem, was auf der Festplatte liegt. Durch das Scannen Ihres Clusters erkennt es Fehlkonfigurationen und hilft Ihnen sicherzustellen, dass bewährte Praktiken vorhanden sind, um zukünftige Kopfschmerzen zu vermeiden. Es zielt darauf ab, die kognitive \_over_load zu reduzieren, die man beim Betrieb eines Kubernetes-Clusters in der Wildnis hat. Darüber hinaus, wenn Ihr Cluster einen Metric-Server verwendet, meldet es potenzielle Ressourcenüber-/unterzuweisungen und versucht, Sie zu warnen, falls Ihr Cluster die Kapazität erschöpft.
[**Popeye**](https://github.com/derailed/popeye) ist ein Dienstprogramm, das live Kubernetes-Cluster scannt und **meldet potenzielle Probleme mit bereitgestellten Ressourcen und Konfigurationen**. Es säubert Ihr Cluster basierend auf dem, was tatsächlich bereitgestellt ist, und nicht auf dem, was auf der Festplatte liegt. Durch das Scannen Ihres Clusters erkennt es Fehlkonfigurationen und hilft Ihnen sicherzustellen, dass Best Practices eingehalten werden, und verhindert so zukünftige Kopfschmerzen. Es zielt darauf ab, die kognitive Überlastung zu reduzieren, die beim Betrieb eines Kubernetes-Clusters in der freien Wildbahn entsteht. Außerdem, wenn Ihr Cluster einen metric-server verwendet, meldet es mögliche Über-/Unter-Allokationen von Ressourcen und versucht, Sie zu warnen, falls Ihr Cluster die Kapazität erschöpft.
### [**Kube-bench**](https://github.com/aquasecurity/kube-bench)
Das Tool [**kube-bench**](https://github.com/aquasecurity/kube-bench) ist ein Werkzeug, das überprüft, ob Kubernetes sicher bereitgestellt ist, indem es die in dem [**CIS Kubernetes Benchmark**](https://www.cisecurity.org/benchmark/kubernetes/) dokumentierten Prüfungen durchführt.\
Sie können wählen, um:
Das Tool [**kube-bench**](https://github.com/aquasecurity/kube-bench) ist ein Werkzeug, das überprüft, ob Kubernetes sicher bereitgestellt ist, indem es die im [**CIS Kubernetes Benchmark**](https://www.cisecurity.org/benchmark/kubernetes/) dokumentierten Prüfungen ausführt.\
Sie können wählen:
- kube-bench aus einem Container heraus auszuführen (PID-Namespace mit dem Host teilen)
- einen Container auszuführen, der kube-bench auf dem Host installiert, und dann kube-bench direkt auf dem Host auszuführen
- die neuesten Binärdateien von der [Releases-Seite](https://github.com/aquasecurity/kube-bench/releases) zu installieren,
- es aus dem Quellcode zu kompilieren.
- kube-bench aus einem Container heraus ausführen (PID-Namespace mit dem Host teilen)
- einen Container ausführen, der kube-bench auf dem Host installiert, und dann kube-bench direkt auf dem Host ausführen
- die neuesten Binaries von der [Releases page](https://github.com/aquasecurity/kube-bench/releases) installieren,
- es aus dem Quellcode kompilieren.
### [**Kubeaudit**](https://github.com/Shopify/kubeaudit)
**[VERALTET]** Das Tool [**kubeaudit**](https://github.com/Shopify/kubeaudit) ist ein Befehlszeilenwerkzeug und ein Go-Paket, um **Kubernetes-Cluster** auf verschiedene Sicherheitsbedenken zu überprüfen.
**[VERALTET]** Das Tool [**kubeaudit**](https://github.com/Shopify/kubeaudit) ist ein Kommandozeilen-Tool und ein Go-Paket, um **Kubernetes-Cluster zu prüfen** hinsichtlich verschiedener Sicherheitsaspekte.
