以Docker+K8s为代表的容器技术得到了越来越广泛的应用,从安全攻防的角度,攻击者已经不再满足于容器逃逸,进而攻击整个容器编排平台,如果可以拿下集群管理员权限,其效果不亚于域控失陷。

在云原生安全攻防的场景下,甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具,带你一起去了解云原生安全。

1、云原生攻防靶场

Metarget 是一个脆弱基础设施自动化构建框架,主要用于快速、自动化搭建从简单到复杂的脆弱云原生场景。

github项目地址:

https://github.com/Metarget/metarget

2、容器漏洞利用工具

CDK 是一个开源的容器渗透工具包,旨在在不依赖任何操作系统的情况下在不同的精简容器中提供稳定的利用。它带有有用的网络工具和许多强大的 PoCs/EXPs,可以帮助你轻松地逃离容器并接管 K8s 集群。

github项目地址:

https://github.com/cdk-team/CDK

3、容器逃逸检测工具

用于检测Docker 容器逃逸方式,目前支持15种容易逃逸场景的检测。

https://github.com/teamssix/container-escape-check

4、容器安全检测工具

容器安全扫描工具,支持检测容器/镜像的恶意文件、弱口令、漏洞后门、逃逸风险等功能。

github项目地址:

https://github.com/chaitin/veinmind-tools

5、容器漏洞分析工具

Clair 是一个容器漏洞分析服务,用于对容器镜像中的漏洞进行静态分析。

github项目地址:

https://github.com/quay/clair

6、容器安全扫描

Trivy 是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。

github项目地址:

https://github.com/aquasecurity/trivy

7、容器镜像扫描

Syft 用于从容器镜像生成SBOM,Grype 用于容器镜像扫描,两者通常一起使用。

github项目地址:

https://github.com/anchore/grype

github项目地址:

https://github.com/anchore/syft

8、K8S漏洞扫描

kube-hunter 寻找 Kubernetes 集群中的安全漏洞。

github项目地址:

https://github.com/aquasecurity/kube-hunter

9、K8S基线核查

kube-bench 是一种工具,可通过运行CIS Kubernetes Benchmark中记录的检查来检查 Kubernetes 是否已安全部署。

github项目地址:

https://github.com/aquasecurity/kube-bench

云原生安全平台NeuVector 是唯一提供完整容器安全性的 kubernetes 原生容器安全平台。

github项目地址:

https://github.com/neuvector/neuvector