Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en Kubernetes

Avatar for Johana Lizarazo Johana Lizarazo
September 11, 2019
Technology
0
25

Seguridad en Kubernetes

Avatar for Johana Lizarazo

Johana Lizarazo

September 11, 2019
Tweet

Other Decks in Technology

See All in Technology
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
Avatar for Preferred Networks pfn
PRO
4
960
設計に疎いエンジニアでも始めやすいアーキテクチャドキュメント
Avatar for Tomonori Hayashi / ぴーはや phaya72
26
17k
Boxを“使われる場”にする統制と自動化の仕組み
Avatar for 株式会社出前館 demaecan
0
180
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
Avatar for 10xinc 10xinc
7
1.8k
現場の壁を乗り越えて、 「計装注入」が拓く オブザーバビリティ / Beyond the Field Barriers: Instrumentation Injection and the Future of Observability
Avatar for Kento Kimura aoto
PRO
1
900
累計5000万DLサービスの裏側 – LINEマンガのKotlinで挑む大規模 Server-side ETLの最適化
Avatar for LINE Digital Frontier - TECH ldf_tech
0
160
日本のソブリンAIを支えるエヌビディアの生成AIエコシステム
Avatar for Murakami Mana acceleratedmu3n
0
120
LLM APIを2年間本番運用して苦労した話
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
9
5.5k
AIエージェントを導入する [ 社内ナレッジ活用編 ] / Implement AI agents
Avatar for Akira Maeda glidenote
1
150
プロダクト開発と社内データ活用での、BI×AIの現在地 / Data_Findy
Avatar for Sansan R&D sansan_randd
1
790
組織全員で向き合うAI Readyなデータ利活用
Avatar for harry gappy50
5
2.1k
Observability — Extending Into Incident Response
Avatar for Narimichi Takamura nari_ex
2
740

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
2.9k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.9k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
186
22k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
2
250
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
10
640
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
46
7.8k

Transcript

  1. 11 de Septiembre 2019, Bogotá kubernetes @Ninja Girls

  2. 2 -Johana Lizarazo- Arquitecta de TI, Alpinista* “ Soy un

    instrumento para que algunos convivan con sus miedos” JohanaKLizarazo Ingeniera de Sistemas, electrónica. Esp. Arquitectura, Seguridad Microservicios, DevOps, Cloud, Open Source.

  3. 3 Agenda Algo de seguridad Principios de Seguridad. Motivación ¿Porqué

    es importante contar con controles de Seguridad?

  4. 4 Controles nativos K8s Resumen de controles de seguridad en

    la arquitectura de k8s. Integrando Proyectos CNFC Reforzar la seguridad en la arquitectura de k8s.

  5. 5 Algo de seguridad..

  6. http://antisec-sys.blogspot.com/2016/06/objetivos-de-la-seguridad.html Rescatando conceptos ...

  7. http://antisec-sys.blogspot.com/2016/06/objetivos-de-la-seguridad.html Motivación …

  8. https://www.cvedetails.com/product/34016/Kubernetes- Kubernetes.html?vendor_id=15867 Motivación …

  9. Motivación …

  10. https://www.cvedetails.com/cve/CVE-2019-1002101/ Motivación …

  11. 14 Controles nativos de k8s…

  12. Recordando ... Master Nodes API Server etcd Scheduler Node 1

    SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl

  13. Capas de Seguridad… https://kubernetes.io/docs/concepts/security/overview/

  14. Capas de Seguridad… https://kubernetes.io/docs/concepts/security/overview/

  15. Cloud / Datacenter Anti Malware Gestión de parches de seguridad

    Escaneo de vulnerabilidades Firewall ACLs … Entre otros controles

  16. Capas de Seguridad… https://kubernetes.io/docs/concepts/security/overview/

  17. Cluster Asegurar los componentes configurables que conforman el cluster (*)

    Asegurar los componentes que se ejecutan en el cluster (**)

  18. Cluster- API Server.. * Master Nodes API Server etcd Scheduler

    Node 1 SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl TLS (Transport Layer Security)

  19. Cluster- API Server.. * Master Nodes API Server etcd Scheduler

    Node 1 SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl X.509 Identity Provider Token Token API Autenticación

  20. Cluster- API Server.. * Master Nodes API Server etcd Scheduler

    Node 1 SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl -Deshabilitar acceso anónimo RBAC ( Role – ClusterRole) API Autorización

  21. Cluster- API kubelet.. * API Autenticación Master Nodes API Server

    etcd Scheduler Node 1 SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl X.509 Identity Provider Token Token API Autenticación https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-authentication-

  22. Cluster- API kubelet.. * API Autorización Master Nodes API Server

    etcd Scheduler Node 1 SO Container Controller Manager Kubelet Node 2 SO Container Kubelet Node 3 SO Container Kubelet Kubectl API -Delega la autorización, API Server Anónimo “enabled”, limite De uso -Token “enabled”, limite de Uso -Certificado “enabled”, Acceso a certificados Firmados CA

  23. Autorización RBAC Autenticación Gestión de Secretos (Cifrados en etcd) Políticas

    de Seguridad de Pod Calidad de Servicio (Gestión de recursos del cluster) Políticas de Red TLS para Ingress https://kubernetes.io/docs/concepts/security/overview/ Cluster- Componentes Ejecutados**

  24. Políticas de Seguridad de Pod -Ejecución de contenedores privilegiados -Uso

    de Namespaces -Uso de interfaces de red y puertos -Uso de tipos de volúmenes -Uso de archivos del sistema -Uso de capacidades de Linux -Restricción de escalada de privilegios root … https://kubernetes.io/docs/concepts/policy/pod-security- policy/ Cluster- Componentes Ejecutados**

  25. Capas de Seguridad… https://kubernetes.io/docs/concepts/security/overview/

  26. Container Análisis de vulnerabilidad de contenedores y seguridad del sistema

    operativo Restricción de usuarios privilegiados Firma y cumplimiento de la imagen https://kubernetes.io/docs/concepts/security/overview/

  27. Capas de Seguridad… https://kubernetes.io/docs/concepts/security/overview/

  28. Código Fuente Acceso solo a través de TLS Análisis de

    código estático y dinámico Seguridad de librerías de terceros https://kubernetes.io/docs/concepts/security/overview/ Limite de rangos de puertos de comunicación

  29. 32 Integrando proyectos CNFC https://landscape.cncf.io/

  30. Seguridad y Cumplimento…

  31. Gestión de LLaves…

  32. Gestión de LLaves… https://www.keycloak.org/about.html Single-Sign On Identity Brokering Federación

  33. Malla de Servicios..

  34. Malla de Servicios.. Conecta Asegura Control Observación https://medium.com/@serrodcal/istio-conecta-gestiona-y- securiza-microservicios-89d332e5a681

  35. Network..

  36. Registry..

  37. 40 Resumen…

  38. None

  39. Referencias .. https://www.cisecurity.org/benchmark/kubernetes/

  40. K5 K2 K8 https://www.duna.cl/podcasts/k2-la-gran-montana/ Gracias !!