Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Play with 🐐 in Kubernetes

Avatar for Kyohei Mizumoto Kyohei Mizumoto
December 15, 2022
Technology
1
1.5k

Play with 🐐 in Kubernetes

3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/

Avatar for Kyohei Mizumoto

Kyohei Mizumoto

December 15, 2022
Tweet

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
Black Hat USA 2025 Recap ~ クラウドセキュリティ編 ~
Avatar for Kyohei Mizumoto kyohmizu
0
720
CTFのためのKubernetes入門
Avatar for Kyohei Mizumoto kyohmizu
2
930
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
2
680
コンテナサプライチェーンセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
2
380
サイバーセキュリティの最新動向:脅威と対策
Avatar for Kyohei Mizumoto kyohmizu
1
360
コンテナセキュリティの基本と脅威への対策
Avatar for Kyohei Mizumoto kyohmizu
4
2k
安全な Kubernetes 環境を目指して
Avatar for Kyohei Mizumoto kyohmizu
4
1.3k
Unlocking Cloud Native Security
Avatar for Kyohei Mizumoto kyohmizu
5
1.5k
コンテナ × セキュリティ × AWS
Avatar for Kyohei Mizumoto kyohmizu
11
4.2k

Other Decks in Technology

See All in Technology
"なるべくスケジューリングしない" を実現する "PreferNoSchedule" taint
Avatar for Kazuki Suda superbrothers
0
130
意外と難しいドメイン駆動設計の話
Avatar for ZOZO Developers zozotech
PRO
0
950
AI 時代のデータ戦略
Avatar for na0 na0
8
3.1k
Symfony AI in Action
Avatar for Christopher Hertel el_stoffel
2
340
2025 DORA Reportから読み解く!AIが映し出す、成果を出し続ける組織の共通点 #開発生産性_findy
Avatar for Hiroyuki TAKAHASHI takabow
2
950
【ASW21-02】STAMP/CAST分析における生成AIの支援 ~羽田空港航空機衝突事故を題材として (Support of Generative AI in STAMP/CAST Analysis - A Case Study Based on the Haneda Airport Aircraft Accident -)
Avatar for Hiroyuki.Anraku hianraku9498
2
550
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
320
IPv6-mostly field report from RubyKaigi 2026
Avatar for Sorah Fukumori sorah
0
250
TypeScript×CASLでつくるSaaSの認可 / Authz with CASL
Avatar for Jumpei Sakatsu saka2jp
2
180
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
『星の世界の地図の話: Google Sky MapをAI Agentでよみがえらせる』 - Google Developers DevFest Tokyo 2025
Avatar for Tomohiro Tani taniiicom
0
460
useEffectってなんで非推奨みたいなこと言われてるの?
Avatar for マグロ隊長kinTV maguroalternative
9
6.1k

Featured

See All Featured
Navigating Team Friction
Avatar for Lara Hogan lara
191
16k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.3k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
780
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.3k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
30
5.7k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Visualization
Avatar for Eitan Lees eitanlees
150
16k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k

Transcript

  1. Play with 🐐 in Kubernetes @kyohmizu

  2. whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用

    - セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu

  3. 今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です

  4. Kubernetes Goat?

  5. = やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群

    ✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる

  6. セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup

    bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh

  7. シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation

    ✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP

  8. 個人的に気になったシナリオについて、 ネタバレしない程度にご紹介

  9. Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅

    初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも

  10. Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅

    実行を防ぐ側の視点で考えてみるのも面白い

  11. Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し

    kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh

  12. 年末年始のお供にいかがでしょうか?

  13. Thank you!