Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFのためのKubernetes入門

Avatar for Kyohei Mizumoto Kyohei Mizumoto
September 23, 2025
Technology
1
290

 CTFのためのKubernetes入門

イベント登壇資料です。2025/09/23 魔女のお茶会 #8
https://witchskeyparty.connpass.com/event/363928/

Avatar for Kyohei Mizumoto

Kyohei Mizumoto

September 23, 2025
Tweet

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
2
610
コンテナサプライチェーンセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
2
310
サイバーセキュリティの最新動向:脅威と対策
Avatar for Kyohei Mizumoto kyohmizu
1
330
コンテナセキュリティの基本と脅威への対策
Avatar for Kyohei Mizumoto kyohmizu
4
1.9k
安全な Kubernetes 環境を目指して
Avatar for Kyohei Mizumoto kyohmizu
4
1.2k
Unlocking Cloud Native Security
Avatar for Kyohei Mizumoto kyohmizu
5
1.4k
コンテナ × セキュリティ × AWS
Avatar for Kyohei Mizumoto kyohmizu
11
4.1k
コンテナセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
10
4.3k
コンテナイメージのマルウェア検出とその実用性について
Avatar for Kyohei Mizumoto kyohmizu
4
4k

Other Decks in Technology

See All in Technology
AIフレンドリーなコードベースを目指して/登壇資料(高橋 悟生)
Avatar for Hacobu hacobu
PRO
3
520
テストコードすら書けなかったレガシーアプリがAIと上手に協働できるようになるまでの軌跡
Avatar for ディップ株式会社 dip_tech
PRO
0
120
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
Avatar for daitasu daitasu
0
220
エンジニアが主導できる組織づくり ー 製品と事業を進化させる体制へのシフト
Avatar for Shin'ya Ueoka ueokande
1
140
スタートアップこそ全員で Platform Engineering スピードと持続性を両立する文化の作り方
Avatar for KaoruTsuda anizozina
2
630
今日から始めるAWSセキュリティ対策 3ステップでわかる実践ガイド
Avatar for 吉田 岳史 yoshidatakeshi1994
0
160
Unlocking the Power of AI Agents with LINE Bot MCP Server
Avatar for LINE Developers Thailand linedevth
0
270
低リスクで小学生男児を鍵っ子にする 俺の勉強会#4
Avatar for inaka-phper inakaphper
0
160
Introduction to Python (under construction)
Avatar for Jussi Pohjolainen pohjus
0
560
Rust In Python
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
3
270
エンジニアリングマネージャーの成長の道筋とキャリア / Developers Summit 2025 KANSAI
Avatar for KASUYA, Daisuke daiksy
4
1.5k
TS-S205_昨年対比2倍以上の機能追加を実現するデータ基盤プロジェクトでのAI活用について
Avatar for K.Mitsuhashi kaz3284
2
240

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1371
200k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k
Making Projects Easy
Avatar for Brett Harned brettharned
118
6.4k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
368
19k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
56
6.5k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1.1k

Transcript

  1. CTFのためのKubernetes入門 @kyohmizu 魔女のお茶会 #8

  2. whoami Security Engineer at 3-shake inc. • Container/Kubernetes Security •

    AWS/Google Cloud Security • Security Operations & Technical Support for Blue Team • Cloud Native Security Assessment Others: • 3-shake SRE Tech Talk イベント運営 • 「コンテナセキュリティ」書籍監訳 Kyohei Mizumoto

  3. 本セッションについて Kubernetes CTFの作問・解答に必要なセキュリティ要素についてご紹介します。 ※Kubernetes初学者向けの内容です • Kubernetesの概要 • CTFに必要なKubernetesセキュリティ • Kubernetes

    CTFの実践

  4. Kubernetesの概要 01

  5. Kubernetesについて Kubernetesは、宣言的な構成管理と自動化を促進し、コンテナ化されたワークロードや サービスを管理するための、ポータブルで拡張性のあるオープンソースのプラットフォーム です。Kubernetesは巨大で急速に成長しているエコシステムを備えており、それらのサー ビス、サポート、ツールは幅広い形で利用可能です。 公式リンク: https://kubernetes.io/ https://github.com/kubernetes/kubernetes https://kubernetes.io/docs/concepts/overview/

  6. Kubernetesの特徴 ① インフラリソースの抽象化 ネットワークやストレージなど、すべてのインフラリソースを Kubernetes 上のリソースとして管理しま す。Kubernetes は複数のVMを束ねて一つのクラスタを構成しますが、それぞれの VMの状態(CPU やメモリ使用率など)を気にする必要はなく、ワークロードに適切なインフラリソースを割り当てることが

    できます。 インフラのコード化 (Infrastructure as Code) Kubernetes はインフラを宣言的なコード(マニフェストファイル)として管理します。これにより、インフラ の構築や変更をコードとしてバージョン管理し、自動化することができます。マニフェストファイルにはリ ソースのあるべき姿( Desired State)を記述します。 https://github.com/kyohmizu/seccamp2024-B6/tree/master/ch01_k8s_intro#kubernetes-%E3%81%AE%E7%89%B9%E5%BE%B4

  7. Kubernetesの特徴 ② オーケストレーション Kubernetes を構成する各種コンポーネントが協調し、一つのクラスタを稼働させます。コンポーネント 同士が直接通信・連携するのではなく、各々の役割を果たすことで全体として理想の状態を維持しま す。 高い拡張性 ネットワーク、ストレージ、コンテナランタイムなど、多くの機能をプラグインを通じて拡張できます。 •

    CNI (Container Network Interface), CSI (Storage), CRI (Runtime) • Admission Controllers, Custom Resources https://github.com/kyohmizu/seccamp2024-B6/tree/master/ch01_k8s_intro#kubernetes-%E3%81%AE%E7%89%B9%E5%BE%B4

  8. Kubernetesの構成 https://kubernetes.io/ja/docs/concepts/overview/components/

  9. Kubernetesの構成 コントロールプレーン • kube-apiserver ◦ Kubernetes APIを提供し、すべてのコンポーネントと通信する ◦ Kubernetes のフロントエンドとして機能し、すべての

    REST 操作を処理 • etcd ◦ クラスタのすべてのデータを保存するキー・バリュー・ストア • kube-scheduler ◦ 新しい Pod のスケジューリングを行い、最適なノードに割り当てます • kube-controller-manager ◦ クラスタ全体の状態を管理するコントローラー群 https://kubernetes.io/ja/docs/concepts/overview/components/

  10. Kubernetesの構成 ワーカーノード • kubelet ◦ 各ノード上で実行され、 Podのライフサイクルを管理 ◦ APIサーバーから Pod

    定義を受け取り、コンテナランタイムにコンテナ作成を指示 • kube-proxy ◦ 各ノード上で実行され、ネットワーク通信を管理 ◦ クラスタ内のサービス間通信を実現し、ネットワークルールを適用 • コンテナランタイム ◦ 実際にコンテナを実行するソフトウェア(例: Docker、containerd) ◦ コンテナの実行、停止、ネットワーク設定などを実行 https://kubernetes.io/ja/docs/concepts/overview/components/

  11. マニフェストファイル Kubernetesリソースを記述するYAML形式のファイル リソース例: • Pod ◦ デプロイの最小単位 • ReplicaSet ◦

    指定された数の Pod を常に稼働させる • Deployment ◦ アプリのデプロイと管理を簡素化 https://kubernetes.io/docs/concepts/overview/working-with-objects/ apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 2 template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80

  12. その他の主要なリソース(一部) • Namespace ◦ クラスタ内でリソース群を分離する仕組みを提供 ◦ Namespaceに所属するリソースとしないリソースがある • Service ◦

    アプリケーションをクラスタ内外に公開するネットワーク定義 ◦ サービスディスカバリーや負荷分散の機能を持つ • ConfigMaps/Secrets ◦ アプリケーションの設定ファイルや認証情報などを登録 ◦ Secrets については後述 https://kubernetes.io/ja/docs/concepts/overview/components/

  13. 検証環境の構築 • ローカル検証環境 ◦ https://github.com/kubernetes/minikube ◦ https://github.com/kubernetes-sigs/kind ◦ https://github.com/canonical/microk8s •

    クラウド利用 ◦ 各クラウドサービスのマネージド Kubernetes(GKE, EKS, AKS…) ◦ EC2 上にkindクラスタを構築することも可能 • SaaSのPlaygroundサービス利用 ◦ https://killercoda.com ◦ https://labs.iximiuz.com/playgrounds?category=kubernetes&filter=all

  14. CTFに必要なKubernetesセキュリティ 02

  15. KubernetesとCTF • 問題パターンの豊富さ ◦ 様々な箇所にフラグを仕込むことが可能 ▪ リソースのメタデータや Secrets、Persistent Volume、ログなど ◦

    機能が複雑なため、設定ミスを仕込みやすい • 環境構築 ◦ 回復性、再現性、スケール性に優れた環境 ▪ できれば1人1クラスタが望ましい ◦ IaCのソースコードを提供することで、ホワイトボックスでの実施も可能 • エコシステムによる拡張性 ◦ OSSを導入することで発展的な問題を作成

  16. Open Ports https://kubernetes.io/docs/reference/networking/ports-and-protocols/

  17. RBAC(Role-Based Access Control) Kubernetes の認可機能 • Role/ClusterRole ◦ Kubernetes 上での実行権限を定義

    ◦ システムコンポーネントやユーザー向けのデフォルトロールが複数存在 ▪ cluster-admin, admin ロールによる特権アクセス • RoleBinding/ClusterRoleBinding ◦ ロールとユーザー/グループ/サービスアカウントを紐付け • Users/Groups ◦ 認証済みユーザーとサービスアカウントは system:authenticated グループ ◦ 匿名ユーザー(system:anonymous)とグループ(system:unauthenticated) https://kubernetes.io/docs/reference/access-authn-authz/rbac/

