最小権限を目指して / least privilege of service account

Transcript

1. 最小権限を目指して @ngoktanio @oke-py 2021.12.7 Kubernetes Novice Tokyo #15

2. 自己紹介 桶谷 直樹（おけたに なおき） • CISO室 セキュリティ監視室 ◦ Kubernetes ◦

   AWS • CloudNative Days 実行委員

3. 目次 • なぜ最小権限を目指すのか • クラスター内の操作権限をどう小さくするか • クラスター外の操作権限をどう小さくするか ◦ IAM Roles

   for Service Accounts（AWS） ◦ Workload Identity（GCP）

4. なぜ最小権限を目指すのか

5. 最小権限はリスクを軽減する もし、攻撃された人やアプリケーションが 管理者権限を持っていたら？ サイバー攻撃 マルウェア拡散 内部不正

6. どの程度まで最小を追求するのか 「受容できないビジネス影響をもたらしうる権限」を特定 最小権限実現への4ステップアプローチ 前編 https://aws.amazon.com/jp/blogs/news/systematic-approach-for-least-privileges-jp/

7. 今日話すこと: ServiceAccountの権限を小さくする

8. クラスター内の操作権限をどう小さくするか

9. クラスター内

10. クラスター内の操作権限 ClusterRole Role ClusterRoleBinding RoleBinding

11. kubectl pluginを活用する • rbac-tool https://github.com/alcideio/rbac-tool • rolesum https://github.com/Ladicle/kubectl-rolesum • who-can

    https://github.com/aquasecurity/kubectl-who-can

12. kubectl rbac-tool viz

13. kubectl rbac-tool analyze

14. 注意点の例 • そのServiceAccountはSecretを参照できてよい？ ◦ アクセス可能なSecretを利用して権限昇格されることも • そのServiceAccountはPodを作成できてよい？ ◦ コインマイナーを実行されるかも ◦

    侵入拡大（Lateral Movement）に利用されるかも • Helm Chartで作成されるRoleも要確認 ◦ cluster-adminを要求する例も

15. クラスター外の操作権限をどう小さくするか

16. クラスター外

17. NodeにIAMロールを適用する CloudNative Daysで利用している方法 https://github.com/cloudnativedaysjp/dreamkast-infra/blob/main/cfn/eks-nodes-bottlerocket.yaml

18. NodeにIAMロールを適用する懸念点 機微性の異なるPodに一律に権限が付与される 例: ブログの脆弱性を悪用して 個人情報を保存している DBにアクセスされる

19. ワークロードごとに異なるIAMロールを適用する

20. ワークロードごとに異なるIAMロールを適用する IAM ServiceAccountとKubernetes ServiceAccountを紐付ける AWS: IAM Roles for Service Accounts（IRSA）

    GCP: Workload Identity CloudNative DaysでもIRSAの導入をはじめている

21. IAMロールに割り当てる権限を見直す IRSAやWorkload Identityを利用したからといって 全ワークロードに管理者権限を付与していたら意味がない • FullAccessをReadonlyAccessに変更する • IAMポリシーを分析する ◦ AWS:

    IAM Access Advisor ◦ GCP: Policy Analyzer

22. まとめ ビジネス影響を鑑み、最小権限の実現を目指そう • アクセス権を可視化し、リスクを特定する ◦ kubectl rbac-tool ◦ AWS: IAM

    Access Advisor ◦ GCP: Policy Analyzer • ワークロードごとに異なる権限を付与する ◦ AWS: IRSA ◦ GCP: Workload Identity

23. おわりに IRSAを試してみる手順をまとめました。 ぜひ手を動かしてみてください。 https://github.com/oke-py/k8snovice15 後日でも構いませんので 「よくわからん」「今度はこれを聞きたい」などあれば 　 @ngoktanio に遠慮なくご連絡ください。

24. 参考資料 最小権限実現への4ステップアプローチ 前編 https://aws.amazon.com/jp/blogs/news/systematic-approach-for-least-privileges-jp/ 最小特権の原則（PoLP） https://www.cyberark.com/ja/what-is/least-privilege/ IAM アクセスアナライザー と IAM

    アクセスアドバイザー をもう二度と混同しないために絵をかいて理解してみた https://dev.classmethod.jp/articles/iam-accessanalyzer-vs-iam-accessadvisor/ IAM ポリシーの分析 https://cloud.google.com/asset-inventory/docs/analyzing-iam-policy Amazon EKS ノードの IAM ロール https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/create-node-role.html サービスアカウントの IAM ロールとポリシーの作成 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/create-service-account-iam-policy-and-role.html Workload Identity の使用 https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity