Pro Yearly is on sale from $80 to $50! »

K8sNativeSecurityToolkit

Cb589ae8a2f09067e4412d6d56bc339a?s=47 matsuo
June 30, 2020

 K8sNativeSecurityToolkit

Cb589ae8a2f09067e4412d6d56bc339a?s=128

matsuo

June 30, 2020
Tweet

Transcript

  1. マスター タイトルの書式設定 Kubernetes-native security tool kit を触ってみた Kubernetes Novice Tokyo

    #2 - LT
  2. マスター タイトルの書式設定 自己紹介 • 名前 : 松尾 • 所属 :

    株式会社オージス総研 • 職種 : インフラエンジニア 1
  3. マスター タイトルの書式設定 Kubernetes security 2

  4. マスター タイトルの書式設定 Kubernetes security 3 • You can think about

    security in layers. • The 4C's of Cloud Native security are Cloud, Clusters, Containers, and Code. https://kubernetes.io/docs/concepts/security/overview/
  5. マスター タイトルの書式設定 Kubernetes security 4 • Cloud • Network, Host,

    Endpoint security • Data protection and encryption • Identity and Access management • Vulnerlability and Config analytics • Logging, Monitoring, Tracing • ・・・
  6. マスター タイトルの書式設定 Kubernetes security 5 • Cluster • RBAC •

    Authentication • Application secrets management • Pod Security Policies • Network Policies • ・・・
  7. マスター タイトルの書式設定 Kubernetes security 6 • Container • Container Vulnerability

    • Image signing and Enforcement • Disallow privileged users • ・・・
  8. マスター タイトルの書式設定 Kubernetes security 7 • Code • 3rd Party

    Dependency Security • Statice Code Analysis • Dynamic probing attacks • ・・・
  9. マスター タイトルの書式設定 How to secure 8

  10. マスター タイトルの書式設定 How to secure 9 • Code • Lint,

    UnitTest • Code review • ・・・ • Container • Scanning - Trivy • Check dockerfile – hadolint • ・・・ • Cluster • Yaml Test - Kubeval, kubetest • REGO test – conftest, gatekeeper • ・・・ • Cloud(AWS) • IAM least privilege principle • Backup volume and use KMS • Use optimized AMI • Guardduty • Cloudwatch • ・・・
  11. マスター タイトルの書式設定 How to operate 10

  12. マスター タイトルの書式設定 How to operate 11 L oG Log lO

    g loG Ops Visualization Report
  13. マスター タイトルの書式設定 How to operate 12 LoG Log lO g

    loG K8s Native Security Tool kit Visualization Report Ops Security Tools
  14. マスター タイトルの書式設定 Kubernetes-native security tool kit ? 13

  15. マスター タイトルの書式設定 Kubernetes-native security tool kit 14 • Integrates security

    tools into the k8s environment. • Users can find and view risks. • Starboard provides CRD and go module to work with those tools. • v0.2.5 (2020/6/28) https://github.com/aquasecurity/starboard • Overview
  16. マスター タイトルの書式設定 Kubernetes-native security tool kit 15 • Architecture https://blog.aquasec.com/starboard-kubernetes-tools

  17. マスター タイトルの書式設定 Kubernetes-native security tool kit 16 • Integrate •

    Container Vulnerability scan - Trivy • K8sWorkload governance - Fairwinds Polaris • CIS k8s Benchmark check - Kube-bench • K8s Penetration test – kube-hunter
  18. マスター タイトルの書式設定 Kubernetes-native security tool kit 17 • Roadmap •

    Roll-up of security risk information in each namespace • Starboard Admission Webhook that can take policy decisions based on the security information from any Starboard-compatible CRD • ・・・ https://blog.aquasec.com/starboard-kubernetes-tools
  19. マスター タイトルの書式設定 Getting Started 18

  20. マスター タイトルの書式設定 Getting Started 19 Starboard # wget https://github.com/aquasecurity/starboard/releases/download/v0.2.1/starboard_linux_x86_64.tar.gz #

    tar zxvf starboard_linux_x86_64.tar.gz # mv starboard /usr/local/bin/ # starboard init # kubectl create deployment nginx --image nginx:1.16 Octant # wget octant.rpm && rpm -ivh octant.rpm # wget https://github.com/aquasecurity/starboard-octant-plugin/releases/download/v0.2.0/starboard-octant-plugin_linux_x86_64.tar.gz # tar zxvf starboard-octant-plugin_linux_x86_64.tar.gz # mkdir -p $HOME/.config/octant/plugins # mv starboard-octant-plugin $HOME/.config/octant/plugins # OCTANT_LISTENER_ADDR=0.0.0.0:8900 octant
  21. マスター タイトルの書式設定 Getting Started 20 Octant overview

  22. マスター タイトルの書式設定 Getting Started 21 Check # starboard find vulnerabilities

    pod/nginx- 59d5958c9f-66j5d --namespace default
  23. マスター タイトルの書式設定 Getting Started 22 Check # starboard polaris

  24. マスター タイトルの書式設定 Getting Started 23 Check # starboard kube-hunter

  25. マスター タイトルの書式設定 Getting Started 24 Starboard CLI Usage: starboard [command]

    Available Commands: cleanup Delete custom resource definitions created by starboard find Manage security scanners get Get security reports help Help about any command init Create custom resource definitions used by starboard kube-bench Run the CIS Kubernetes Benchmark https://www.cisecurity.org/benchmark/kubernetes kube-hunter Hunt for security weaknesses polaris Run a variety of checks to ensure that Kubernetes pods and controllers are configured using best practices rbac Get RBAC config to run starboard version Print the version information
  26. マスター タイトルの書式設定 Takeaways 25

  27. マスター タイトルの書式設定 Takeaways 26 Points of interest to me •

    Operational Functions • Filtering of vulnerability check results in octant • PCI-DSS / HIPAA / GDPR • Issue Management / Triage • Alerting / Reporting • Availability of CSRD
  28. マスター タイトルの書式設定 If you’re interested, let’s contribute to starboard and

    grow it! 27