Kubeaudit kann erkennen, ob es innerhalb eines Containers in einem Cluster ausgeführt wird. Wenn ja, wird es versuchen, alle Kubernetes-Ressourcen in diesem Cluster zu überprüfen:
Kubeaudit kann erkennen, ob es innerhalb eines Containers in einem Cluster läuft. Falls ja, versucht es, alle Kubernetes-Ressourcen in diesem Cluster zu prüfen:
```
kubeaudit all
```
Dieses Tool hat auch das Argument `autofix`, um **erfasste Probleme automatisch zu beheben.**
Dieses Tool hat außerdem das Argument `autofix`, um **erkannte Probleme automatisch zu beheben.**
### [**Kube-hunter**](https://github.com/aquasecurity/kube-hunter)
**[VERALTET]** Das Tool [**kube-hunter**](https://github.com/aquasecurity/kube-hunter) sucht nach Sicherheitsanfälligkeiten in Kubernetes-Clustern. Das Tool wurde entwickelt, um das Bewusstsein und die Sichtbarkeit für Sicherheitsprobleme in Kubernetes-Umgebungen zu erhöhen.
**[VERALTET]** Das Tool [**kube-hunter**](https://github.com/aquasecurity/kube-hunter) durchsucht Kubernetes-Cluster nach Sicherheitslücken. Es wurde entwickelt, um das Bewusstsein und die Sichtbarkeit für Sicherheitsprobleme in Kubernetes-Umgebungen zu erhöhen.
```bash
kube-hunter --remote some.node.com
```
### [Trivy](https://github.com/aquasecurity/trivy)
[Trivy](https://github.com/aquasecurity/trivy) hat Scanner, die nach Sicherheitsproblemen suchen, und Ziele, wo sie diese Probleme finden können:
[Trivy](https://github.com/aquasecurity/trivy) hat Scanner, die nach Sicherheitsproblemen suchen, und unterstützt die folgenden Ziele, auf denen diese Probleme gefunden werden können:
- Container-Image
- Dateisystem
- Git-Repository (remote)
- Virtuelles Maschinen-Image
- Container Image
- Filesystem
- Git Repository (remote)
- Virtual Machine Image
- Kubernetes
### [**Kubei**](https://github.com/Erezf-p/kubei)
**[Sieht unmaintained aus]**
**[Scheint nicht mehr gewartet zu werden]**
[**Kubei**](https://github.com/Erezf-p/kubei) ist ein Tool zur Schwachstellenscannung und CIS Docker-Benchmark, das es Benutzern ermöglicht, eine genaue und sofortige Risikobewertung ihrer Kubernetes-Cluster zu erhalten. Kubei scannt alle Images, die in einem Kubernetes-Cluster verwendet werden, einschließlich der Images von Anwendungs-Pods und System-Pods.
[**Kubei**](https://github.com/Erezf-p/kubei) ist ein Tool zum Scannen nach Sicherheitslücken und ein CIS Docker-Benchmark-Tool, das es Nutzern ermöglicht, eine genaue und unmittelbare Risikoabschätzung ihrer Kubernetes-Cluster zu erhalten. Kubei scannt alle Images, die in einem Kubernetes-Cluster verwendet werden, einschließlich Images von Anwendungs-Pods und System-Pods.
### [**KubiScan**](https://github.com/cyberark/KubiScan)
[**KubiScan**](https://github.com/cyberark/KubiScan) ist ein Tool zum Scannen von Kubernetes-Clustern auf riskante Berechtigungen im rollenbasierten Zugriffskontrollmodell (RBAC) von Kubernetes.
[**KubiScan**](https://github.com/cyberark/KubiScan) ist ein Tool zum Scannen von Kubernetes-Clustern nach riskanten Berechtigungen im Role-based access control (RBAC)-Autorisierungsmodell von Kubernetes.
### [Managed Kubernetes Auditing Toolkit](https://github.com/DataDog/managed-kubernetes-auditing-toolkit)
[**Mkat**](https://github.com/DataDog/managed-kubernetes-auditing-toolkit) ist ein Tool, das entwickelt wurde, um andere Arten von Hochrisikoprüfungen im Vergleich zu anderen Tools zu testen. Es hat hauptsächlich 3 verschiedene Modi:
[**Mkat**](https://github.com/DataDog/managed-kubernetes-auditing-toolkit) ist ein Tool, das entwickelt wurde, um andere Arten von Hochrisiko-Checks zu testen im Vergleich zu den anderen Tools. Es bietet hauptsächlich 3 verschiedene Modi:
- **`find-role-relationships`**: Der herausfindet, welche AWS-Rollen in welchen Pods ausgeführt werden
- **`find-secrets`**: Der versucht, Geheimnisse in K8s-Ressourcen wie Pods, ConfigMaps und Secrets zu identifizieren.
- **`test-imds-access`**: Der versucht, Pods auszuführen und auf die Metadaten v1 und v2 zuzugreifen. WARNUNG: Dies wird einen Pod im Cluster ausführen, seien Sie sehr vorsichtig, da Sie dies möglicherweise nicht tun möchten!
