Bagikan melalui

Analisis jalur serangan dan peningkatan perburuan risiko untuk kontainer

  • Artikel

Analisis jalur serangan adalah algoritma berbasis grafik yang memindai grafik keamanan cloud. Pemindaian mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan penyerang untuk melanggar lingkungan Anda untuk mencapai aset berdampak tinggi Anda. Analisis jalur serangan memaparkan jalur serangan dan menyarankan rekomendasi tentang cara terbaik memulihkan masalah yang merusak jalur serangan dan mencegah pelanggaran yang berhasil.

Jelajahi dan selidiki jalur serangan dengan mengurutkannya berdasarkan tingkat risiko, nama, lingkungan, dan faktor risiko, titik masuk, target, sumber daya yang terpengaruh, dan rekomendasi aktif. Jelajahi Wawasan grafik keamanan cloud pada sumber daya. Contoh jenis Insight adalah:

  • Pod yang terekspos ke internet
  • Kontainer istimewa
  • Pod menggunakan jaringan host
  • Gambar kontainer rentan terhadap eksekusi kode jarak jauh

Azure: Menguji jalur serangan dan penjelajah keamanan menggunakan gambar kontainer rentan tiruan

Jika tidak ada entri dalam daftar jalur serangan, Anda masih dapat menguji fitur ini dengan menggunakan gambar kontainer tiruan. Gunakan langkah-langkah berikut untuk menyiapkan pengujian:

Persyaratan: Instans Azure Container Registry (ACR) dalam cakupan yang diuji.

  1. Impor gambar rentan tiruan ke Azure Container Registry Anda:

    1. Pertama, tarik gambar dasar (misalnya, alpine) ke lingkungan lokal Anda dengan menjalankan:

      docker pull alpine

    2. Tandai gambar dengan label berikut dan dorong ke ACR Anda. Ganti <MYACR> dengan nama Azure Container Registry Anda:

      docker tag alpine <MYACR>.azurecr.io/mdc-mock-0001
docker push <MYACR>.azurecr.io/mdc-mock-0001

    3. Jika Anda tidak memiliki kluster AKS (Azure Kubernetes Service), gunakan perintah berikut untuk membuat kluster AKS baru:

      az aks create -n myAKSCluster -g myResourceGroup --generate-ssh-keys --attach-acr $MYACR

    4. Jika AKS Anda tidak dilampirkan ke ACR Anda, gunakan baris perintah Cloud Shell berikut untuk mengarahkan instans AKS Anda untuk menarik gambar dari ACR yang dipilih:

      az aks update -n myAKSCluster -g myResourceGroup --attach-acr <acr-name>

  2. Autentikasi sesi Cloud Shell Anda untuk bekerja dengan kluster:

    az aks get-credentials  --subscription <cluster-suid> --resource-group <your-rg> --name <your-cluster-name>

  3. Pasang Pengontrol ingress ngnix :

    helm install ingress-controller oci://ghcr.io/nginxinc/charts/nginx-ingress --version 1.0.1

  4. Sebarkan gambar rentan tiruan untuk mengekspos kontainer yang rentan ke internet dengan menjalankan perintah berikut:

    helm install dcspmcharts  oci://mcr.microsoft.com/mdc/stable/dcspmcharts --version 1.0.0 --namespace mdc-dcspm-demo --create-namespace --set image=<your-image-uri> --set distribution=AZURE

  5. Verifikasi keberhasilan dengan melakukan langkah-langkah berikut:

    • Cari entri dengan mdc-dcspm-demo sebagai namespace
    • Di tab Beban Kerja-> Penyebaran , verifikasi "pod" yang dibuat 3/3 dan dcspmcharts-ingress-nginx-controller 1/1.
    • Dalam layanan dan ingress mencari> layanan, dcspmcharts-ingress-nginx-controller dan dcspmcharts-ingress-nginx-controller-admission. Di tab ingress, verifikasi satu ingress dibuat dengan alamat IP dan kelas nginx.

Catatan

Setelah menyelesaikan alur di atas, dibutuhkan waktu hingga 24 jam untuk melihat hasil di penjelajah keamanan cloud dan jalur serangan.

Setelah Anda selesai menguji jalur serangan, selidiki jalur serangan yang dibuat dengan masuk ke Analisis jalur serangan, dan cari jalur serangan yang Anda buat. Untuk informasi selengkapnya, lihat Mengidentifikasi dan memulihkan jalur serangan.

AWS: Menguji jalur serangan dan penjelajah keamanan menggunakan gambar kontainer yang rentan tiruan

  1. Membuat repositori ECR bernama mdc-mock-0001

  2. Buka akun AWS Anda dan pilih Baris perintah atau akses terprogram.

  3. Buka baris perintah dan pilih Opsi 1: Atur variabel lingkungan AWS (Kredensial jangka pendek). Salin kredensial variabel lingkungan AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, dan AWS_SESSION_TOKEN .

