eks-security-scanner
AWS EKSクラスタの設定ミス、過剰な権限、一般的なKubernetesセキュリティリスクをスキャンするCLIツール。高速性とシンプルさを実現するためGoで構築されています。
eks-security-scannerは、脅威グラフを構築することで、Kubernetesクラスタ内の潜在的な攻撃パスを可視化し評価するのに役立ちます。このグラフベースのアプローチは基本的な脅威モデリングをサポートし、横方向の移動、権限昇格、ネットワークの露出、過剰な信頼関係について推論するのに役立ちます。
機能
- サービスアカウントアクセスグラフによる脅威モデリング
- 特権ポッドの検出
- RBACおよびIAMアクセスの監査
- 名前空間レベルのスコープフィルタリング
- ASCIIまたはDOT形式での出力
- Cobraで構築された拡張可能なCLI
認証要件
- Kubernetes認証情報が
~/.kube/configまたはKUBECONFIG環境変数を介して設定され、EKSクラスタへのアクセス権があること。 - AWS認証情報が環境変数、名前付きプロファイル、またはAWS CLI(
~/.aws/credentials)を介して設定され、AWSアカウントへの適切なアクセス権があること。
このツールはEKS環境の読み取り専用スキャンを実行します。Kubernetesクラスタやリソースに対して一切の変更を加えません。
必要な最小限のAWS IAM権限:
eks:ListAccessEntrieseks:DescribeAccessEntryeks:DescribeClusteriam:GetRoleiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersion
KubernetesユーザーまたはIAMロールは、以下を含む一般的なクラスタリソースへの読み取りアクセス権を持つ必要があります:
- Pods
- Namespaces
- Services
- Endpoints
- RoleBindings
- ServiceAccounts
- ConfigMaps
- ResourceQuotas
- LimitRanges
このデータを取得するために、AWSとKubernetesの両方で、あなたのIDが十分な権限を持っていることを確認してください。
使用方法
EKSクラスタの一般的なセキュリティ設定ミスをスキャン
使用方法:
eks-scanner [フラグ]
eks-scanner [コマンド]
利用可能なコマンド:
audit EKSアクセスエントリとIAM権限をスキャンします。
completion 指定されたシェルの自動補完スクリプトを生成
graph EKSクラスタの脅威グラフをASCII(デフォルト)またはDOT形式で生成
help 任意のコマンドに関するヘルプ
namespace セキュリティ設定ミスと過剰なデフォルト権限についてKubernetes名前空間をスキャン
privilege 特権権限またはrootアクセスを持つポッドをスキャンします。
フラグ:
-a, --all すべてのチェックを実行
-c, --cluster string スキャンするEKSクラスタの名前(必須)
-f, --format string 出力形式: ascii または dot(デフォルト "ascii")
-h, --help eks-scannerのヘルプ
-n, --namespace string スキャンする名前空間の名前
コマンドの詳細については "eks-scanner [コマンド] --help" を使用してください。ダウンロード
ソース: meterpreter.org
