Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFのためのKubernetes入門

Avatar for Kyohei Mizumoto Kyohei Mizumoto
September 23, 2025
Technology
1.2k
2

 CTFのためのKubernetes入門

イベント登壇資料です。2025/09/23 魔女のお茶会 #8
https://witchskeyparty.connpass.com/event/363928/

Avatar for Kyohei Mizumoto

Kyohei Mizumoto

September 23, 2025

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
最新の脅威動向から考える、コンテナサプライチェーンのリスクと対策
Avatar for Kyohei Mizumoto kyohmizu
1
880
コンテナセキュリティの最新事情 ~ 2026年版 ~
Avatar for Kyohei Mizumoto kyohmizu
9
3.9k
Black Hat USA 2025 Recap ~ クラウドセキュリティ編 ~
Avatar for Kyohei Mizumoto kyohmizu
0
950
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
3
810
コンテナサプライチェーンセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
2
500
サイバーセキュリティの最新動向:脅威と対策
Avatar for Kyohei Mizumoto kyohmizu
1
440
コンテナセキュリティの基本と脅威への対策
Avatar for Kyohei Mizumoto kyohmizu
4
2.2k
安全な Kubernetes 環境を目指して
Avatar for Kyohei Mizumoto kyohmizu
4
1.4k
Unlocking Cloud Native Security
Avatar for Kyohei Mizumoto kyohmizu
5
1.6k

Other Decks in Technology

See All in Technology
「速く作る」から「正しく作る」へ ─ 生成AI時代の開発フロー改革の ロードマップと実行 ─
Avatar for starfish719 starfish719
0
8.7k
Databricks における 生成AIガバナンスの実践
Avatar for Takaaki Yayoi taka_aki
1
350
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
Avatar for つくぼし tsukuboshi
0
300
Chart.js が簡単に使えるようになっていたので OGP 画像生成に使った話
Avatar for すずとも kamekyame
0
170
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
Avatar for Hiroki Suezawa (@rung) rung
PRO
2
780
コードレビューを制するチームがソフトウェアデリバリーのフローを制す / Beyond Code Review: Distributing Its Responsibilities Across the SDLC
Avatar for mtx2s mtx2s
4
1.3k
ChatworkとBPaaS 異なる特性で学んだAI機能開発の ベストプラクティス
Avatar for kubell kubell_hr
2
3.1k
PHP と TypeScript の型システム比較:AI 時代の「型」は誰のためにあるのか? #frontend_phpcon_do / frontend_phpcon_do_2026
Avatar for shogogg shogogg
1
260
「嘘をつくテスト」の失敗例から学ぶ 良いテストコード #frontend_phpcon_do
Avatar for asumikam asumikam
0
570
BigQuery の Cross-cloud Lakehouse への歩み
Avatar for Tomonori Hayashi / ぴーはや phaya72
2
600
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
Avatar for kinako askokc
0
130

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.7k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
310
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.9k
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
390
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.5k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3k
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
1
320
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
600
The Language of Interfaces
Avatar for Des Traynor destraynor
162
27k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
410
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4.1k

Transcript

  1. CTFのためのKubernetes入門 @kyohmizu 魔女のお茶会 #8

  2. whoami Security Engineer at 3-shake inc. • Container/Kubernetes Security •

    AWS/Google Cloud Security • Security Operations & Technical Support for Blue Team • Cloud Native Security Assessment Others: • 3-shake SRE Tech Talk イベント運営 • 「コンテナセキュリティ」書籍監訳 Kyohei Mizumoto

  3. 本セッションについて Kubernetes CTFの作問・解答に必要なセキュリティ要素についてご紹介します。 ※Kubernetes初学者向けの内容です • Kubernetesの概要 • CTFに必要なKubernetesセキュリティ • Kubernetes

    CTFの実践

  4. Kubernetesの概要 01

  5. Kubernetesについて Kubernetesは、宣言的な構成管理と自動化を促進し、コンテナ化されたワークロードや サービスを管理するための、ポータブルで拡張性のあるオープンソースのプラットフォーム です。Kubernetesは巨大で急速に成長しているエコシステムを備えており、それらのサー ビス、サポート、ツールは幅広い形で利用可能です。 公式リンク: https://kubernetes.io/ https://github.com/kubernetes/kubernetes https://kubernetes.io/docs/concepts/overview/

  6. Kubernetesの特徴 ① インフラリソースの抽象化 ネットワークやストレージなど、すべてのインフラリソースを Kubernetes 上のリソースとして管理しま す。Kubernetes は複数のVMを束ねて一つのクラスタを構成しますが、それぞれの VMの状態(CPU やメモリ使用率など)を気にする必要はなく、ワークロードに適切なインフラリソースを割り当てることが

    できます。 インフラのコード化 (Infrastructure as Code) Kubernetes はインフラを宣言的なコード(マニフェストファイル)として管理します。これにより、インフラ の構築や変更をコードとしてバージョン管理し、自動化することができます。マニフェストファイルにはリ ソースのあるべき姿( Desired State)を記述します。 https://github.com/kyohmizu/seccamp2024-B6/tree/master/ch01_k8s_intro#kubernetes-%E3%81%AE%E7%89%B9%E5%BE%B4

  7. Kubernetesの特徴 ② オーケストレーション Kubernetes を構成する各種コンポーネントが協調し、一つのクラスタを稼働させます。コンポーネント 同士が直接通信・連携するのではなく、各々の役割を果たすことで全体として理想の状態を維持しま す。 高い拡張性 ネットワーク、ストレージ、コンテナランタイムなど、多くの機能をプラグインを通じて拡張できます。 •

    CNI (Container Network Interface), CSI (Storage), CRI (Runtime) • Admission Controllers, Custom Resources https://github.com/kyohmizu/seccamp2024-B6/tree/master/ch01_k8s_intro#kubernetes-%E3%81%AE%E7%89%B9%E5%BE%B4

  8. Kubernetesの構成 https://kubernetes.io/ja/docs/concepts/overview/components/

  9. Kubernetesの構成 コントロールプレーン • kube-apiserver ◦ Kubernetes APIを提供し、すべてのコンポーネントと通信する ◦ Kubernetes のフロントエンドとして機能し、すべての

    REST 操作を処理 • etcd ◦ クラスタのすべてのデータを保存するキー・バリュー・ストア • kube-scheduler ◦ 新しい Pod のスケジューリングを行い、最適なノードに割り当てます • kube-controller-manager ◦ クラスタ全体の状態を管理するコントローラー群 https://kubernetes.io/ja/docs/concepts/overview/components/

  10. Kubernetesの構成 ワーカーノード • kubelet ◦ 各ノード上で実行され、 Podのライフサイクルを管理 ◦ APIサーバーから Pod

    定義を受け取り、コンテナランタイムにコンテナ作成を指示 • kube-proxy ◦ 各ノード上で実行され、ネットワーク通信を管理 ◦ クラスタ内のサービス間通信を実現し、ネットワークルールを適用 • コンテナランタイム ◦ 実際にコンテナを実行するソフトウェア(例: Docker、containerd) ◦ コンテナの実行、停止、ネットワーク設定などを実行 https://kubernetes.io/ja/docs/concepts/overview/components/

  11. マニフェストファイル Kubernetesリソースを記述するYAML形式のファイル リソース例: • Pod ◦ デプロイの最小単位 • ReplicaSet ◦

    指定された数の Pod を常に稼働させる • Deployment ◦ アプリのデプロイと管理を簡素化 https://kubernetes.io/docs/concepts/overview/working-with-objects/ apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 2 template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80

  12. その他の主要なリソース(一部) • Namespace ◦ クラスタ内でリソース群を分離する仕組みを提供 ◦ Namespaceに所属するリソースとしないリソースがある • Service ◦

    アプリケーションをクラスタ内外に公開するネットワーク定義 ◦ サービスディスカバリーや負荷分散の機能を持つ • ConfigMaps/Secrets ◦ アプリケーションの設定ファイルや認証情報などを登録 ◦ Secrets については後述 https://kubernetes.io/ja/docs/concepts/overview/components/

  13. 検証環境の構築 • ローカル検証環境 ◦ https://github.com/kubernetes/minikube ◦ https://github.com/kubernetes-sigs/kind ◦ https://github.com/canonical/microk8s •

    クラウド利用 ◦ 各クラウドサービスのマネージド Kubernetes(GKE, EKS, AKS…) ◦ EC2 上にkindクラスタを構築することも可能 • SaaSのPlaygroundサービス利用 ◦ https://killercoda.com ◦ https://labs.iximiuz.com/playgrounds?category=kubernetes&filter=all

  14. CTFに必要なKubernetesセキュリティ 02

  15. KubernetesとCTF • 問題パターンの豊富さ ◦ 様々な箇所にフラグを仕込むことが可能 ▪ リソースのメタデータや Secrets、Persistent Volume、ログなど ◦

    機能が複雑なため、設定ミスを仕込みやすい • 環境構築 ◦ 回復性、再現性、スケール性に優れた環境 ▪ できれば1人1クラスタが望ましい ◦ IaCのソースコードを提供することで、ホワイトボックスでの実施も可能 • エコシステムによる拡張性 ◦ OSSを導入することで発展的な問題を作成

  16. Open Ports https://kubernetes.io/docs/reference/networking/ports-and-protocols/

  17. RBAC(Role-Based Access Control) Kubernetes の認可機能 • Role/ClusterRole ◦ Kubernetes 上での実行権限を定義

    ◦ システムコンポーネントやユーザー向けのデフォルトロールが複数存在 ▪ cluster-admin, admin ロールによる特権アクセス • RoleBinding/ClusterRoleBinding ◦ ロールとユーザー/グループ/サービスアカウントを紐付け • Users/Groups ◦ 認証済みユーザーとサービスアカウントは system:authenticated グループ ◦ 匿名ユーザー(system:anonymous)とグループ(system:unauthenticated) https://kubernetes.io/docs/reference/access-authn-authz/rbac/

