Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Play with 🐐 in Kubernetes

Avatar for Kyohei Mizumoto Kyohei Mizumoto
December 15, 2022
Technology
1
1.4k

Play with 🐐 in Kubernetes

3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/
Avatar for Kyohei Mizumoto

Kyohei Mizumoto

December 15, 2022
Tweet

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
1
350
コンテナサプライチェーンセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
1
210
サイバーセキュリティの最新動向:脅威と対策
Avatar for Kyohei Mizumoto kyohmizu
1
260
コンテナセキュリティの基本と脅威への対策
Avatar for Kyohei Mizumoto kyohmizu
4
1.6k
安全な Kubernetes 環境を目指して
Avatar for Kyohei Mizumoto kyohmizu
4
1.1k
Unlocking Cloud Native Security
Avatar for Kyohei Mizumoto kyohmizu
5
1.3k
コンテナ × セキュリティ × AWS
Avatar for Kyohei Mizumoto kyohmizu
11
3.9k
コンテナセキュリティ
Avatar for Kyohei Mizumoto kyohmizu
10
4.2k
コンテナイメージのマルウェア検出とその実用性について
Avatar for Kyohei Mizumoto kyohmizu
4
3.7k

Other Decks in Technology

See All in Technology
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
2
460
Aspire をカスタマイズしよう & Aspire 9.2
Avatar for neno nenonaninu
0
380
Azure × MCP 入門
Avatar for Ryosuke Hyakuta ry0y4n
7
1.1k
勝手に!深堀り!Cloud Run worker pools / Deep dive Cloud Run worker pools
Avatar for iselegant iselegant
4
640
10分で学ぶ、RAGの仕組みと実践
Avatar for Marimo supermarimobros
0
860
SnowflakeとDatabricks両方でRAGを構築してみた
Avatar for camay kameitomohiro
1
580
Simplify! 10 ways to reduce complexity in software development
Avatar for Uwe Friedrichsen ufried
1
230
AIと共に乗り越える、 入社後2ヶ月の苦労と学習の軌跡
Avatar for Sai Kaneko sai_kaneko
1
200
AI-in-the-Enterprise|OpenAIが公開した「AI導入7つの教訓」——ChatGPTで変わる企業の未来とは?
Avatar for CUSTOMER CLOUD CORP. customercloud
PRO
0
150
意思決定を支える検索体験を目指してやってきたこと
Avatar for Taisuke Hinata hinatades
PRO
0
400
Compose におけるパスワード自動入力とパスワード保存
Avatar for tonionagauzzi tonionagauzzi
0
200
DynamoDB のデータを QuickSight で可視化する際につまづいたこと/stumbling-blocks-when-visualising-dynamodb-with-quicksight
Avatar for emi emiki
0
130

Featured

See All Featured
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
205
24k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
42
7.5k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
137
33k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.3k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
75
5.8k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
21k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
177
9.7k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.4k

Transcript

  1. Play with 🐐 in Kubernetes @kyohmizu

  2. whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用

    - セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu

  3. 今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です

  4. Kubernetes Goat?

  5. = やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群

    ✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる

  6. セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup

    bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh

  7. シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation

    ✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP

  8. 個人的に気になったシナリオについて、 ネタバレしない程度にご紹介

  9. Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅

    初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも

  10. Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅

    実行を防ぐ側の視点で考えてみるのも面白い

  11. Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し

    kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh

  12. 年末年始のお供にいかがでしょうか?

  13. Thank you!