Políticas de segurança em redes para kubernetes

Transcript

1. Políticas de segurança em rede para o Kubernetes Carlos Alberto

2. # whoami Carlos Alberto Arquiteto de software Trabalho na CAPES,

   fomentando práticas devops, implementando CI/CD, microservices. “Generalista por natureza, um especialista é um homem que mora em sua casa própria, mas nunca sai dela. Na casa, ele conhece tudo com exatidão, cada degrau, cada canto e cada viga, mas fora desse lugar tudo lhe é estranho e desconhecido.”

3. Rede tradicional em VMs

4. Microsegmentação

5. Benefícios microsegmentação • Criação de redes virtuais seguras • Funções

   de segurança sejam programadas na própria infraestrutura • Segurança persistente e onipresente

6. Microsegmentação em containers?

7. Containers - por que e como proteger?

8. Containers - por que e como proteger?

9. Containers - por que e como proteger?

10. DEMO namespace: projetoweb pod: front-3i49a label: - app: struts pod:

    back-3i49a label: - app: twitter-reader namespace: infra-db pod: db-3i49a label: - app: db-mysql

11. DEMO namespace: projetoweb pod: front-3i49a label: - app: struts pod:

    back-3i49a label: - app: twitter-reader namespace: infra-db pod: db-3i49a label: - app: db-mysql

12. namespace: projetoweb pod: front-3i49a label: - app: struts pod: back-3i49a

    label: - app: twitter-reader namespace: infra-db pod: db-3i49a label: - app: db-mysql DEMO

13. namespace: projetoweb pod: front-3i49a label: - app: struts pod: back-3i49a

    label: - app: twitter-reader namespace: infra-db pod: db-3i49a label: - app: db-mysql DEMO

14. DEMO

15. Complexidade • Múltiplos nodes • múltiplos pods • Tunelamento Como

    integrar tudo isso?

16. Redes - como proteger? Network policy

17. Stable versão 1.7 do kubernetes estabilizou network policy promovendo para

    v1 CNI surge container network interface 2014 2015 2015 2017 2017 overlay network sem suporte padronizado docker network docker introduziu network NetworkPolicy Kubernetes introduz na versão 1.6 suporte a network policies manual para cni para networkpolicy

18. Redes - como proteger? frontend backend postgres database somente porta

    80 somente do frontend somente porta 5432 somente do backend

19. Network kubernetes policy políticas de controle de conexão controla conexões

    de entrada (ingress) controla conexões de saída (egress)

20. Anatomia network policy apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: nome-da-policy

    spec: podSelector: matchLabels: pod-label: value ingress: [] egress: [] - from: - namespaceSelector: matchLabels: namespace-label: value - podSelector: matchLabels: only-pod-label: value ports: - protocol: tcp port: port-number

21. Anatomia network policy apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: nome-da-policy

    spec: podSelector: matchLabels: pod-label: value ingress: [] egress: [] - to: - namespaceSelector: matchLabels: namespace-label: value - podSelector: matchLabels: only-pod-label: value ports: - protocol: tcp port: port-number

22. Anatomia network policy apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: nome-da-policy

    spec: podSelector: matchLabels: pod-label: value ingress: [] egress: [] - from: - namespaceSelector: matchLabels: namespace-label: value - podSelector: matchLabels: only-pod-label: value ports: - protocol: tcp port: port-number - to: - namespaceSelector: matchLabels: namespace-label: value - podSelector: matchLabels: only-pod-label: value ports: - protocol: tcp port: port-number

23. Network kubernetes policy Exemplo: Bloqueia tudo apiVersion: networking.k8s.io/v1 kind: NetworkPolicy

    metadata: name: bloqueia-tudo spec: podSelector: {} ingress: [] egress: []

24. Network kubernetes policy - ingress apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata:

    name: aceita-conexoes-redis namespace: default spec: podSelector: matchLabels: role: db ingress: [] egress: [] - from: - namespaceSelector: matchLabels: project: myproject - podSelector: matchLabels: role: worker ports: - protocol: tcp port: 6379

25. Network kubernetes policy namespace: default namespace: myproject label: project: myproject

    namespace: demo pod: worker-nxj21 label: - role: worker pod: redis-a5x31 label: - role: db pod: front-3i49a label: - role: frontend role: worker port: 6379/tcp namespace-label: project: myproject port: 6379/tcp <<in <<in Network Policy: test-network-policy namespace: default pod: worker-ad3c1 label: - role: worker

26. Network kubernetes policy egress apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name:

    libera-frontend-para-redis namespace: myproject spec: podSelector: matchLabels: role: frontend ingress: [] egress: [] - to: - namespaceSelector: matchLabels: project: default ports: - protocol: tcp port: 6379

27. Network kubernetes policy namespace: default namespace: myproject pod: redis-a5x31 label:

    - role: db pod: front-3i49a label: - role: frontend namespace: default port: 6379/tcp <<out Network Policy: libera-frontend-para-redis namespace: myproject

28. DEMO

29. DEMO Kubernetes networkpolicy demo (microservices)

30. DEMO Kubernetes networkpolicy demo (microservices) :4200 :8000 :3000 :3000 :3000

    :80

31. Network kubernetes policy - como configurar?

32. Network kubernetes policy - como configurar?

33. Nem são f s...

34. network policies não cobre:

35. Network policies não cobre:

36. Network policies não cobre:

37. Network policies não cobre:

38. None

39. Você tem que cuidar disso

40. None

41. Openshift SDN (Open vSwitch) Egress Network Policy SDN

42. apiVersion: network.openshift.io/v1 kind: EgressNetworkPolicy metadata: name: default namespace: app-demo spec:

    egress: - to: cidrSelector: 1.2.3.0/24 type: Allow - to: dnsName: api.twitter.com type: Allow - to: cidrSelector: 0.0.0.0/0 type: Deny Anatomia de uma egressnetworkpolicy

43. DEMO

44. https://github.com/mycloudlab/network-policy-demo-apps

45. None

46. Carlos Alberto mycloudlab.github.io github.com/euprogramador [email protected] @euprogramador