Upgrade to Pro — share decks privately, control downloads, hide ads and more …

K8sNativeSecurityToolkit

Cb589ae8a2f09067e4412d6d56bc339a?s=47 matsuo
June 30, 2020
Technology
4
540

 K8sNativeSecurityToolkit

Cb589ae8a2f09067e4412d6d56bc339a?s=128

matsuo

June 30, 2020
Tweet

More Decks by matsuo

See All by matsuo
how-to-make-the-helm-operator
Cb589ae8a2f09067e4412d6d56bc339a?s=48 matsu1235
0
150
CI details in Kubernetes
Cb589ae8a2f09067e4412d6d56bc339a?s=48 matsu1235
5
980
CI in kubernetes
Cb589ae8a2f09067e4412d6d56bc339a?s=48 matsu1235
1
3.6k
DockerCompose to k8s
Cb589ae8a2f09067e4412d6d56bc339a?s=48 matsu1235
0
870

Other Decks in Technology

See All in Technology
インタラクティブなメディアの地図投影法: WebメルカトルからAdaptive Projectionsへ / MIERUNE 社内勉強会 #033
C6b97a47d5406cfdef50a5c755751c16?s=48 sorami
2
210
チームとチームのチーム
1a679952cdf455ecd6a15cbde7ae80d5?s=48 eiel
1
910
データをモデリングしていたら、組織をモデリングし始めた話 / engineers-in-carta-vol3-data-engineer
F3358acf3b3f8423f2db7718b51b5022?s=48 pei0804
4
3.2k
MoT TechTalk #12 タクシーアプリ『GO』大規模トラフィックを捌く分析データ基盤の全容に迫る!
44a210d1299a727e9d601a47dfedeabf?s=48 mot_techtalk
0
330
マネージャーからみたスクラムと自己管理化
D14332b39b012820d44d362a3e2a8d98?s=48 shibe23
0
970
複数のスクラムチームをサポートするエンジニアリングマネジメントの話
4bddf664b03da8ad6b8d61660dcdc682?s=48 okeicalm
0
990
2022年度新卒技術研修「Docker」講義
094e424062f60b011a0d0b294fbc17e4?s=48 excitejp
PRO
0
360
1人目SETとして入社して2ヶ月の間におこなったこと
81e0ce50877c71b7825914c017e0dda2?s=48 tarappo
3
410
機械学習システムアーキテクチャ入門 #1
8fa31051503b09846584c49cd53d2f80?s=48 asei
3
1.2k
Scrum Fest Osaka 2022 フルリモート下でのチームビルディング
478bd912a17b65fa0ab8c1d81912b9b1?s=48 moritamasami
2
1k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
640727b1a8120669de9b6d7f1d469893?s=48 ch6noota
0
690
The application of formal methods in Kafka reliability engineering
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
0
110

Featured

See All Featured
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
100
5.9k
Rebuilding a faster, lazier Slack
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
62
7.2k
Designing for Performance
245cee81a9c424266e5e401d844ea881?s=48 lara
597
63k
XXLCSS - How to scale CSS and keep your sanity
1b8ad785acdd1ce1c99914b1c2a4e10e?s=48 sugarenia
236
1M
WebSockets: Embracing the real-time Web
E76911cbe088e5b850d966de3fc7435b?s=48 robhawkes
57
5.1k
Raft: Consensus for Rubyists
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
126
5.4k
Building a Scalable Design System with Sketch
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
447
30k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
The Straight Up "How To Draw Better" Workshop
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
225
120k
JavaScript: Past, Present, and Future - NDC Porto 2020
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
37
3.2k
For a Future-Friendly Web
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
166
7.4k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k

Transcript

  1. マスター タイトルの書式設定 Kubernetes-native security tool kit を触ってみた Kubernetes Novice Tokyo

    #2 - LT

  2. マスター タイトルの書式設定 自己紹介 • 名前 : 松尾 • 所属 :

    株式会社オージス総研 • 職種 : インフラエンジニア 1

  3. マスター タイトルの書式設定 Kubernetes security 2

  4. マスター タイトルの書式設定 Kubernetes security 3 • You can think about

    security in layers. • The 4C's of Cloud Native security are Cloud, Clusters, Containers, and Code. https://kubernetes.io/docs/concepts/security/overview/

  5. マスター タイトルの書式設定 Kubernetes security 4 • Cloud • Network, Host,

    Endpoint security • Data protection and encryption • Identity and Access management • Vulnerlability and Config analytics • Logging, Monitoring, Tracing • ・・・

  6. マスター タイトルの書式設定 Kubernetes security 5 • Cluster • RBAC •

    Authentication • Application secrets management • Pod Security Policies • Network Policies • ・・・

