Beliebte Suchanfragen

Cloud Native

DevOps

IT-Security

Agile Methoden

Java

//

Contact

You have questions or want to exchange ideas with me? Gladly - just enter your contact details.

Wir sind eine zertifizierte B Corporation.
Hamburger Menu
    //

    GitLab security scanning – part 3: Kubernetes deployments

    15.5.2022 | 4 minutes of reading time

    In part 1 and part 2 , we focused on different types of security scanning practices. In this article we will take a look at Kubernetes deployments with Helm and Helmfile. In particular, we are interested in how to ensure that objects deployed to Kubernetes follow security best practices.

    1) Scanning Helm Charts

    Let’s first look at how security best practices can be ensured in deployments of Helm Charts using GitLab pipelines. As described in helm charts , Helm Charts summarise YAML manifest files in a specific format. In particular, these manifests describe deployments, StatefulSets or other Kubernetes objects that ultimately create pods in Kubernetes. For pods to run securely in Kubernetes, pod and container definitions, among other things, must define certain properties. For example, the SecurityContext should be set as restrictively as possible and ServiceAccounts should be used for pods. GitLab uses kubesec for scanning Helm Charts. Now let us look at the directory structure:

    1.
2├── .gitlab-ci.yml
3├── helm-chart
4│  └── vuln-project
5│     ├── Chart.yaml
6│     ├── README.md
7│     ├── templates
8│     │  ├── _helpers.tpl
9│     │  ├── deployment.yaml
10│     │  └── service.yaml
11│     └── values.yaml
12└── README.md

    The root directory contains the .gitlab-ci.yml file. Parallel to this is the directory helm-chart, which contains the helm chart vuln-project. This path must be given to the pipeline as variable KUBESEC_HELM_CHARTS_PATH (line 8). To enable kubesec analyzer, set SCAN_KUBERNETES_MANIFESTS: "true". Scanning a Helm Chart is one of the static analyses. Therefore, it can be activated by inserting the SAST job (line 2+3).

    1# Enable SAST scanning
2include:
3  - template: Security/SAST.gitlab-ci.yml
4
5# Enable manifest scanning on helm chart directory
6variables:
7  SCAN_KUBERNETES_MANIFESTS: "true"
8  KUBESEC_HELM_CHARTS_PATH: $CI_PROJECT_DIR/helm-chart/vuln-project

    Once the sources have been committed and pushed to the GitLab server, kubesec starts analysing.

    GitLab then reports any vulnerabilities found in the security tab of the pipeline:

    Details of vulnerabilities found and links to further information can be found in the popup window:

    Findings can be rated in the pop-up window in the same way as in the overview. If this assessment requires mitigation, an issue can also be created here for tracking.

    2) Scanning Helmfiles

    As seen in Part 1 of this article, GitLab natively supports security scanning of Helm Charts. For the declarative deployment of Helm Charts with Helmfile , this support is missing. However, to still be able to check Helmfile sources for vulnerabilities, a small additional step is sufficient. Let’s first look at the directory structure:

    1.
2├─ .gitlab-ci.yml
3├─ helmfile
4  └── vuln-project
5     ├── data
6     │  ├── helmchart
7     │  │  └── vuln-project
8     │  └── helmfile
9     │     ├── helmfile.d
10     │     │  ├── 00-namespaces.yaml
11     │     │  ├── 10-network-policies.yaml
12     │     │  └── 20-vuln-project-install.yaml
13     │     ├── helmfile.yaml
14     │     └── values
15     │        └── vuln-project.yaml.gotmpl
16     └── env
17        ├── prod
18        └── test

    Again the root directory contains the .gitlab-ci.yml file. The helmfile.yaml file contains the inclusion of the various stages from the env directory and defines which objects are installed. In order for SAST to have files for a security analysis, Helmfile must first be executed. This happens in the .gitlab-ci.yml in an additional job build_helm_manifests (line 5-16). This job creates a directory $CI_PROJECT_DIR/k8s-manifests and updates the helm repos used. Subsequently, helmfile template --output-dir $CI_PROJECT_DIR/k8s-manifests generates YAML manifests (lines 10-12). In order for these generated files to be passed to the kubesec-sast job for analysis, these manifests are stored in an artifact (lines 14-16). In order for the kubesec-sast job to access the artifacts, it is given a dependency on the build job (lines 19-21). Finally, the kubesec analyser must be activated with SCAN_KUBERNETES_MANIFESTS: "true" (line 29) and by inserting the SAST job .gitlab-ci.yml (line 24+25).

