Привет!
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can