  7. マスター タイトルの書式設定 Kubernetes security 6 • Container • Container Vulnerability

    • Image signing and Enforcement • Disallow privileged users • ・・・

  8. マスター タイトルの書式設定 Kubernetes security 7 • Code • 3rd Party

    Dependency Security • Statice Code Analysis • Dynamic probing attacks • ・・・

  9. マスター タイトルの書式設定 How to secure 8

  10. マスター タイトルの書式設定 How to secure 9 • Code • Lint,

    UnitTest • Code review • ・・・ • Container • Scanning - Trivy • Check dockerfile – hadolint • ・・・ • Cluster • Yaml Test - Kubeval, kubetest • REGO test – conftest, gatekeeper • ・・・ • Cloud(AWS) • IAM least privilege principle • Backup volume and use KMS • Use optimized AMI • Guardduty • Cloudwatch • ・・・

  11. マスター タイトルの書式設定 How to operate 10

  12. マスター タイトルの書式設定 How to operate 11 L oG Log lO

    g loG Ops Visualization Report

  13. マスター タイトルの書式設定 How to operate 12 LoG Log lO g

    loG K8s Native Security Tool kit Visualization Report Ops Security Tools

  14. マスター タイトルの書式設定 Kubernetes-native security tool kit ? 13

  15. マスター タイトルの書式設定 Kubernetes-native security tool kit 14 • Integrates security

    tools into the k8s environment. • Users can find and view risks. • Starboard provides CRD and go module to work with those tools. • v0.2.5 (2020/6/28) https://github.com/aquasecurity/starboard • Overview

  16. マスター タイトルの書式設定 Kubernetes-native security tool kit 15 • Architecture https://blog.aquasec.com/starboard-kubernetes-tools

  17. マスター タイトルの書式設定 Kubernetes-native security tool kit 16 • Integrate •

    Container Vulnerability scan - Trivy • K8sWorkload governance - Fairwinds Polaris • CIS k8s Benchmark check - Kube-bench • K8s Penetration test – kube-hunter

  18. マスター タイトルの書式設定 Kubernetes-native security tool kit 17 • Roadmap •

    Roll-up of security risk information in each namespace • Starboard Admission Webhook that can take policy decisions based on the security information from any Starboard-compatible CRD • ・・・ https://blog.aquasec.com/starboard-kubernetes-tools

  19. マスター タイトルの書式設定 Getting Started 18

  20. マスター タイトルの書式設定 Getting Started 19 Starboard # wget https://github.com/aquasecurity/starboard/releases/download/v0.2.1/starboard_linux_x86_64.tar.gz #

    tar zxvf starboard_linux_x86_64.tar.gz # mv starboard /usr/local/bin/ # starboard init # kubectl create deployment nginx --image nginx:1.16 Octant # wget octant.rpm && rpm -ivh octant.rpm # wget https://github.com/aquasecurity/starboard-octant-plugin/releases/download/v0.2.0/starboard-octant-plugin_linux_x86_64.tar.gz # tar zxvf starboard-octant-plugin_linux_x86_64.tar.gz # mkdir -p $HOME/.config/octant/plugins # mv starboard-octant-plugin $HOME/.config/octant/plugins # OCTANT_LISTENER_ADDR=0.0.0.0:8900 octant

  21. マスター タイトルの書式設定 Getting Started 20 Octant overview

  22. マスター タイトルの書式設定 Getting Started 21 Check # starboard find vulnerabilities

    pod/nginx- 59d5958c9f-66j5d --namespace default

  23. マスター タイトルの書式設定 Getting Started 22 Check # starboard polaris

  24. マスター タイトルの書式設定 Getting Started 23 Check # starboard kube-hunter

  25. マスター タイトルの書式設定 Getting Started 24 Starboard CLI Usage: starboard [command]

    Available Commands: cleanup Delete custom resource definitions created by starboard find Manage security scanners get Get security reports help Help about any command init Create custom resource definitions used by starboard kube-bench Run the CIS Kubernetes Benchmark https://www.cisecurity.org/benchmark/kubernetes kube-hunter Hunt for security weaknesses polaris Run a variety of checks to ensure that Kubernetes pods and controllers are configured using best practices rbac Get RBAC config to run starboard version Print the version information

  26. マスター タイトルの書式設定 Takeaways 25

  27. マスター タイトルの書式設定 Takeaways 26 Points of interest to me •

    Operational Functions • Filtering of vulnerability check results in octant • PCI-DSS / HIPAA / GDPR • Issue Management / Triage • Alerting / Reporting • Availability of CSRD

  28. マスター タイトルの書式設定 If you’re interested, let’s contribute to starboard and

    grow it! 27