    1stages:
2  - build
3  - test
4
5build_helm_manifests:
6  stage: build
7  image:
8    name: image.registry/k8s-cicd-tools-image:0.0.1
9  script:
10    - mkdir -p $CI_PROJECT_DIR/k8s-manifests
11    - helmfile --environment test -f $CI_PROJECT_DIR/helmfile/vuln-project/data/helmfile/helmfile.yaml repos
12    - helmfile --environment test -f $CI_PROJECT_DIR/helmfile/vuln-project/data/helmfile/helmfile.yaml template --output-dir "$CI_PROJECT_DIR/k8s-manifests"
13  artifacts:
14    paths:
15      - $CI_PROJECT_DIR/k8s-manifests
16    expire_in: 10 minutes
17
18# Extend job kubesec-sast by dependency to pass artifacts
19kubesec-sast:
20  dependencies:
21  - build_helm_manifests
22
23# Enable SAST scanning
24include:
25  - template: Security/SAST.gitlab-ci.yml
26
27# Enable manifest scanning
28variables:
29  SCAN_KUBERNETES_MANIFESTS: "true"

    The pipeline starts as soon as the code is pushed to GitLab. As expected, two jobs are now running one after the other to create the artifact and to run the security scanning procedures.

    After the security scan has been completed, the findings can be viewed in the vulnerability report. Here it is possible to apply various filters to the results and sort them if necessary. Details about vulnerabilities can be displayed via links within the findings.

    Summing up

    GitLab can also scan deployments to Kubernetes for security best practices using tolls such as Helm Charts or even Helmfile. If vulnerabilities are discovered, they can be fixed before deployment.

    This article concludes the series of articles (GitLab security scanning – part 1 , GitLab security scanning – part 2 ) on security scanning with GitLab.

    share post

    Likes

    0

    Blog author

    Sven Hertzberg

    IT Consultant Cloud

    Do you still have questions? Just send me a message.

    Do you still have questions? Just send me a message.

    //

    More articles

    fromSven Hertzberg

    GitLab security scanning – part 2

    … Containers … applications … licenses … In part 1 of the article series, we focused on static scanning of source code. In this article we will go one step further. First we look at the scanning of (container) images. Then we delve into the topic of...

    • CI/CD
    • Git
    • GitLab
    • IT-Security

    18.4.2022 | 5 Minuten Lesezeit

    Sven Hertzberg

    GitLab security scanning

    Secure.Your.Code! …At all stages…Automatically…Always…Starting with the first line of your code… Today, the security scanning of code, containers and applications is at least as important as the functionality of the application itself. It’s vital to ...

    • CI/CD
    • Git
    • GitLab
    • IT-Security

    14.3.2022 | 5 Minuten Lesezeit

    Sven Hertzberg

    //

    More articles in this subject area

    Discover exciting further topics and let the codecentric world inspire you.

    Public Cloud im regulierten Sektor: Das ist zu beachten

    Es war längere Zeit ein weit verbreitetes und in strategischen Debatten häufig zitiertes Missverständnis, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dem Einsatz von Public-Cloud-Anbietern wie AWS, Azure und Co. einen Riegel vorschiebt...

    • Cloud
    • Compliance

    10.4.2024 | 6 Minuten Lesezeit

    Marc Bialowons

    Björn Bohn

    Green Cloud: Daten und Emissionen sparen

    Das Internet produziert jährlich 900 Millionen Tonnen CO₂ – das ist deutlich mehr als Deutschland insgesamt emittiert. Hauptverantwortlich ist der immer weiter steigende Stromverbrauch beim Transport und der Speicherung von Daten. Wenn ihr kurz darüber...

    • Cloud
    • Green IT
    • Softwarearchitektur
    • Data

    11.3.2024 | 5 Minuten Lesezeit

    Dennis

    AZ-900-Zertifizierung: Mein How-to!

    Was ist AZ-900? Azure bietet eine Reihe verschiedener Zertifizierungen an. Zu finden sind sie hier. Darunter befindet sich auch die Zertifizierung AZ-900. Bei diesem Zertifikat handelt es sich um Microsoft Certified: Azure Fundamentals. Diese prüft unter...

    • Azure
    • Cloud

    2.1.2024 | 5 Minuten Lesezeit

    Ege Inanc

    Mit FinOps die größten Kostenfallen bei AWS S3 verhindern

    In der Welt der Cloud-Technologie und insbesondere bei AWS (Amazon Web Services) ist die effiziente Verwaltung von Ressourcen von entscheidender Bedeutung, um unnötige Kosten zu vermeiden. Dieser Blogbeitrag konzentriert sich auf AWS S3 und die teuren...

    • AWS
    • Cloud

    27.11.2023 | 4 Minuten Lesezeit

    Lukas Miliunas

    Maximilian Mayer

    Cloud FinOps

    Cloud FinOps bietet einen etablierten Prozess, um Kosten für den Cloudbetrieb zu reduzieren (s. auch diesen Artikel). Zu diesem Zweck bietet es ein etabliertes Cloud-unabhängiges Vorgehen, das eine Organisation schrittweise aufgreifen kann. Das Tooling...

    • Cloud
    • Cloud Native
    • Green IT

    26.10.2023 | 5 Minuten Lesezeit

    Lukas Miliunas

    Marco Paga

    Die 5 größten Risiken für deine IT-Sicherheit – und wie du dich davor ...

    Damit dein Unternehmen dauerhaft erfolgreich sein kann, ist es für deine IT-Abteilung unerlässlich, sich kontinuierlich mit dem Thema IT-Sicherheit auseinanderzusetzen. Ansonsten ist die Gefahr für dein Geschäft groß – der Bitkom summiert circa 203 Milliarden...

    • IT-Security

    6.9.2023 | 12 Minuten Lesezeit

    Björn Bohn

    Mehr Struktur in der Cloud mit Azure Landing Zones

    Die Migration in die Cloud bringt einige Herausforderungen mit sich. Viele Unternehmen stehen vor der Frage, wie ein effizienter und sicherer Aufbau einer skalierbaren Cloud-Infrastruktur umzusetzen ist. Die Antwort auf diese Herausforderung liegt in...

    • Cloud
    • Azure
    • IT-Governance

    4.8.2023 | 4 Minuten Lesezeit

    Florian Moll

    Nils Bauroth

    CI/CD-Pipelines mit AWS CDK CodePipeline

    Das Aufsetzen der CI/CD-Pipeline ist ein typischer Task in der Anfangszeit eines Projekts. Ist die Pipeline dann aufgesetzt, sind Änderungen nur noch selten notwendig. Dementsprechend wenig Routine entwickeln Programmierende im Umgang mit der Konfiguration...

    • Cloud
    • CI/CD
    • AWS

    17.7.2023 | 4 Minuten Lesezeit

    Dennis

    Green Cloud: Nachhaltig skalieren

    Wenn Softwareprojekte in die Cloud gebracht werden, versprechen wir uns davon hohe Verfügbarkeit, planbare Kosten und eine immer dem Bedarf entsprechende Skalierung. Aufgrund der grenzenlosen Angebote ist es aber auch leicht, die Komponenten eines Systems...

    • Cloud
    • Softwarearchitektur
    • Green IT

    12.6.2023 | 5 Minuten Lesezeit

    Dennis

    Crossplane: Eine Lösung für hybride Cloud-Herausforderungen?

    Crossplane ist ein plattformübergreifendes Kontrollsystem (Control-Plane), das das Management von Cloud-Ressourcen vereinfachen und automatisieren soll. Das Tool ermöglicht es, verschiedene Cloud-Provider und lokale Ressourcen, z. B. Kubernetes-Cluster...

    • Cloud
    • Cloud Native

    12.5.2023 | 2 Minuten Lesezeit

    Matthias Niehoff

    Green Cloud: Ideen für eine nachhaltigere Architektur

    Die ökologische Nachhaltigkeit eines Systems ist aktuell häufig noch kein Thema. Nachhaltigkeit bedeutet für mich in diesem Kontext die Reduktion der verursachten Emissionen durch gesenkten Ressourcenverbrauch – egal ob die Emissionen beim Cloudprovider...

    • Cloud
    • Softwarearchitektur
    • Green IT

    5.5.2023 | 5 Minuten Lesezeit

    Dennis

    Automatische Dependency-Updates mit Renovate

    Bei der Softwareentwicklung ist es sinnvoll, bereits bestehende Funktionen wiederzuverwenden. Das spart Zeit und es wird unwahrscheinlicher, auf Probleme zu stoßen, die andere bereits gelöst haben. Funktionen können aus diesem Grund in Libraries gebündelt...

