Sicherung Ihres Kubernetes-Clusters mit Mondoo und GitHub Actions


Bicycle

In diesem Artikel zeigen wir Ihnen, wie Sie Ihren Kubernetes-Cluster mit Mondoo und GitHub Actions sichern können. Wir verwenden die Mondoo GitHub Action, um bereitgestellte Kubernetes-Manifeste auf Sicherheitslücken und Compliance-Probleme zu scannen. Die Mondoo GitHub Action ist eine einfache und effektive Methode, um Ihre Kubernetes-Workloads abzusichern.

Über alle Vorteile, warum Sie Mondoo GitHub Actions zur Sicherung Ihres Kubernetes-Clusters verwenden sollten, haben wir im Artikel Mondoo GitHub Actions für Kubernetes-Bereitstellungen geschrieben.

Scannen von Kubernetes-Bereitstellungen mit Mondoo GitHub Actions

Der Hauptunterschied zwischen dem vorherigen Artikel und diesem ist, dass wir uns auf das Scannen von Kubernetes-Bereitstellungen konzentrieren, die bereits in Ihrem Cluster laufen. Dies ist ein häufiger Anwendungsfall, wenn Sie sicherstellen möchten, dass Ihre Produktions-Workloads sicher und konform sind.

 1name: Mondoo Cluster Scan
 2on:
 3  schedule:
 4    - cron: '0 0 * * *'
 5jobs:
 6    runs-on:
 7      - self-hosted
 8    steps:
 9      - name: create kubeconfig file artifact
10        env:
11          KUBECONFIG: $GITHUB_WORKSPACE/kubeconfig
12        run: |
13          echo "${{ secrets.KUBECONFIG }}" | base64 -d > kubeconfig          
14      - uses: mondoohq/actions/k8s@v11.0.0
15        env:
16          MONDOO_CONFIG_BASE64: '${{ secrets.MONDOO_SERVICE_ACCOUNT }}'
17          KUBECONFIG: kubeconfig
18          CI: false

Der obige GitHub Action-Workflow scannt Ihren Kubernetes-Cluster auf Sicherheitslücken und Compliance-Probleme. Der Workflow wird jeden Tag um 00:00 Uhr ausgeführt. Die Mondoo GitHub Action verwendet die bereitgestellte kubeconfig-Datei, um eine Verbindung zu Ihrem Kubernetes-Cluster herzustellen und die bereitgestellten Manifeste zu scannen.

Die kubeconfig-Datei wird als Secret im GitHub-Repository gespeichert.

Schließlich muss der ausführende GitHub-Runner auch Netzwerkzugriff auf den Cluster haben. Der Runner kann selbst gehostet oder von GitHub gehostet werden, je nach Netzwerkkonfiguration des Clusters.

Mit Hilfe der GitHub Actions-Ausgabe können Sie Probleme schnell identifizieren und beheben. Hier ist nur die zusammengefasste Ausgabe angezeigt:

Aber auch eine visuelle Darstellung in der Mondoo Console ist verfügbar für alle gescannten Kubernetes-Cluster-Ressourcen:

Zurück Unsere Trainings entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren