Sicherung Ihres Kubernetes-Clusters mit Mondoo und GitHub Actions

In diesem Artikel zeigen wir Ihnen, wie Sie Ihren Kubernetes-Cluster mit Mondoo und GitHub Actions sichern können. Wir verwenden die Mondoo GitHub Action, um unsere Kubernetes-Manifeste auf Sicherheitslücken und Compliance-Probleme zu scannen. Die Mondoo GitHub Action ist eine einfache und effektive Methode, um Ihre Kubernetes-Workloads abzusichern.

Vorteile des Scannens einer Kubernetes-Bereitstellung innerhalb einer GitHub Action

Da Organisationen zunehmend Kubernetes für die Container-Orchestrierung einsetzen, wird die Sicherstellung der Sicherheit und Stabilität von Bereitstellungen immer wichtiger. Die Integration von Sicherheits- und Compliance-Prüfungen direkt in die CI/CD-Pipeline ist eine effektive Möglichkeit, dies zu erreichen. GitHub Actions, ein beliebtes CI/CD-Tool, bietet eine hervorragende Plattform zur Automatisierung dieser Prüfungen. In diesem Beitrag werden wir die Vorteile des Scannens einer Kubernetes-Bereitstellung innerhalb einer GitHub Action erläutern.

Kontinuierliche Sicherheit und Compliance

Durch die Einbindung von Kubernetes-Scans in Ihren GitHub Actions-Workflow stellen Sie sicher, dass jede Bereitstellung automatisch auf Sicherheitslücken und Compliance-Probleme überprüft wird. Diese kontinuierliche Überwachung hilft, potenzielle Probleme frühzeitig zu erkennen, bevor sie in die Produktion gelangen.

• Früherkennung: Identifizieren Sie frühzeitig Schwachstellen in Container-Images, Fehlkonfigurationen und Compliance-Verstöße im Entwicklungszyklus.
• Reduziertes Risiko: Durch proaktives Angehen von Sicherheitsproblemen wird das Risiko von Sicherheitsverletzungen und Ausfallzeiten verringert.

Automatisierter Workflow

Automatisierung ist ein entscheidender Vorteil der Nutzung von GitHub Actions für das Scannen von Kubernetes. Automatisierte Workflows bedeuten, dass Scans konsistent durchgeführt werden, ohne dass manuelle Eingriffe erforderlich sind.

• Konsistenz: Automatisierte Scans stellen sicher, dass Sicherheitsüberprüfungen einheitlich auf alle Bereitstellungen angewendet werden.
• Effizienz: Spart Zeit und Ressourcen, indem der Bedarf an manuellen Sicherheitsüberprüfungen reduziert wird.

Integration mit DevOps-Praktiken

GitHub Actions integriert sich nahtlos in bestehende DevOps-Praktiken und ermöglicht es Teams, Sicherheit in ihre Entwicklungs-Workflows zu integrieren, ohne wesentliche Änderungen an ihren Prozessen vorzunehmen.

• Shift Left Security: Fördert einen "Shift Left"-Ansatz, bei dem Sicherheit frühzeitig im Entwicklungsprozess integriert wird.
• Kontinuierliche Bereitstellung: Hält das Tempo der kontinuierlichen Bereitstellung aufrecht, indem Sicherheitsprüfungen in die CI/CD-Pipeline eingebettet werden.

Sichtbarkeit und Verantwortlichkeit

Das Ausführen von Scans innerhalb von GitHub Actions bietet Einblick in den Sicherheitsstatus Ihrer Kubernetes-Bereitstellungen. Es schafft auch eine Prüfungsspur, die es einfacher macht, Probleme zu verfolgen und zu beheben.

• Transparenz: Bietet klare Einblicke in den Sicherheits- und Compliance-Status für alle Beteiligten.
• Prüfbarkeit: Erstellt eine Aufzeichnung der Sicherheitsprüfungen, die für Audits und Compliance-Überprüfungen nützlich ist.

Anpassbar und erweiterbar

GitHub Actions bietet Flexibilität und Erweiterbarkeit, sodass Sie den Scanprozess nach Ihren spezifischen Anforderungen anpassen können. Sie können vorgefertigte Aktionen verwenden oder benutzerdefinierte Aktionen erstellen, die Ihren Anforderungen entsprechen.

• Flexibilität: Passen Sie den Scanprozess an Ihre einzigartigen Sicherheitsrichtlinien und Compliance-Anforderungen an.
• Erweiterbarkeit: Erweitern Sie den Workflow problemlos mit zusätzlichen Aktionen oder Integrationen nach Bedarf.

Kosteneffizient

Die Nutzung von GitHub Actions für das Scannen von Kubernetes kann kosteneffizienter sein als andere Lösungen, insbesondere für Organisationen, die GitHub bereits für Versionskontrolle und CI/CD verwenden.

• Kosteneinsparungen: Nutzen Sie die bestehende GitHub-Infrastruktur, um zusätzliche Kosten für Drittanbietertools zu vermeiden.
• Ressourcenoptimierung: Nutzen Sie Ressourcen effizient, indem Sie CI/CD- und Sicherheits-Workflows innerhalb von GitHub konsolidieren.

So erreichen Sie dies mit der Mondoo GitHub Action

Mondoo bietet eine GitHub Action, die es einfach macht, Kubernetes-Bereitstellungen auf Sicherheitslücken und Compliance-Probleme zu scannen. Die Mondoo GitHub Action integriert sich nahtlos in GitHub Actions und ermöglicht es Ihnen, Sicherheitsüberprüfungen mit minimalem Aufwand in Ihre CI/CD-Pipeline einzufügen.

 1name: Mondoo Manifest Check
 2on:
 3  push: {}
 4jobs:
 5    steps:
 6      - uses: actions/checkout@v4
 7      - name: Manifest Check
 8        uses: mondoohq/actions/k8s-manifest@main
 9        with:
10          path: k8s/manifests
11        env:
12          MONDOO_CONFIG_BASE64: '${{ secrets.MONDOO_SERVICE_ACCOUNT }}'

In diesem Beispiel definieren wir einen GitHub Actions-Workflow, der Kubernetes-Manifeste im Verzeichnis k8s/manifests scannt. Die Mondoo GitHub Action wird ausgelöst, wann immer Änderungen am Repository vorgenommen werden. Die Aktion verwendet das Secret MONDOO_SERVICE_ACCOUNT, um sich bei der Mondoo API zu authentifizieren. Auf der Mondoo-Seite können Sie ein Servicekonto mit der folgenden Dokumentation erstellen.

Mit dieser Konfiguration wollen wir nun folgendes Kubernetes Deployment mit Mondoo GitHub Actions scannen:

 1apiVersion: apps/v1
 2kind: Deployment
 3metadata:
 4  labels:
 5    app: whoami
 6  name: whoami
 7spec:
 8  replicas: 1
 9  selector:
10    matchLabels:
11      app: whoami
12  template:
13    metadata:
14      labels:
15        app: whoami
16    spec:
17      containers:
18      - image: containous/whoami
19        args: [ "-port", "8080" ]
20        imagePullPolicy: Always
21        name: whoami
22        ports:
23        - containerPort: 8080
24          protocol: TCP
25      restartPolicy: Always

Sobald wir dieses Manifest in unser GitHub-Repository pushen, wird die Mondoo GitHub Action das Deployment automatisch auf Sicherheitslücken und Compliance-Probleme scannen. Die detaillierten Scanergebnisse stehen in den GitHub Actions-Protokollen zur Verfügung, sodass Sie Probleme schnell identifizieren und beheben können.

Aber auch eine visuelle Darstellung in der Mondoo Console wird angezeigt:

Fazit

Durch das Hinzufügen dieses Workflows zu Ihrer GitHub Actions-Konfiguration können Sie Ihre Kubernetes-Bereitstellungen automatisch auf Sicherheitslücken und Compliance-Probleme scannen. Die Mondoo GitHub Action liefert detaillierte Berichte über die Scanergebnisse und hilft Ihnen, Probleme schnell zu identifizieren und zu beheben.