Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetesのセキュリティのベストプラクティス

Ian Lewis
March 08, 2018
Technology
12
17k

 Kubernetesのセキュリティのベストプラクティス

Ian Lewis

March 08, 2018
Tweet

More Decks by Ian Lewis

See All by Ian Lewis
Kubernetes Security Best Practices
ianlewis
38
26k
The Enemy Within: Running untrusted code in Kubernetes
ianlewis
0
1.3k
The Enemy Within: Running untrusted code with gVisor
ianlewis
4
1.1k
KubeCon EU Runtime Track Recap
ianlewis
3
1.6k
コンテナによるNoOpsオートメーション
ianlewis
2
140
Google Kubernetes Engine 概要 & アップデート @ GCPUG Kansai Summit Day 2018
ianlewis
2
890
Extending Kubernetes with Custom Resources and Operator Frameworks
ianlewis
10
3.7k
Scheduling and Resource Management in Kubernetes
ianlewis
2
1.4k
Keynote: The Kubernetes Community
ianlewis
0
220

Other Decks in Technology

See All in Technology
なぜfreeeはハブ・アンド・スポーク型の データメッシュアーキテクチャにチャレンジするのか?
shinichiro_joya
2
130
#TRG24 / David Cuartielles / Post Open Source
tarugoconf
0
550
30分でわかる「リスクから学ぶKubernetesコンテナセキュリティ」/30min-k8s-container-sec
mochizuki875
3
430
チームが毎日小さな変化と適応を続けたら1年間でスケール可能なアジャイルチームができた話 / Building a Scalable Agile Team
kakehashi
2
210
デジタルアイデンティティ人材育成推進ワーキンググループ 翻訳サブワーキンググループ 活動報告 / 20250114-OIDF-J-EduWG-TranslationSWG
oidfj
0
390
商品レコメンドでのexplicit negative feedbackの活用
alpicola
1
320
WantedlyでのKotlin Multiplatformの導入と課題 / Kotlin Multiplatform Implementation and Challenges at Wantedly
kubode
0
240
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!事例のご紹介+座学②
siyuanzh09
0
110
PaaSの歴史と、 アプリケーションプラットフォームのこれから
jacopen
7
1.2k
20240513 - 框裡框外_文學院學生如何在AI世代安身立命 @ 淡江大學
dpys
0
650
三菱電機で社内コミュニティを立ち上げた話
kurebayashi
1
350
.NET AspireでAzure Functionsやクラウドリソースを統合する
tsubakimoto_s
0
180

Featured

See All Featured
RailsConf 2023
tenderlove
29
970
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Code Reviewing Like a Champion
maltzj
521
39k
Music & Morning Musume
bryan
46
6.3k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
240
Scaling GitHub
holman
459
140k
Six Lessons from altMBA
skipperchong
27
3.6k
BBQ
matthewcrist
85
9.4k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
Rails Girls Zürich Keynote
gr2m
94
13k

Transcript

  1. Kubernetesのセキュリティ ベストプラクティス ianmlewis@

  2. Ian Lewis • ianlewis@ • Google • Tokyo, Japan •

    #kubernetes, #go, #python

  3. Kubernetes • コンテナ オーケストレーション • インフラ API/ フレームワーク

  4. Guestbookアプリ • Web Frontend ◦ ウェブアプリ ◦ HTML/JS/CSS • Message

    ◦ メッセージを 保存・閲覧 • NGWord ◦ NG ワードを 検出する Kubernetes Cluster Web Frontend Redis NGWord message

  5. Kubernetes API Server 1. フロントエンド Pod から トークンを取得 2. トークンを利用し、

    API サーバーを攻撃 3. シークレットなどを取得 し、さらに サービスを攻撃 Kubernetes Cluster Web Frontend Redis NGWord message ① ② ③

  6. Mitigate 1 & 2: RBAC • Role Based Access Control

    • ユーザーやサービスアカウントへロールを付与 • ロールが権限を持つ ◦ get secrets ◦ update configmap ◦ etc. • RBAC 設定はネームスプペース範囲 • GKE では IAM と連携

  7. Mitigate 1 & 2: RBAC ClusterRole ClusterRoleBinding 1:many many:1 Verb

    + Type

  8. Mitigate 2: API Server Firewall • API サーバーへのアクセスを IP アドレスに制限

    • GKE: ◦ gcloud container clusters create --enable-master-authorized-networks --master-authorized-networks=....

  9. Mitigate 3: Network Policy • データベースへのアクセスを必要のある Pod に制限 • ラブルセレクターで

    Pod を選択 • ネットワークプラグインで実装されてる : Calico, Weave, etc.

  10. NetworkPolicy kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: redis spec: podSelector:

    matchLabels: name: redis ingress: - from: - podSelector: matchLabels: name: guestbook

  11. ホストへアクセス 1. コンテナ外へ突破 2. Kubelet を攻撃 3. 同じホストに実行中の コンテナを攻撃 Host

    Web Frontend

  12. Mitigate 1: non-rootユーザーで実行 apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: runAsUser: 1000

  13. Mitigate 1: 読込専用ファイルシステム apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: readOnlyRootFilesystem: true

  14. Mitigate 1: no_new_privs apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: allowPrivilegeEscalation: false

  15. Mitigate 1: 組み合わせ apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: runAsUser: 1000 readOnlyRootFilesystem: true allowPrivilegeEscalation: false

  16. Your App Container seccomp Mitigate 1: seccomp/ AppArmor/ SELinux AppArmor/

    SELinux

  17. seccomp apiVersion: v1 kind: Pod metadata: name: mypod annotations: seccomp.security.alpha.kubernetes.io/pod:

    runtime/default ...

  18. AppArmor apiVersion: v1 kind: Pod metadata: name: mypod annotations: container.apparmor.security.beta.kubernetes.io/hello:

    runtime/default spec: containers: - name: hello ...

  19. SELinux apiVersion: v1 kind: Pod metadata: name: mypod spec: securityContext:

    seLinuxOptions: level: "s0:c123,c456" containers: - name: hello ...

  20. Mitigate 2 & 3: Kubeletの権限を制限する • RBAC for Kubelet: ◦

    --authorization-mode=RBAC,Node --admission-control=...,NodeRestriction • Rotate Kubelet certs: ◦ kubelet … --rotate-certificates

  21. Unsecured Pods • You follow the rules but others don't

    Kubernetes Cluster Web Frontend Redis NGWord message

  22. Mitigate: PodSecurityPolicy apiVersion: extensions/v1beta1 kind: PodSecurityPolicy metadata: name: example spec:

    privileged: false # Don't allow privileged pods! # The rest fills in some required fields. seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny runAsUser: rule: 1000 fsGroup: rule: RunAsAny volumes: - '*'

  23. istio • Service mesh • Envoy proxy 組み込み

  24. トラフィクを傍受 1. ネットーワーク上の通 信を傍受 2. あるサビースに不正リ クエストを送る Kubernetes Cluster Web

    Frontend Redis NGWord message

  25. istio 1. サービス間の プロクシー 2. 暗号化 3. 証明書の自動更新 4. ポリシーが

    セントラルサーバで集 中して管理する Kubernetes Cluster Web Frontend Redis NGWord message

  26. Thanks!