    • Softwareentwicklung
    • CI/CD

    17.4.2023 | 6 Minuten Lesezeit

    Alexander Backes

    Datenanalyse auf die schnelle Art – mit Amazon Athena und GitLab

    Wenn wir Erkenntnisse aus großen Datenmengen gewinnen wollen, bieten uns Cloud Service Provider inzwischen Lösungen an, dank derer wir uns kein Data Warehouse oder Hadoop-Cluster mehr in den Keller stellen müssen. AWS hat mit Athena, RedShift und EMR...

    • Cloud
    • Big Data
    • AWS
    • Serverless
    • GitLab

    21.3.2023 | 16 Minuten Lesezeit

    Maik Fleuter

    „Eine Plattform ist ein Produkt, die Entwickler-Teams sind die Kunden“

    Platform Engineering mit BackstageIm folgenden Interview berichten Marc Schnitzius und Pascal Sochacki von ihren ersten Erfahrungen mit Backstage als Platform-Engineering-Lösung.Marco Paga: Marc, Pascal, ihr habt eine Sicht auf Platform Engineering, ...

    • Softwareentwicklung
    • Accelerate
    • CI/CD
    • DevOps
    • Platform Engineering

    2.3.2023 | 12 Minuten Lesezeit

    Marco Paga

    Maximilian Mayer

    Threat Modeling 101 – Wie fange ich eigentlich an?

    In einem früheren Blogpost haben wir bereits erklärt, wie wichtig Awareness im Bereich IT-Security im agilen Projekt ist. Ein Kernthema war das Threat Modeling. Doch wie genau funktioniert das? Wie bewerte ich, welche Bereiche meiner Applikation unter...

    • Agilität
    • IT-Security
    • Softwareentwicklung

    27.2.2023 | 14 Minuten Lesezeit

    Kevin Peters

    „Platform Engineering ist eine Art von Knowledge Sharing“

    Warum „Platform Engineering“ eigentlich der falsche Begriff ist und wie man den Golden Path findet, erklärt Daniel Kocot, Senior Solution Architect, im folgenden Interview.Marco Paga: Warum ist Platform Engineering interessant?Daniel Kocot: Ich habe ...

    • Softwareentwicklung
    • Accelerate
    • CI/CD
    • DevOps
    • Platform Engineering

    20.2.2023 | 11 Minuten Lesezeit

    Daniel Kocot

    Marco Paga

    Schneller handeln bei Software-Schwachstellen

    Sicherheitslücken in Software und Bibliotheken werden immer auftreten, unabhängig davon, wie viel Energie aufgebracht wird, um sie zu vermeiden. An die als Log4Shell bekannte Schwachstelle vor gut einem Jahr werden sich Viele noch schmerzhaft erinnern...

    • IT-Security

    8.2.2023 | 3 Minuten Lesezeit

    Matthias Niehoff

    Ist die Cloud der große Umweltsünder?

    Rechenleistung und Speicher kosten nicht nur Geld. Sie verbrauchen auch Mengen – potenziell klimaschädlicher – Energie. Das überrascht die Wenigsten, im kollektiven Bewusstsein ist es aber bislang kaum angekommen. Sehr wohl bewusst ist es natürlich den...

    • Cloud

    18.1.2023 | 2 Minuten Lesezeit

    Matthias Niehoff

    AWS Cloud Development Kit – Infrastructure as Code on Steroids

    Infrastructure as Code (IaC) ist inzwischen ein alter Hut. Frameworks wie Terraform, Ansible und andere haben Standards geschaffen. Kaum jemand provisioniert produktive Systeme heute ohne IaC – sei es in der Cloud oder auf der eigenen Infrastruktur.Und...

    • Infrastructure as Code
    • AWS
    • Cloud

    21.12.2022 | 3 Minuten Lesezeit

    Matthias Niehoff

    Infrastructure as Code in AWS: Keine Silver Bullet

    TL;DR Es gibt keine Universalmethode. Infrastructure as Code ist ein vergleichsweise neuer Ansatz. Einige Lösungen rund um Infrastructure as Code befinden sich noch in der Entwicklung. Es gibt keinen klaren Favoriten. Die Wahl des passenden Tools hängt...

    • Cloud
    • AWS
    • Infrastructure as Code

    13.12.2022 | 27 Minuten Lesezeit

    Florian Wiech

    Sören

    //

    Gemeinsam bessere Projekte umsetzen.

    Wir helfen deinem Unternehmen.

    Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.

    Hilf uns, noch besser zu werden.

    Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.