freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Krane:一款功能强大的Kubernetes RBAC静态分析与可视化工具
2021-06-16 20:58:26

关于Krane

Krane是一款功能强大的Kubernetes RBAC静态分析与可视化工具,该工具可以帮助广大研究人员分析K8s RBAC设计中存在的安全隐患,并提供相应的安全防范措施及建议。Krane的仪表盘可以显示当前RBAC的安全态势,并允许我们查看其他相关详情。

功能介绍

RBAC风险规则:Krane可以评估一组内置的RBAC风险规则,并支持使用一组自定义规则修改或扩展这些规则。

便携性:Krane能够以下列模式执行:命令行工具、Docker容器、CI/CD管道或单独服务。

报告:Krane能够以机器可读的格式声称详细的RBAC风险评估报告。

仪表盘:Krane提供了简单友好的仪表盘UI,帮助广大研究人员更好地了解目标Kubernetes RBAC的安全情况。

警报:如果检测到了中、高安全风险,Krane将会通过Slack向用户发出警报。

图形化RBAC:Krane可以将Kubernetes RBAC全部索引到一个本地图形数据库中,这使得RBAC数据的任何进一步的特殊查询都变得容易,支持使用任意CypherQL查询。

工具架构

Krane本地运行

Krane的功能依赖于RedisGraph,docker-compose栈定义了Krane服务本地构建和运行的所有依赖:

docker-compose up -d

注意,Krane的Docker镜像会自动进行预编译。

在本地运行docker-compose时,Krane不会自动开启RBAC报告和仪表盘,容器默认会休眠24小时,这个可以在docker-compose.override.yml中调整。

Krane执行:

# Exec into a running Krane container

docker-compose exec krane bash

# Once in the container you can start using `krane` commands. Try `krane -help`.

$ krane -h

检查正在运行的服务以及相关端口:

docker-compose ps

停止Krane运行及其相关服务:

docker-compose down

Krane可用命令

$ krane --help

  NAME:

    krane

  DESCRIPTION:

    Kubernetes RBAC static analysis & visualisation tool

  COMMANDS:

    dashboard Start K8s RBAC dashboard server

    help      Display global or [command] help documentation

    report    Run K8s RBAC report

  GLOBAL OPTIONS:

    -h, --help

        Display help documentation

 

    -v, --version

        Display version information

 

    -t, --trace

        Display backtrace when an error occurs

 

  AUTHOR:

 

    Marcin Ciszak <marcin.ciszak@appvia.io> - Appvia Ltd <appvia.io>

生成RBAC报告

针对一个正在运行的集群,生成报告时需要提供一个kubectl上下文:

krane report -k <context>

针对本地RBAC yaml/json文件运行,需要提供一个目录路径:

krane report -d </path/to/rbac-directory>

针对一个正在Kubernetes集群中运行的容器生成报告:

krane report --incluster

可视化仪表盘

查看RBAC数、网络图和最新的报告结果,首先需要启动仪表盘服务器:

krane dashboard

注意:本地Web服务器默认端口为8000,并且会显示仪表盘地址。

项目地址

Krane:GitHub传送门

本文作者:, 转载请注明来自FreeBuf.COM

# 容器安全 # RBAC # Kubernetes
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