KubeGuard: LLM-Assisted Kubernetes Hardening via Configuration Files and Runtime Logs Analysis
2509.04191v1
cs.CR, cs.LG
2025-09-06
Авторы:
Omri Sgan Cohen, Ehud Malul, Yair Meidan, Dudu Mimran, Yuval Elovici, Asaf Shabtai
Резюме на русском
#### Контекст
Современные кластеры Kubernetes (K8s) широко используются для оркестрации контейнерных приложений. Однако такая мощность не свободна от проблем, в том числе неправильной конфигурации ресурсов и слишком широких привилегий, которые могут привести к несанкционированному доступу, эскалации привилегий и досадному мобилизации в кластере. Доступные решения, такие как статический анализ и аномалий-обнаружения, часто недостаточно эффективны, поскольку они не учитывают реальное поведение системы. Необходимо разработать способ, который бы оптимизировал конфигурации Kubernetes в реальном времени на основе динамических данных.
#### Метод
KubeGuard — это рекомендательная система, основанная на анализе журналов жизненного цикла Kubernetes и методик генерирования конфигураций с помощью бо LLM. Эта система работает через модульные рабочие процессы, использующие промпты для обработки манифестов и интерпретации журналов системы. Техническая архитектура KubeGuard включает два основных пути: создание ресурсов с минимальными привилегиями (Resource Creation) и оптимизацию существующих конфигураций (Resource Refinement). За счет этого подхода KubeGuard может адаптироваться к разным сценариям безопасности Kubernetes.
#### Результаты
В ходе экспериментов была проверена эффективность KubeGuard на анализе и корректировке манифестов для ролей (Roles), политик сети (NetworkPolicies) и развертываний (Deployments). Алгоритмы LLM, управляемые модулями промптов, позволили сгенерировать манифесты с высокой точностью и полнотой. Результаты показали, что KubeGuard удачно обрабатывает сложные конфигурации, сокращая их атакующую поверхность. Обнаружено, что хорошо работает стабильность и точность рекомендаций, что подтверждает ценность этого подхода в автоматизированной ангажированной конфигурации Kubernetes.
#### Значимость
KubeGuard может применяться в различных областях, включая инфраструктуру безопасности, администрирование Kubernetes и DevOps. Он обеспечивает значительное снижение риска неудачной конфигурации, упрощает управление безопасностью и может быть интегрирован с автоматизированными системами DevOps. Ключевое преимущество — это использование динамических данных для генерации конфигураций с минимальными привилегиями, что обеспечивает эффективное управление рисками.
#### Выводы
KubeGuard доказал свою эффективность в генерации и оптимизации манифестов Kubernetes, обеспечивая минимальную поверхность атаки. Будущие работы будут сосредоточены на расширении функциональности, улучшении точности рекомендаций и интеграции с другими системами безопасности для еще большей эффективности.
Abstract
The widespread adoption of Kubernetes (K8s) for orchestrating cloud-native
applications has introduced significant security challenges, such as
misconfigured resources and overly permissive configurations. Failing to
address these issues can result in unauthorized access, privilege escalation,
and lateral movement within clusters. Most existing K8s security solutions
focus on detecting misconfigurations, typically through static analysis or
anomaly detection. In contrast, this paper presents KubeGuard, a novel runtime
log-driven recommender framework aimed at mitigating risks by addressing overly
permissive configurations. KubeGuard is designed to harden K8s environments
through two complementary tasks: Resource Creation and Resource Refinement. It
leverages large language models (LLMs) to analyze manifests and runtime logs
reflecting actual system behavior, using modular prompt-chaining workflows.
This approach enables KubeGuard to create least-privilege configurations for
new resources and refine existing manifests to reduce the attack surface.
KubeGuard's output manifests are presented as recommendations that users (e.g.,
developers and operators) can review and adopt to enhance cluster security. Our
evaluation demonstrates that KubeGuard effectively generates and refines K8s
manifests for Roles, NetworkPolicies, and Deployments, leveraging both
proprietary and open-source LLMs. The high precision, recall, and F1-scores
affirm KubeGuard's practicality as a framework that translates runtime
observability into actionable, least-privilege configuration guidance.
Ссылки и действия
Дополнительные ресурсы: