K8sNativeSecurityToolkit

Transcript

1. 1.

   マスター タイトルの書式設定 Kubernetes-native security tool kit を触ってみた Kubernetes Novice Tokyo

   #2 - LT
2. 2.

   マスター タイトルの書式設定 自己紹介 • 名前 : 松尾 • 所属 :

   株式会社オージス総研 • 職種 : インフラエンジニア 1
3. 3.

   マスター タイトルの書式設定 Kubernetes security 2

4. 4.

   マスター タイトルの書式設定 Kubernetes security 3 • You can think about

   security in layers. • The 4C's of Cloud Native security are Cloud, Clusters, Containers, and Code. https://kubernetes.io/docs/concepts/security/overview/
5. 5.

   マスター タイトルの書式設定 Kubernetes security 4 • Cloud • Network, Host,

   Endpoint security • Data protection and encryption • Identity and Access management • Vulnerlability and Config analytics • Logging, Monitoring, Tracing • ・・・
6. 6.

   マスター タイトルの書式設定 Kubernetes security 5 • Cluster • RBAC •

   Authentication • Application secrets management • Pod Security Policies • Network Policies • ・・・
7. 7.

   マスター タイトルの書式設定 Kubernetes security 6 • Container • Container Vulnerability

   • Image signing and Enforcement • Disallow privileged users • ・・・
8. 8.

   マスター タイトルの書式設定 Kubernetes security 7 • Code • 3rd Party

   Dependency Security • Statice Code Analysis • Dynamic probing attacks • ・・・
9. 9.

   マスター タイトルの書式設定 How to secure 8

10. 10.

    マスター タイトルの書式設定 How to secure 9 • Code • Lint,

    UnitTest • Code review • ・・・ • Container • Scanning - Trivy • Check dockerfile – hadolint • ・・・ • Cluster • Yaml Test - Kubeval, kubetest • REGO test – conftest, gatekeeper • ・・・ • Cloud(AWS) • IAM least privilege principle • Backup volume and use KMS • Use optimized AMI • Guardduty • Cloudwatch • ・・・
11. 11.

    マスター タイトルの書式設定 How to operate 10

12. 12.

    マスター タイトルの書式設定 How to operate 11 L oG Log lO

    g loG Ops Visualization Report
13. 13.

    マスター タイトルの書式設定 How to operate 12 LoG Log lO g

    loG K8s Native Security Tool kit Visualization Report Ops Security Tools
14. 14.

    マスター タイトルの書式設定 Kubernetes-native security tool kit ? 13

15. 15.

    マスター タイトルの書式設定 Kubernetes-native security tool kit 14 • Integrates security

    tools into the k8s environment. • Users can find and view risks. • Starboard provides CRD and go module to work with those tools. • v0.2.5 (2020/6/28) https://github.com/aquasecurity/starboard • Overview
16. 16.

    マスター タイトルの書式設定 Kubernetes-native security tool kit 15 • Architecture https://blog.aquasec.com/starboard-kubernetes-tools

17. 17.

    マスター タイトルの書式設定 Kubernetes-native security tool kit 16 • Integrate •

    Container Vulnerability scan - Trivy • K8sWorkload governance - Fairwinds Polaris • CIS k8s Benchmark check - Kube-bench • K8s Penetration test – kube-hunter
18. 18.

    マスター タイトルの書式設定 Kubernetes-native security tool kit 17 • Roadmap •

    Roll-up of security risk information in each namespace • Starboard Admission Webhook that can take policy decisions based on the security information from any Starboard-compatible CRD • ・・・ https://blog.aquasec.com/starboard-kubernetes-tools
19. 19.

    マスター タイトルの書式設定 Getting Started 18

20. 20.

    マスター タイトルの書式設定 Getting Started 19 Starboard # wget https://github.com/aquasecurity/starboard/releases/download/v0.2.1/starboard_linux_x86_64.tar.gz #

    tar zxvf starboard_linux_x86_64.tar.gz # mv starboard /usr/local/bin/ # starboard init # kubectl create deployment nginx --image nginx:1.16 Octant # wget octant.rpm && rpm -ivh octant.rpm # wget https://github.com/aquasecurity/starboard-octant-plugin/releases/download/v0.2.0/starboard-octant-plugin_linux_x86_64.tar.gz # tar zxvf starboard-octant-plugin_linux_x86_64.tar.gz # mkdir -p $HOME/.config/octant/plugins # mv starboard-octant-plugin $HOME/.config/octant/plugins # OCTANT_LISTENER_ADDR=0.0.0.0:8900 octant
21. 21.

    マスター タイトルの書式設定 Getting Started 20 Octant overview

22. 22.

    マスター タイトルの書式設定 Getting Started 21 Check # starboard find vulnerabilities

    pod/nginx- 59d5958c9f-66j5d --namespace default
23. 23.

    マスター タイトルの書式設定 Getting Started 22 Check # starboard polaris

24. 24.

    マスター タイトルの書式設定 Getting Started 23 Check # starboard kube-hunter

25. 25.

    マスター タイトルの書式設定 Getting Started 24 Starboard CLI Usage: starboard [command]

    Available Commands: cleanup Delete custom resource definitions created by starboard find Manage security scanners get Get security reports help Help about any command init Create custom resource definitions used by starboard kube-bench Run the CIS Kubernetes Benchmark https://www.cisecurity.org/benchmark/kubernetes kube-hunter Hunt for security weaknesses polaris Run a variety of checks to ensure that Kubernetes pods and controllers are configured using best practices rbac Get RBAC config to run starboard version Print the version information
26. 26.

    マスター タイトルの書式設定 Takeaways 25

27. 27.

    マスター タイトルの書式設定 Takeaways 26 Points of interest to me •

    Operational Functions • Filtering of vulnerability check results in octant • PCI-DSS / HIPAA / GCPR • Issue Management / Triage • Alerting / Reporting • Availability of CSRD
28. 28.

    マスター タイトルの書式設定 If you’re interested, let’s contribute to starboard and

    grow it! 27