  4. Jalankan perintah berikut untuk mendapatkan token autentikasi untuk registri Amazon ECR Anda. Ganti <REGION> dengan wilayah registri Anda. Ganti <ACCOUNT> dengan ID akun AWS Anda.

    aws ecr get-login-password --region <REGION> | docker login --username AWS --password-stdin <ACCOUNT>.dkr.ecr.<REGION>.amazonaws.com

  5. Buat gambar Docker yang ditandai sebagai rentan berdasarkan nama. Nama gambar harus berisi string mdc-mock-0001. Setelah Anda membuat gambar, dorong ke registri ECR Anda, dengan perintah berikut (ganti <ACCOUNT> dan <REGION> dengan ID dan wilayah akun AWS Anda):

    docker pull alpine
docker tag alpine <ACCOUNT>.dkr.ecr.<REGION>.amazonaws.com/mdc-mock-0001
docker push <ACCOUNT>.dkr.ecr.<REGION>.amazonaws.com/mdc-mock-0001

  6. Sambungkan ke kluster EKS Anda dan instal bagan Helm yang disediakan. Konfigurasikan kubectl untuk bekerja dengan kluster EKS Anda. Jalankan perintah ini (ganti <your-region> dan <your-cluster-name> dengan wilayah dan nama kluster EKS Anda):

    aws eks --region <your-region> update-kubeconfig --name <your-cluster-name>

  7. Verifikasi konfigurasi. Anda dapat memeriksa apakah kubectl dikonfigurasi dengan benar dengan menjalankan:

    kubectl get nodes

  8. Pasang Pengontrol ingress ngnix :

    helm install ingress-controller oci://ghcr.io/nginxinc/charts/nginx-ingress --version 1.0.1

  9. Instal bagan Helm berikut ini:

    helm install dcspmcharts oci://mcr.microsoft.com/mdc/stable/dcspmcharts --version 1.0.0 --namespace mdc-dcspm-demo --create-namespace --set image=<ACCOUNT>.dkr.ecr.<REGION>.amazonaws.com/mdc-mock-0001 --set distribution=AWS

Bagan Helm menyebarkan sumber daya ke kluster Anda yang dapat digunakan untuk menyimpulkan jalur serangan. Ini juga termasuk gambar yang rentan.

Catatan

Setelah menyelesaikan alur di atas, dibutuhkan waktu hingga 24 jam untuk melihat hasil di penjelajah keamanan cloud dan jalur serangan.

Setelah Anda selesai menguji jalur serangan, selidiki jalur serangan yang dibuat dengan masuk ke Analisis jalur serangan, dan cari jalur serangan yang Anda buat. Untuk informasi selengkapnya, lihat Mengidentifikasi dan memulihkan jalur serangan.

GCP: Menguji jalur serangan dan penjelajah keamanan menggunakan gambar kontainer yang rentan tiruan

  1. Di portal GCP, cari Registri Artefak, lalu buat repositori GCP bernama mdc-mock-0001

  2. Ikuti petunjuk ini untuk mendorong gambar ke repositori Anda. Jalankan perintah ini:

    docker pull alpine
docker tag alpine <LOCATION>-docker.pkg.dev/<PROJECT_ID>/<REGISTRY>/<REPOSITORY>/mdc-mock-0001
docker push <LOCATION>-docker.pkg.dev/<PROJECT_ID>/<REGISTRY>/<REPOSITORY>/mdc-mock-0001

  3. Buka portal GCP. Kemudian buka Kluster Mesin>Kubernetes. Klik tombol Sambungkan.

  4. Setelah tersambung, jalankan perintah di Cloud Shell atau salin perintah koneksi dan jalankan di komputer Anda:

    gcloud container clusters get-credentials contra-bugbash-gcp --zone us-central1-c --project onboardingc-demo-gcp-1

  5. Verifikasi konfigurasi. Anda dapat memeriksa apakah kubectl dikonfigurasi dengan benar dengan menjalankan:

    kubectl get nodes

  6. Untuk menginstal bagan Helm, ikuti langkah-langkah berikut:

    1. Di bawah Registri artefak di portal, buka repositori, dan temukan URI gambar di bawah Tarik berdasarkan hash.

    2. Gunakan perintah berikut untuk menginstal bagan Helm:

      helm install dcspmcharts oci:/mcr.microsoft.com/mdc/stable/dcspmcharts --version 1.0.0 --namespace mdc-dcspm-demo --create-namespace --set image=<IMAGE_URI> --set distribution=GCP

Bagan Helm menyebarkan sumber daya ke kluster Anda yang dapat digunakan untuk menyimpulkan jalur serangan. Ini juga termasuk gambar yang rentan.

Catatan

Setelah menyelesaikan alur di atas, dibutuhkan waktu hingga 24 jam untuk melihat hasil di penjelajah keamanan cloud dan jalur serangan.

Setelah Anda selesai menguji jalur serangan, selidiki jalur serangan yang dibuat dengan masuk ke Analisis jalur serangan, dan cari jalur serangan yang Anda buat. Untuk informasi selengkapnya, lihat Mengidentifikasi dan memulihkan jalur serangan.

Menemukan masalah postur kontainer dengan penjelajah keamanan cloud

Anda dapat membuat kueri dengan salah satu cara berikut:

Di bagian berikut, kami menyajikan contoh kueri yang dapat Anda pilih atau buat.

Menjelajahi risiko dengan templat penjelajah keamanan cloud

  1. Dari halaman gambaran umum Defender untuk Cloud, buka penjelajah keamanan cloud.

  2. Beberapa templat di luar kotak untuk Kubernetes muncul. Pilih salah satu templat:

    • Pod Azure Kubernetes yang menjalankan gambar dengan kerentanan tingkat keparahan tinggi
    • Namespace layanan Kubernetes berisi pod yang rentan

    Cuplikan layar memperlihatkan tempat untuk memilih templat.

  3. Pilih Buka kueri; templat menyusun kueri di bagian atas layar. Pilih Cari untuk melihat hasilnya.

    Cuplikan layar yang memperlihatkan kueri yang dibuat dan tempat untuk memilih pencarian.

Membuat kueri kustom dengan penjelajah keamanan cloud

Anda juga dapat membuat kueri kustom Anda sendiri. Contoh berikut menunjukkan pencarian pod yang menjalankan gambar kontainer yang rentan terhadap eksekusi kode jarak jauh.

Cuplikan layar yang memperlihatkan kueri kustom.

Hasilnya tercantum di bawah kueri.

Cuplikan layar yang memperlihatkan hasil dari kueri kustom.

Langkah berikutnya