Vesta是一款实用、方便的镜像扫描以及Docker、Kubernetes基线安全检查工具。 致力检查因为Docker或Kubernetes错误配置而导致的各种潜在安全问题的发生。
Vesta v1.0.2更新内容如下:
新功能
- 增加cilium版本漏洞检测
- 增加kubelet read-only-port参数以及kubectl proxy的错误使用的检测
- 增加etcd安全配置的检测
- 增加RoleBinding安全配置的检测
- 镜像扫描增加go二进制检测
改进
- 优化Layers整合的方法,镜像扫描速度加快
目前vesta支持的Kubernets安全检查配置列表为
Supported | Check Item | Description | Severity |
---|---|---|---|
✔ | PrivilegeAllowed | 危险的特权模式 | critical |
✔ | Capabilities | 危险capabilities被设置 | critical |
✔ | PV and PVC | PV 被挂载到敏感目录并且状态为active | critical/medium |
✔ | RBAC | K8s 权限存在危险配置 | high/medium |
✔ | Kubernetes-dashborad | 检查 -enable-skip-login 以及 dashborad的账户权限 |
critical/high/low |
✔ | Kernel version (k8s versions is less than v1.24) | 当前内核版本存在逃逸漏洞 | critical |
✔ | Docker Server version (k8s versions is less than v1.24) | Docker Server版本存在漏洞 | critical/high/medium/low |
✔ | Kubernetes certification expiration | 证书到期时间小于30天 | medium |
✔ | ConfigMap and Secret check | ConfigMap 或者 Secret是否存在弱密码 | high/medium |
✔ | Auto Mount ServiceAccount Token | Pod默认挂载了 /var/run/secrets/kubernetes.io/serviceaccount/token . |
low |
✔ | NoResourceLimits | 没有限制资源的使用,例如CPU,Memory, 存储 | low |
✔ | Job and Cronjob | Job或CronJob没有设置seccomp或seLinux安全策略 | low |
✔ | Envoy admin | Envoy admin被配置以及监听0.0.0.0 . |
high/medium |
✔ | CVE-2022-29179 | 检测CVE-2022-29179是否存在 | high |
✔ | Kubelet 10255 and Kubectl proxy | 10255 port 打开或 Kubectl proxy开启 | high/medium/low |
✔ | Etcd configuration | Etcd 安全配置检查 | high/medium |
同时针对镜像Layer整合方法做了大致对比,文章如下