- **`find-role-relationships`**: der ermittelt, welche AWS-Rollen in welchen Pods laufen
- **`find-secrets`**: der versucht, Secrets in K8s-Ressourcen wie Pods, ConfigMaps und Secrets zu identifizieren.
- **`test-imds-access`**: der versucht, Pods zu starten und auf die metadata v1 und v2 zuzugreifen. WARNUNG: Dies wird einen Pod im Cluster starten — sei sehr vorsichtig, da du das möglicherweise nicht tun möchtest!
## **Audit IaC Code**
### [**KICS**](https://github.com/Checkmarx/kics)
[**KICS**](https://github.com/Checkmarx/kics) findet **Sicherheitsanfälligkeiten**, Compliance-Probleme und Infrastrukturfehlkonfigurationen in den folgenden **Infrastructure as Code-Lösungen**: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM und OpenAPI 3.0-Spezifikationen.
[**KICS**](https://github.com/Checkmarx/kics) findet Sicherheitslücken, Compliance-Probleme und Infrastrukturfehlkonfigurationen in den folgenden Infrastructure-as-Code-Lösungen: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM und OpenAPI 3.0-Spezifikationen
### [**Checkov**](https://github.com/bridgecrewio/checkov)
[**Checkov**](https://github.com/bridgecrewio/checkov) ist ein statisches Codeanalyse-Tool für Infrastructure-as-Code.
[**Checkov**](https://github.com/bridgecrewio/checkov) ist ein statisches Code-Analyse-Tool für Infrastructure-as-Code.
Es scannt Cloud-Infrastruktur, die mit [Terraform](https://terraform.io), Terraform-Plan, [Cloudformation](https://aws.amazon.com/cloudformation/), [AWS SAM](https://aws.amazon.com/serverless/sam/), [Kubernetes](https://kubernetes.io), [Dockerfile](https://www.docker.com), [Serverless](https://www.serverless.com) oder [ARM-Vorlagen](https://docs.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) bereitgestellt wurde, und erkennt Sicherheits- und Compliance-Fehlkonfigurationen mithilfe von graphbasierter Analyse.
Es scannt Cloud-Infrastruktur, die mit [Terraform](https://terraform.io), Terraform plan, [Cloudformation](https://aws.amazon.com/cloudformation/), [AWS SAM](https://aws.amazon.com/serverless/sam/), [Kubernetes](https://kubernetes.io), [Dockerfile](https://www.docker.com), [Serverless](https://www.serverless.com) oder [ARM Templates](https://docs.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) bereitgestellt wurde, und erkennt Sicherheits- und Compliance-Fehlkonfigurationen mittels graphbasiertem Scanning.
### [**Kube-score**](https://github.com/zegl/kube-score)
[**kube-score**](https://github.com/zegl/kube-score) ist ein Tool, das eine statische Codeanalyse Ihrer Kubernetes-Objektdokumentationen durchführt.
[**kube-score**](https://github.com/zegl/kube-score) ist ein Tool, das statische Code-Analyse deiner Kubernetes-Objektdefinitionen durchführt.
Um zu installieren:
Zur Installation:
| Distribution | Command / Link |
| Distribution | Befehl / Link |
| --------------------------------------------------- | --------------------------------------------------------------------------------------- |
| Vorgefertigte Binärdateien für macOS, Linux und Windows | [GitHub-Releases](https://github.com/zegl/kube-score/releases) |
| Pre-built binaries for macOS, Linux, and Windows | [GitHub releases](https://github.com/zegl/kube-score/releases) |
| Docker | `docker pull zegl/kube-score` ([Docker Hub)](https://hub.docker.com/r/zegl/kube-score/) |
| Homebrew (macOS und Linux) | `brew install kube-score` |
| [Krew](https://krew.sigs.k8s.io/) (macOS und Linux) | `kubectl krew install score` |
| Homebrew (macOS and Linux) | `brew install kube-score` |
| [Krew](https://krew.sigs.k8s.io/) (macOS and Linux) | `kubectl krew install score` |
## Tools to analyze YAML files & Helm Charts
### [**Kube-linter**](https://github.com/stackrox/kube-linter)
```bash
# Install Kube-linter
brew install kube-linter
# Run Kube-linter
## lint ./path/to/yaml/or/chart
```
### [Checkov](https://github.com/bridgecrewio/checkov)
```bash
# Install Checkov
pip install checkov
# Run Checkov
checkov -d ./path/to/yaml/or/chart
```
### [kubescore](https://github.com/zegl/kube-score)
```bash
# Install kube-score
brew install kube-score
# Run kube-score
kube-score score ./path/to/yaml
# or
helm template chart /path/to/chart | kube-score score -
# or if the chart needs some values
helm template chart /path/to/chart \
--set 'config.urls[0]=https://dummy.backend.internal' \
| kube-score score -
```
### [Kubesec](https://github.com/controlplaneio/kubesec)
```bash
# Install Kubesec
## Download from https://github.com/controlplaneio/kubesec/releases
# Run Kubesec in a yaml
kubesec scan ./path/to/yaml
# or
helm template chart /path/to/chart | kubesec scan -
# or if the chart needs some values
helm template chart /path/to/chart \
--set 'config.urls[0]=https://dummy.backend.internal' \
| kubesec scan -
```
## Tipps
### Kubernetes PodSecurityContext und SecurityContext
Sie können den **Sicherheitskontext der Pods** (mit _PodSecurityContext_) und der **Container**, die ausgeführt werden sollen (mit _SecurityContext_), konfigurieren. Für weitere Informationen lesen Sie:
Sie können den **Sicherheitskontext der Pods** (mit _PodSecurityContext_) und der **Container**, die ausgeführt werden sollen (mit _SecurityContext_), konfigurieren. Für mehr Informationen lesen:
{{#ref}}
kubernetes-securitycontext-s.md
@@ -128,29 +174,29 @@ kubernetes-securitycontext-s.md
### Kubernetes API-Härtung
Es ist sehr wichtig, den **Zugang zum Kubernetes Api Server** zu **schützen**, da ein böswilliger Akteur mit ausreichenden Berechtigungen in der Lage sein könnte, ihn auszunutzen und die Umgebung auf viele Arten zu schädigen.\
Es ist wichtig, sowohl den **Zugang** (**Whitelist**-Ursprünge für den Zugriff auf den API-Server und alle anderen Verbindungen abzulehnen) als auch die [**Authentifizierung**](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-authentication-authorization/) (nach dem Prinzip der **geringsten** **Berechtigung**) zu sichern. Und auf keinen Fall **anonyme** **Anfragen** **erlauben**.
Es ist sehr wichtig, den Zugriff auf den Kubernetes Api Server zu schützen, da ein böswilliger Akteur mit ausreichenden Privilegien diesen missbrauchen und die Umgebung auf vielfältige Weise schädigen könnte.\
Wichtig ist, sowohl den **access** (**whitelist** origins, die auf den API Server zugreifen dürfen, und alle anderen Verbindungen ablehnen) als auch die [**authentication**](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-authentication-authorization/) (nach dem Prinzip der **least** **privilege**) abzusichern. Und auf keinen Fall **never** **allow** **anonymous** **requests**.
**Allgemeiner Anfrageprozess:**\
Benutzer oder K8s ServiceAccount > Authentifizierung > Autorisierung > Zulassungssteuerung.
**Common Request process:**\
User or K8s ServiceAccount > Authentication > Authorization > Admission Control.
**Tipps**:
- Ports schließen.
- Anonymen Zugriff vermeiden.
- NodeRestriction; Kein Zugriff von bestimmten Knoten auf die API.
- Schließen Sie Ports.
- Vermeiden Sie anonymen Zugriff.
- NodeRestriction; Kein Zugriff bestimmter Nodes auf die API.
- [https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction](https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#noderestriction)
- Verhindert im Wesentlichen, dass Kubelets Labels mit einem node-restriction.kubernetes.io/ Präfix hinzufügen/entfernen/aktualisieren. Dieses Label-Präfix ist für Administratoren reserviert, um ihre Node-Objekte zu Labeln, um Arbeitslastisolierung zu ermöglichen, und Kubelets wird nicht erlaubt, Labels mit diesem Präfix zu ändern.
- Und außerdem erlaubt es Kubelets, diese Labels und Label-Präfixe hinzuzufügen/zu entfernen/zu aktualisieren.
- Stellen Sie mit Labels die sichere Arbeitslastisolierung sicher.
- Verhindern Sie, dass bestimmte Pods auf die API zugreifen.
- Vermeiden Sie die Exposition des ApiServers zum Internet.
- Vermeiden Sie unbefugten Zugriff RBAC.