  18. Service Accounts ワークロード(Pod)が使用するアイデンティティ • Role/ClusterRole による権限付与 ◦ Kubernetes API へのリクエストが必要なワークロードに紐付け

    ◦ Namespace ごとにサービスアカウントの作成が必要 • デフォルトサービスアカウント ◦ 各 Namespace に存在し、サービスアカウントの指定がない Podに利用される ◦ 権限分離の観点から利用は推奨されない • 認証トークン ◦ Secretリソースとして作成され、 Podにマウントされる ◦ automountServiceAccountToken: false で自動マウントを防止 https://kubernetes.io/docs/concepts/security/service-accounts/

  19. Secrets Management • Kubernetes Secrets ◦ Base64エンコードされたデータ ◦ imagePullSecrets、ServiceAccountトークンなどに利用 ◦

    環境変数やボリュームマウントを通して Podに提供 • OSSによるシークレットの暗号化 ◦ Sealed Secrets ▪ 軽量かつ外部に依存しないツール ◦ Vault + Secrets Operator ▪ HashiCorp Vault でシークレットを暗号化して保存 ▪ Kubernetesとの同期のため、 Secrets Operator を利用 • External Secrets Operator • Secrets Store CSI Driver https://kubernetes.io/docs/concepts/configuration/secret/

  20. Network Policies ワークロード(Pod)の通信制御 • L3/L4 のネットワーク制御 ◦ Pod, Namespace およびIPブロックを指定した

    Ingress/Egress 通信制御 ◦ Service 指定は不可 • Cilium CNI による拡張ネットワーク制御( CiliumNetworkPolicy) ◦ L3/L4 に加え、L7のネットワーク制御を実現 ◦ https://docs.cilium.io/en/stable/security/policy/index.html • サービスメッシュによるネットワーク制御( Istio AuthorizationPolicy) ◦ L3/L4/L7のネットワーク制御、 mTLS、JWT検証など ◦ https://istio.io/latest/docs/reference/config/security/authorization-policy/ https://kubernetes.io/docs/concepts/services-networking/network-policies/

  21. Admission Control Kubernetes API リクエストをインターセプト • Validating/Mutating ◦ APIリクエストを検証し、ポリシーに反する場合は警告または拒否する機能 ◦

    リクエスト内容の適用前に、設定変更やリソースの注入を行う機能 • Admission Webhook ◦ 検証/変更処理を外部のWebhookサーバーにリクエスト ◦ OSSによるポリシー検証や、サイドカーの注入などに利用 • 組み込み機能 ◦ Pod Security Admission: 定義されたセキュリティ標準への準拠を検証 ◦ Validating Admission Policy: CELで記述するポリシー制御 https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/

  22. Runtime Security 実行されるワークロードのセキュリティ対策 • Security Context ◦ Pod/コンテナの権限やアクセス制御を設定 ◦ UID/GID,

    LSM, Capabilities, privileged, readOnlyRootFilesystem など • Process Monitoring ◦ コンテナ内の実行プロセスを監視し、アラートやプロセス Killを行う ◦ Falco, Tetragon, Tracee など • Sandboxed Containers ◦ 分離レベルの高いコンテナランタイム( OCI Runtime)を利用 ◦ gVisor, Firecracker, Kata Containers など https://kubernetes.io/docs/tasks/configure-pod-container/security-context/

  23. Kubernetes セキュリティの演習 https://github.com/madhuakula/kubernetes-goat

  24. Kubernetes CTFの実践 03

  25. 過去に開催されたKubernetes CTF • DefCon 33 Kubernetes CTF • KubeCon +

    CloudNativeCon Europe 2025 CTF • KubeCon + CloudNativeCon North America 2024 CTF • KubeCon + CloudNativeCon Europe 2024 CTF • K8s LAN Party (by Wiz) • KubeCon + CloudNativeCon North America 2023 CTF • EKS Cluster Games (by Wiz) • Punk Security DevSecOps Birthday CTF 2023 https://www.skybound.link/

  26. 現在チャレンジできるCTF https://eksclustergames.com https://k8slanparty.com

  27. デモ:Kubernetesクラスタの権限昇格 アプリケーションの脆弱性を利用して Podに侵入し、クラスタの管理者権限を取得してみま す。 (セキュリティ・キャンプ2025(2024) 全国大会の講義内容と同じです) • EC2 上に構築された Kind

    クラスタで、Control Plane 1台、Worker Nodes 2台の構成 • Worker Node で動作するアプリケーション Pod(backend)に侵入 • Control Plane のノード上に配置されたクラスタ管理者の認証情報を取得 https://github.com/kyohmizu/seccamp2024-B6/blob/master/ch03_attacking_k8s/attack_scenario.md

  28. さいごに Kubernetesについて、少しでも興味を持ってくれる人が増えると嬉しいです! いつかKubernetes CTFを開催したいなぁと思っています。

  29. CREDITS: This presentation template was created by Slidesgo, and includes

    icons by Flaticon, and infographics & images by Freepik Thanks! Do you have any questions? https://twitter.com/kyohmizu