Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Play with 🐐 in Kubernetes

Avatar for Kyohei Mizumoto Kyohei Mizumoto
December 15, 2022
Technology
1
1.5k

Play with 🐐 in Kubernetes

3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/

Avatar for Kyohei Mizumoto

Kyohei Mizumoto

December 15, 2022
Tweet

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
コンテナセキュリティの最新事情 ~ 2026年版 ~
Avatar for Kyohei Mizumoto kyohmizu
9
3.3k
Black Hat USA 2025 Recap ~ クラウドセキュリティ編 ~
Avatar for Kyohei Mizumoto kyohmizu
0
850
CTFのためのKubernetes入門
Avatar for Kyohei Mizumoto kyohmizu
2
1.1k
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
3
730
コンテナサプライチェーンセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
2
460
サイバーセキュリティの最新動向:脅威と対策
Avatar for Kyohei Mizumoto kyohmizu
1
400
コンテナセキュリティの基本と脅威への対策
Avatar for Kyohei Mizumoto kyohmizu
4
2.1k
安全な Kubernetes 環境を目指して
Avatar for Kyohei Mizumoto kyohmizu
4
1.3k
Unlocking Cloud Native Security
Avatar for Kyohei Mizumoto kyohmizu
5
1.5k

Other Decks in Technology

See All in Technology
問い合わせ自動化の技術的挑戦
Avatar for Recruit recruitengineers
PRO
2
150
チームメンバー迷わないIaC設計
Avatar for hayama hayama17
5
3.8k
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
3k
技術的負債の泥沼から組織を救う3つの転換点
Avatar for nwiizo nwiizo
7
2.3k
マネージャー版 "提案のレベル" を上げる
Avatar for konifar konifar
19
12k
EMからVPoEを経てCTOへ:マネジメントキャリアパスにおける葛藤と成長
Avatar for KAKEHASHI kakehashi
PRO
7
880
Webアクセシビリティ技術と実装の実際
Avatar for tomokusaba tomokusaba
0
210
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
360
【5分でわかる】セーフィー エンジニア向け会社紹介
Avatar for Safie safie_recruit
0
44k
A Gentle Introduction to Transformers
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
1
120
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
5
18k
EMからICへ、二周目人材としてAI全振りのプロダクト開発で見つけた武器
Avatar for Yuji Yamaguchi yug1224
4
420

Featured

See All Featured
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
140
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
74
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.4k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
290
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
310
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
300
Design in an AI World
Avatar for tapps tapps
0
160
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.5k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
180

Transcript

  1. Play with 🐐 in Kubernetes @kyohmizu

  2. whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用

    - セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu

  3. 今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です

  4. Kubernetes Goat?

  5. = やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群

    ✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる

  6. セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup

    bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh

  7. シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation

    ✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP

  8. 個人的に気になったシナリオについて、 ネタバレしない程度にご紹介

  9. Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅

    初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも

  10. Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅

    実行を防ぐ側の視点で考えてみるのも面白い

  11. Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し

    kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh

  12. 年末年始のお供にいかがでしょうか?

  13. Thank you!