Ataque e Auditoria de Containers Docker e Clusters Kubernetes

Transcript

1. Ataque e Auditoria de Containers Docker e Clusters Kubernetes Fernando

   Silva @FernandoDebrand

2. Sobre mim! Fernando Silva Information Security Specialist

3. Visão Geral • Introdução • Vetores de Ataque • Ferramentas

   de Auditoria • Ataques Populares

4. Vazamento de Dados

5. O que é Docker?

6. O que é Docker? Docker é uma plataforma Open Source

   que permite criar, executar, testar e implantar aplicações distribuídas dentro de containers.

7. Evolução

8. Container Vs Virtual Machine

9. Docker Engine Docker Engine abstrai as chamadas de SO das

   suas aplicações e utiliza as bibliotecas e binários já existentes

10. Onde usar Docker? Containers Docker estão em todos os lugares:

    Linux, Windows, Data center, Cloud, Serverless, etc.

11. Vetores de Ataque

12. Vetores de ataque

13. Ferramentas de Auditoria de Containers Docker

14. anchore.com/opensource

15. Análise de conformidade de container para garantir a segurança e

    a estabilidade

16. github.com/docker/docker-bench-security

17. O Docker Bench for Security é um script que verifica

    dezenas de boas práticas

18. O Docker Bench for Security é um script que verifica

    dezenas de boas práticas

19. github.com/aquasecurity/trivy

20. Scanner de vulnerabilidade de containers

21. falco.org

22. Container Native Runtime Security

23. Introdução a Kubernetes

24. Kubernetes Kubernetes (K8s) é um produto Open Source utilizado para

    automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em containers

25. Kubernetes Ele agrupa containers que compõem uma aplicação em unidades

    lógicas para facilitar o gerenciamento e a descoberta de serviço. O Kubernetes se baseia em 15 anos de experiência na execução de containers em produção no Google, combinado com as melhores ideias e práticas da comunidade.

26. Arquitetura Kubernetes

27. Arquitetura Kubernetes Cluster: conjunto dos componentes (Master, nodes, pods, contêineres,

    etc). Obs: A imagem acima representa o cluster onde trabalharemos.

28. Arquitetura Kubernetes Master: ponto de controle central que provê uma

    visão unificada do cluster. É a máquina mestre que recebe as configurações preestabelecidas através dos arquivos .yaml.

29. Arquitetura Kubernetes Node: Uma máquina ativa (gerenciada pelo master), também

    conhecida como Minion. Dentro dele ficam os serviços necessários para rodar os pods. Os serviços em um node incluem Docker, Kubelet e kube-proxy.

30. Arquitetura Kubernetes Pods: menores unidades implantadas que podem ser criadas,

    escaladas e manuseadas. É uma coleção lógica de contêineres que pertencem a uma aplicação.

31. Arquitetura Kubernetes Obs: Um master pode gerenciar um ou mais

    nodes, um node pode conter um ou mais pods, e um pod pode conter um ou mais containers.

32. Vetores de ataque

33. Ferramentas de Auditoria de Clusters Kubernetes

34. kubesec.io

35. Análise de risco de segurança para recursos do Kubernetes

36. github.com/aquasecurity/kube-bench

37. Verifica se o Kubernetes é implantado de acordo com as

    melhores práticas de segurança

38. github.com/aquasecurity/kube-hunter

39. Busca por fraquezas de segurança nos clusters Kubernetes

40. Ataques populares em torno do ecossistema de Docker e Kubernetes

41. Nuvem da Tesla foi invadida e usada para minerar criptomoeda

    https://blog.redlock.io/cryptojacking-tesla

42. 17 imagens Docker disponibilizadas por uma única conta durante 10

    meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.
43. None
44. None
45. None
46. None

47. Grupo de hackers está sequestrando sistemas Docker com terminais de

    API expostos https://www.zdnet.com/article/a-hacking-group-is-hijacking-docker-systems-with-exposed-api-endpoints/

48. Anatomia do ataque • verifica mais de 59.000 redes IP

    (netblocks) • identifica um host exposto • Inicia um container Alpine Linux OS • instala um minerador de criptomoeda • desinstala os agentes de monitoramento • encerra os processos associados às botnets rivais • criptografa e rouba arquivos de configuração • cria contas de backdoor, deixando as chaves SSH

49. Dezembro de 2018: Global / > 1.300 APIs Expostas

50. Dezembro de 2018: Brasil / > 25 APIs Expostas

51. Abril de 2019: Global / > 4.900 APIs Expostas

52. Dezembro de 2019: Global / > 15.000 APIs Expostas

53. Dezembro de 2019: Brasil / > 840 APIs Expostas

54. Aumento das APIs Expostas - Global

55. Como proteger a API Docker? • Crie regras de firewall

    • Proteja o soquete do daemon do Docker • TLS precisa ser ativado especificando o sinalizador tlsverify e apontando o tlscacert do Docker para um certificado de CA confiável ( https://docs.docker.com/engine/security/https) • Habilitando API do Docker de forma segura utilizando container (https://github.com/fernandodebrando/docker-remote-api-tls)

56. Vazamento de Dados configuração incorreta

57. DÚVIDAS? fernando.poa.br speakerdeck.com/fernandodebrando Perguntas?