  18. Service Accounts ワークロード(Pod)が使用するアイデンティティ • Role/ClusterRole による権限付与 ◦ Kubernetes API へのリクエストが必要なワークロードに紐付け

    ◦ Namespace ごとにサービスアカウントの作成が必要 • デフォルトサービスアカウント ◦ 各 Namespace に存在し、サービスアカウントの指定がない Podに利用される ◦ 権限分離の観点から利用は推奨されない • 認証トークン ◦ Secretリソースとして作成され、 Podにマウントされる ◦ automountServiceAccountToken: false で自動マウントを防止 https://kubernetes.io/docs/concepts/security/service-accounts/

  19. Secrets Management • Kubernetes Secrets ◦ Base64エンコードされたデータ ◦ imagePullSecrets、ServiceAccountトークンなどに利用 ◦

    環境変数やボリュームマウントを通して Podに提供 • OSSによるシークレットの暗号化 ◦ Sealed Secrets ▪ 軽量かつ外部に依存しないツール ◦ Vault + Secrets Operator ▪ HashiCorp Vault でシークレットを暗号化して保存 ▪ Kubernetesとの同期のため、 Secrets Operator を利用 • External Secrets Operator • Secrets Store CSI Driver https://kubernetes.io/docs/concepts/configuration/secret/

  20. Network Policies ワークロード(Pod)の通信制御 • L3/L4 のネットワーク制御 ◦ Pod, Namespace およびIPブロックを指定した

    Ingress/Egress 通信制御 ◦ Service 指定は不可 • Cilium CNI による拡張ネットワーク制御( CiliumNetworkPolicy) ◦ L3/L4 に加え、L7のネットワーク制御を実現 ◦ https://docs.cilium.io/en/stable/security/policy/index.html • サービスメッシュによるネットワーク制御( Istio AuthorizationPolicy) ◦ L3/L4/L7のネットワーク制御、 mTLS、JWT検証など ◦ https://istio.io/latest/docs/reference/config/security/authorization-policy/ https://kubernetes.io/docs/concepts/services-networking/network-policies/

  21. Admission Control Kubernetes API リクエストをインターセプト • Validating/Mutating ◦ APIリクエストを検証し、ポリシーに反する場合は警告または拒否する機能 ◦

    リクエスト内容の適用前に、設定変更やリソースの注入を行う機能 • Admission Webhook ◦ 検証/変更処理を外部のWebhookサーバーにリクエスト ◦ OSSによるポリシー検証や、サイドカーの注入などに利用 • 組み込み機能 ◦ Pod Security Admission: 定義されたセキュリティ標準への準拠を検証 ◦ Validating Admission Policy: CELで記述するポリシー制御 https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/

  22. Runtime Security 実行されるワークロードのセキュリティ対策 • Security Context ◦ Pod/コンテナの権限やアクセス制御を設定 ◦ UID/GID,

    LSM, Capabilities, privileged, readOnlyRootFilesystem など • Process Monitoring ◦ コンテナ内の実行プロセスを監視し、アラートやプロセス Killを行う ◦ Falco, Tetragon, Tracee など • Sandboxed Containers ◦ 分離レベルの高いコンテナランタイム( OCI Runtime)を利用 ◦ gVisor, Firecracker, Kata Containers など https://kubernetes.io/docs/tasks/configure-pod-container/security-context/

  23. Kubernetes セキュリティの演習 https://github.com/madhuakula/kubernetes-goat

  24. Kubernetes CTFの実践 03

  25. 過去に開催されたKubernetes CTF • DefCon 33 Kubernetes CTF • KubeCon +

    CloudNativeCon Europe 2025 CTF • KubeCon + CloudNativeCon North America 2024 CTF • KubeCon + CloudNativeCon Europe 2024 CTF • K8s LAN Party (by Wiz) • KubeCon + CloudNativeCon North America 2023 CTF • EKS Cluster Games (by Wiz) • Punk Security DevSecOps Birthday CTF 2023 https://www.skybound.link/

  26. 現在チャレンジできるCTF https://eksclustergames.com https://k8slanparty.com

  27. デモ:Kubernetesクラスタの権限昇格 アプリケーションの脆弱性を利用して Podに侵入し、クラスタの管理者権限を取得してみま す。 (セキュリティ・キャンプ2025(2024) 全国大会の講義内容と同じです) • EC2 上に構築された Kind

    クラスタで、Control Plane 1台、Worker Nodes 2台の構成 • Worker Node で動作するアプリケーション Pod(backend)に侵入 • Control Plane のノード上に配置されたクラスタ管理者の認証情報を取得 https://github.com/kyohmizu/seccamp2024-B6/blob/master/ch03_attacking_k8s/attack_scenario.md

  28. さいごに Kubernetesについて、少しでも興味を持ってくれる人が増えると嬉しいです! いつかKubernetes CTFを開催したいなぁと思っています。

  29. CREDITS: This presentation template was created by Slidesgo, and includes

    icons by Flaticon, and infographics & images by Freepik Thanks! Do you have any questions? https://twitter.com/kyohmizu