Aqua推出開源Kubernetes滲透測試工具Kube-hunter

主打容器安全的新創公司Aqua，今年陸續推出免費容器鏡像文件掃描工具MicroScanner，以及讓該工具串接Jenkins流程。 而現在Aqua又開源發布一款容器網路安全工具Kube-hunter，這款新工具鎖定了Kubernetes容器基礎架構環境，可以執行滲透測試任務，加強自家容器環境的安全性。 現在該項目已經登上GitHub，讓開發者可自由使用。

由於容器化部署需求，Aqua也有推出容器版本的Kube-hunter，方便企業用戶部署。而Aqua也有將該工具與Kube-hunter網頁進行串接，讓用戶可以與組織其他成員分享滲透任務的執行結果。 Aqua表示，用戶輸入電子郵件後，系統會發送一組Docker指令及Token，接著，在自家容器環境輸入該指令，Kube-hunter就會開始執行滲透測試。最後，Kube-hunter提供一組URL給該企業，讓用戶了解當前容器基礎架構潛在的問題。

目前，Kube-hunter總共有被動、主動此兩種模式。該工具默認為被動模式，可以用來探測企業用戶Kubernetes環境內潛在的訪問弱點。在主動模式中，Kube-hunter執行的任務範圍，包含檢查Kubernetes SSL憑證中的電子郵件地址、掃描Kubernetes既有通信埠是否有開放端點，以及Azure Kubernetes集群部署是否有按照正確組態設置等。

如用戶將Kube-hunter調整至主動模式時，使用被動模式搜索出的弱點，系統會點出攻擊者可能使用的攻擊手法。 Aqua表示，打開主動模式的企業用戶要特別注意，「它們有可能會改變集群當前運行狀態，或者執行的程序代碼。」

現在Kube-hunter總共有3種不同使用方式。第一種方式，將Kube-hunter容器部署在集群外，指定集群的網域名稱、IP地址後，就能進行滲透測試。第二種方式則是將Kube-hunter部署在集群內特定主機運行，直接在本地環境偵測、掃描。最後，則是使用Pod作為部署單位，執行Kube-hunter。

不過Aqua也一再強調，強烈禁止開發者在非自家環境內，使用該款滲透測試工具。在發布Kube-hunter前，該公司已經審慎評估此款工具可能遭不法濫用，「不過事實上，非法人士早就在用不同工具進行測試、掃描。」通過此款工具，Aqua希望可以讓運維人員、系統管理員更容易找出系統部署漏洞，提早進行準備。

利用Kube-hunter就可以進行免費Kubernetes環境滲透測試，在Kube-hunter網頁中，系統會列出用戶環境出現的漏洞、嚴重性，以及問題細節的描述。利用URL，企業用戶也可以與組織內其他成員分享掃描結果。圖片來源：Aqua

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！