Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Play with 🐐 in Kubernetes

Kyohei Mizumoto
December 15, 2022
Technology
1
1.3k

Play with 🐐 in Kubernetes

3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/

Kyohei Mizumoto

December 15, 2022
Tweet

More Decks by Kyohei Mizumoto

See All by Kyohei Mizumoto
コンテナサプライチェーンセキュリティ
kyohmizu
1
200
サイバーセキュリティの最新動向:脅威と対策
kyohmizu
1
250
コンテナセキュリティの基本と脅威への対策
kyohmizu
4
1.6k
安全な Kubernetes 環境を目指して
kyohmizu
4
1.1k
Unlocking Cloud Native Security
kyohmizu
5
1.3k
コンテナ × セキュリティ × AWS
kyohmizu
11
3.9k
コンテナセキュリティ
kyohmizu
10
4.2k
コンテナイメージのマルウェア検出とその実用性について
kyohmizu
4
3.6k
Security Command Center × PagerDuty 自動アラート通知の取り組み
kyohmizu
0
640

Other Decks in Technology

See All in Technology
似たような課題が何度も蘇ってくるゾンビふりかえりを撲滅するため、ふりかえりのテーマをフォーカスしてもらった話 / focusing on the theme
naitosatoshi
0
440
はじめてのSDET / My first challenge as a SDET
bun913
1
240
[2025年4月版] Databricks Academy ラボ環境 利用開始手順 / Databricks Academy Labs Onboarding
databricksjapan
0
130
NLP2025 参加報告会 / NLP2025
sansan_randd
4
560
AIと開発者の共創: エージェント時代におけるAIフレンドリーなDevOpsの実践
bicstone
1
290
Tokyo dbt Meetup #13 dbtと連携するBI製品&機能ざっくり紹介
sagara
0
450
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
ritou
1
550
アジャイル脅威モデリング#1(脅威モデリングナイト#8)
masakane55
3
190
Spice up your notifications/try!Swift25
noppefoxwolf
2
350
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
2.9k
IVRyにおけるNLP活用と NLP2025の関連論文紹介
keisukeosone
0
190
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM, Prompt Engineering and Building Tutors
ks91
PRO
1
250

Featured

See All Featured
How to Think Like a Performance Engineer
csswizardry
23
1.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
34
2.2k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
41
2.2k
Making Projects Easy
brettharned
116
6.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
2.9k
Embracing the Ebb and Flow
colly
85
4.6k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
For a Future-Friendly Web
brad_frost
176
9.7k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Side Projects
sachag
452
42k

Transcript

  1. Play with 🐐 in Kubernetes @kyohmizu

  2. whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用

    - セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu

  3. 今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です

  4. Kubernetes Goat?

  5. = やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群

    ✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる

  6. セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup

    bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh

  7. シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation

    ✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP

  8. 個人的に気になったシナリオについて、 ネタバレしない程度にご紹介

  9. Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅

    初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも

  10. Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅

    実行を防ぐ側の視点で考えてみるのも面白い

  11. Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し

    kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh

  12. 年末年始のお供にいかがでしょうか?

  13. Thank you!