- ApiServer-Port mit Firewall und IP-Whitelist.
- Verhindert im Wesentlichen, dass kubelets Labels mit dem Präfix node-restriction.kubernetes.io/ hinzufügen/entfernen/aktualisieren. Dieses Label-Präfix ist für Administratoren reserviert, um ihre Node-Objekte zur Workload-Isolierung zu kennzeichnen, und kubelets dürfen diese Labels nicht ändern.
- Und erlaubt außerdem kubelets, diese Labels und Label-Präfixe hinzuzufügen/entfernen/zu aktualisieren.
- Stellen Sie mit Labels eine sichere Workload-Isolierung sicher.
- Verhindern Sie, dass bestimmte Pods Zugriff auf die API haben.
- Vermeiden Sie die Exponierung des ApiServer im Internet.
- Verhindern Sie unautorisierten Zugriff durch korrektes RBAC.
- ApiServer-Port mittels Firewall und IP-Whitelisting schützen.
### Härtung des SecurityContext
### SecurityContext-Härtung
Standardmäßig wird der Root-Benutzer verwendet, wenn ein Pod gestartet wird, wenn kein anderer Benutzer angegeben ist. Sie können Ihre Anwendung in einem sichereren Kontext ausführen, indem Sie eine Vorlage verwenden, die der folgenden ähnlich ist:
Standardmäßig wird der root user verwendet, wenn ein Pod gestartet wird, falls kein anderer Benutzer angegeben ist. Sie können Ihre Anwendung in einem sichereren Kontext ausführen, indem Sie eine Vorlage ähnlich der folgenden verwenden:
```yaml
apiVersion: v1
kind: Pod
@@ -179,30 +225,30 @@ allowPrivilegeEscalation: true
- [https://kubernetes.io/docs/tasks/configure-pod-container/security-context/](https://kubernetes.io/docs/tasks/configure-pod-container/security-context/)
- [https://kubernetes.io/docs/concepts/policy/pod-security-policy/](https://kubernetes.io/docs/concepts/policy/pod-security-policy/)
### Allgemeine Härtung
### General Hardening
Sie sollten Ihre Kubernetes-Umgebung so häufig wie nötig aktualisieren, um Folgendes zu gewährleisten:
Sie sollten Ihre Kubernetes-Umgebung so häufig wie nötig aktualisieren, um Folgendes sicherzustellen:
- Abhängigkeiten auf dem neuesten Stand.
- Fehler- und Sicherheitsupdates.
- Fehler- und Sicherheits-Patches.
[**Release-Zyklen**](https://kubernetes.io/docs/setup/release/version-skew-policy/): Alle 3 Monate gibt es ein neues Minor-Release -- 1.20.3 = 1(Haupt).20(Minor).3(Patch)
[**Release cycles**](https://kubernetes.io/docs/setup/release/version-skew-policy/): Alle 3 Monate erscheint ein neues Minor-Release -- 1.20.3 = 1(Major).20(Minor).3(patch)
**Der beste Weg, ein Kubernetes-Cluster zu aktualisieren, ist (von** [**hier**](https://kubernetes.io/docs/tasks/administer-cluster/cluster-upgrade/)**):**
**Die beste Methode, ein Kubernetes Cluster zu aktualisieren, ist (aus** [**here**](https://kubernetes.io/docs/tasks/administer-cluster/cluster-upgrade/)**):**
- Aktualisieren Sie die Master-Node-Komponenten in folgender Reihenfolge:
- etcd (alle Instanzen).
- kube-apiserver (alle Control-Plane-Hosts).
- etcd (all instances).
- kube-apiserver (all control plane hosts).
- kube-controller-manager.
- kube-scheduler.
- cloud controller manager, falls Sie einen verwenden.
- cloud controller manager, if you use one.
- Aktualisieren Sie die Worker-Node-Komponenten wie kube-proxy, kubelet.
## Kubernetes-Überwachung & Sicherheit:
## Kubernetes monitoring & security:
- Kyverno Policy Engine
- Cilium Tetragon - eBPF-basierte Sicherheitsbeobachtung und Laufzeitanwendung
- Netzwerk-Sicherheitsrichtlinien
- Falco - Laufzeitsicherheitsüberwachung & -erkennung
- Cilium Tetragon - eBPF-basierte Security Observability und Runtime Enforcement
- Network Security Policies
- Falco - Runtime security monitoring & detection
{{#include ../../../banners/hacktricks-training.md}}