Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetesのセキュリティのベストプラクティス

01dc8e954957a10b428aa60b28c89d52?s=47 Ian Lewis
March 08, 2018
Technology
12
16k

 Kubernetesのセキュリティのベストプラクティス

01dc8e954957a10b428aa60b28c89d52?s=128

Ian Lewis

March 08, 2018
Tweet

More Decks by Ian Lewis

See All by Ian Lewis
Kubernetes Security Best Practices
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
38
25k
The Enemy Within: Running untrusted code in Kubernetes
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
0
1k
The Enemy Within: Running untrusted code with gVisor
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
4
620
KubeCon EU Runtime Track Recap
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
3
1.2k
コンテナによるNoOpsオートメーション
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
2
120
Google Kubernetes Engine 概要 & アップデート @ GCPUG Kansai Summit Day 2018
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
2
690
Extending Kubernetes with Custom Resources and Operator Frameworks
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
10
3.2k
Scheduling and Resource Management in Kubernetes
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
2
1.3k
Keynote: The Kubernetes Community
01dc8e954957a10b428aa60b28c89d52?s=48 ianlewis
0
150

Other Decks in Technology

See All in Technology
ReverseETLでユーザーに価値を届ける基盤を実現した話
0c847ea07895706f7435ef67d31a5f6e?s=48 hakky
0
330
金融領域のマルチプロダクトを効率よく開発・運用するためのシステム基盤と組織設計について / 2022-07-28-multi-product-platform
0251532f4fb413ea1a026efe6eb16b87?s=48 stajima
0
140
最先端の生成AIから考える、ビジネスにおける10年後のパラダイムシフト
61c616e83bef28a1cd2666439ebf334b?s=48 sbtechnight
1
310
私のAWS愛を聞け! ~ここが好きだよStep Functions~ #devio2022
808ce3d41280c085f8bdc27dce7ea8fb?s=48 kongmingstrap
0
270
Simplify Cloud Native Security with Trivy
3f2e97dc4e6a5daaf1cb8a406c533176?s=48 knqyf263
0
490
今 SLI/SLO の監視をするなら Sloth が良さそうという話
Cb17938137021ead2656d0fe58b7c7b1?s=48 shotakitazawa
0
260
eBPFで実現するコンテナランタイムセキュリティ / Container Runtime Security with eBPF
2f73f93f91c4401b0baf12029226a681?s=48 tobachi
PRO
5
1.5k
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどうしたらいいの?
5f0f8883d90b46e581fe41ba9ae4cfe9?s=48 harukasakihara
8
1.2k
ECS Fargate+Mackerelにおける監視費用を削減するまでの話
3e77f9dbec6a87756d1dbdddab283aee?s=48 nulabinc
PRO
1
160
増田亨さんによる 「設計の考え方とやり方」勉強会オープニング
8ccb6288c8b9f34d6917a14d42e66cbe?s=48 tsuyok
0
190
聊聊 Cgo 的二三事
B3a7c0d5c590642dbce68bce8929a2df?s=48 david74chou
0
330
脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base
195f71c8183f8d27da66aa0618f293b6?s=48 task4233
1
200

Featured

See All Featured
Mobile First: as difficult as doing things right
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
213
7.5k
What's new in Ruby 2.0
7edec06b5435e0dac07a353b2cc26253?s=48 geeforr
336
30k
GitHub's CSS Performance
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
420k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
173
8.6k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
The Cult of Friendly URLs
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
68
4.8k
Building a Scalable Design System with Sketch
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
448
30k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Three Pipe Problems
11c84dff30266b907714802088852677?s=48 jasonvnalue
89
8.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
237
19k
Product Roadmaps are Hard
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
35
6.8k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
39
13k

Transcript

  1. Kubernetesのセキュリティ ベストプラクティス ianmlewis@

  2. Ian Lewis • ianlewis@ • Google • Tokyo, Japan •

    #kubernetes, #go, #python

  3. Kubernetes • コンテナ オーケストレーション • インフラ API/ フレームワーク

  4. Guestbookアプリ • Web Frontend ◦ ウェブアプリ ◦ HTML/JS/CSS • Message

    ◦ メッセージを 保存・閲覧 • NGWord ◦ NG ワードを 検出する Kubernetes Cluster Web Frontend Redis NGWord message

  5. Kubernetes API Server 1. フロントエンド Pod から トークンを取得 2. トークンを利用し、

    API サーバーを攻撃 3. シークレットなどを取得 し、さらに サービスを攻撃 Kubernetes Cluster Web Frontend Redis NGWord message ① ② ③

  6. Mitigate 1 & 2: RBAC • Role Based Access Control

    • ユーザーやサービスアカウントへロールを付与 • ロールが権限を持つ ◦ get secrets ◦ update configmap ◦ etc. • RBAC 設定はネームスプペース範囲 • GKE では IAM と連携

  7. Mitigate 1 & 2: RBAC ClusterRole ClusterRoleBinding 1:many many:1 Verb

    + Type

  8. Mitigate 2: API Server Firewall • API サーバーへのアクセスを IP アドレスに制限

    • GKE: ◦ gcloud container clusters create --enable-master-authorized-networks --master-authorized-networks=....

  9. Mitigate 3: Network Policy • データベースへのアクセスを必要のある Pod に制限 • ラブルセレクターで

    Pod を選択 • ネットワークプラグインで実装されてる : Calico, Weave, etc.

  10. NetworkPolicy kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: redis spec: podSelector:

    matchLabels: name: redis ingress: - from: - podSelector: matchLabels: name: guestbook

  11. ホストへアクセス 1. コンテナ外へ突破 2. Kubelet を攻撃 3. 同じホストに実行中の コンテナを攻撃 Host

    Web Frontend

  12. Mitigate 1: non-rootユーザーで実行 apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: runAsUser: 1000

  13. Mitigate 1: 読込専用ファイルシステム apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: readOnlyRootFilesystem: true

  14. Mitigate 1: no_new_privs apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: allowPrivilegeEscalation: false

  15. Mitigate 1: 組み合わせ apiVersion: v1 kind: Pod metadata: name: security-context-demo

    spec: securityContext: runAsUser: 1000 readOnlyRootFilesystem: true allowPrivilegeEscalation: false

  16. Your App Container seccomp Mitigate 1: seccomp/ AppArmor/ SELinux AppArmor/

    SELinux

  17. seccomp apiVersion: v1 kind: Pod metadata: name: mypod annotations: seccomp.security.alpha.kubernetes.io/pod:

    runtime/default ...

  18. AppArmor apiVersion: v1 kind: Pod metadata: name: mypod annotations: container.apparmor.security.beta.kubernetes.io/hello:

    runtime/default spec: containers: - name: hello ...

  19. SELinux apiVersion: v1 kind: Pod metadata: name: mypod spec: securityContext:

    seLinuxOptions: level: "s0:c123,c456" containers: - name: hello ...

  20. Mitigate 2 & 3: Kubeletの権限を制限する • RBAC for Kubelet: ◦

    --authorization-mode=RBAC,Node --admission-control=...,NodeRestriction • Rotate Kubelet certs: ◦ kubelet … --rotate-certificates

  21. Unsecured Pods • You follow the rules but others don't

    Kubernetes Cluster Web Frontend Redis NGWord message

  22. Mitigate: PodSecurityPolicy apiVersion: extensions/v1beta1 kind: PodSecurityPolicy metadata: name: example spec:

    privileged: false # Don't allow privileged pods! # The rest fills in some required fields. seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny runAsUser: rule: 1000 fsGroup: rule: RunAsAny volumes: - '*'

  23. istio • Service mesh • Envoy proxy 組み込み

  24. トラフィクを傍受 1. ネットーワーク上の通 信を傍受 2. あるサビースに不正リ クエストを送る Kubernetes Cluster Web

    Frontend Redis NGWord message

  25. istio 1. サービス間の プロクシー 2. 暗号化 3. 証明書の自動更新 4. ポリシーが

    セントラルサーバで集 中して管理する Kubernetes Cluster Web Frontend Redis NGWord message

  26. Thanks!