以Docker+K8s為代表的容器技術得到了越來越廣泛的應用,從安全攻防的角度,攻擊者已經不再滿足于容器逃逸,進而攻擊整個容器編排平臺,如果可以拿下集群管理員權限,其效果不亞于域控失陷。
在云原生安全攻防的場景下,甲乙攻防雙方對于安全工具的關注點也不一樣。本文試圖收集一些開源的云原生安全工具,帶你一起去了解云原生安全。
1、云原生攻防靶場
Metarget 是一個脆弱基礎設施自動化構建框架,主要用于快速、自動化搭建從簡單到復雜的脆弱云原生場景。
github項目地址:
https://github.com/Metarget/metarget
2、容器漏洞利用工具
CDK 是一個開源的容器滲透工具包,旨在在不依賴任何操作系統的情況下在不同的精簡容器中提供穩定的利用。它帶有有用的網絡工具和許多強大的 PoCs/EXPs,可以幫助你輕松地逃離容器并接管 K8s 集群。
github項目地址:
https://github.com/cdk-team/CDK
3、容器逃逸檢測工具
用于檢測Docker 容器逃逸方式,目前支持15種容易逃逸場景的檢測。
https://github.com/teamssix/container-escape-check
4、容器安全檢測工具
容器安全掃描工具,支持檢測容器/鏡像的惡意文件、弱口令、漏洞后門、逃逸風險等功能。
github項目地址:
https://github.com/chaitin/veinmind-tools
5、容器漏洞分析工具
Clair 是一個容器漏洞分析服務,用于對容器鏡像中的漏洞進行靜態分析。
github項目地址:
https://github.com/quay/clair
6、容器安全掃描
Trivy 是一個全面的多功能安全掃描器,支持在容器鏡像、Kubernetes、代碼存儲庫、AWS中查找漏洞、錯誤配置、敏感信息和密鑰、SBOM等。
github項目地址:
https://github.com/aquasecurity/trivy
7、容器鏡像掃描
Syft 用于從容器鏡像生成SBOM,Grype 用于容器鏡像掃描,兩者通常一起使用。
github項目地址:
https://github.com/anchore/grype
github項目地址:
https://github.com/anchore/syft
8、K8S漏洞掃描
kube-hunter 尋找 Kubernetes 集群中的安全漏洞。
github項目地址:
https://github.com/aquasecurity/kube-hunter
9、K8S基線核查
kube-bench 是一種工具,可通過運行CIS Kubernetes Benchmark中記錄的檢查來檢查 Kubernetes 是否已安全部署。
github項目地址:
https://github.com/aquasecurity/kube-bench
10、云原生安全平臺
NeuVector 是唯一提供完整容器安全性的 kubernetes 原生容器安全平臺。
github項目地址:
https://github.com/neuvector/neuvector
一顆小胡椒
安全圈
安全圈
CNCERT國家工程研究中心
穿過叢林
系統安全運維
安全牛
FreeBuf
LemonSec
看雪學苑
ChaMd5安全團隊
LemonSec
