Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最小権限を目指して / least privilege of service account

Avatar for Naoki Oketani Naoki Oketani
December 07, 2021
Technology
1.8k
0

最小権限を目指して / least privilege of service account

Kubernetes Novice Tokyo #15

補足資料
https://github.com/oke-py/k8snovice15

登壇ふりかえり
Kubernetes Novice Tokyo #15 で登壇しました

Avatar for Naoki Oketani

Naoki Oketani

December 07, 2021

More Decks by Naoki Oketani

See All by Naoki Oketani
Observe the Conference / observe-the-conference
Avatar for Naoki Oketani okepy
0
490
security-profiles-operatorをさわってみた / try-security-profiles-operator
Avatar for Naoki Oketani okepy
0
2.4k
kubectl debugを試してみた / k8snovice8-kubectl-debug
Avatar for Naoki Oketani okepy
0
2.3k

Other Decks in Technology

See All in Technology
AI駆動開発を通して感じた、 AI時代のデザイナーの役割変化
Avatar for WHIsaiyo whisaiyo
3
2k
FinOps × AIエージェントで実現する コストインシデントの自動調査
Avatar for T.REX oasis1994liveforever
0
130
10倍の生産性を実現するAI駆動並列エージェントのすべて
Avatar for 熊井悠 kumaiu
5
1.4k
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
Avatar for Yuuki Yamashita yama3133
2
140
「エンジニア進化論」2028年の開発完全自動化、エンジニアはどう進化するか
Avatar for CyberAgent cyberagentdevelopers
PRO
6
5k
SONiCのLinuxベースを活かしたZabbix監視
Avatar for SONiC Users Group Japan sonic
0
110
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
920
小さくはじめるSLI/SLO ~育てながら組織に定着させる実践知~ / Starting Small with SLI/SLOs: Building Adoption Through Continuous Growth
Avatar for Narimichi Takamura nari_ex
7
1.9k
On-behalf-of Token exchange with AgentCore Identity
Avatar for iganin hironobuiga
2
160
AIのReact習熟度を測る
Avatar for uhyo uhyo
2
340
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
220
AGENTS.mdとSkillsで始めるAIエージェント活用
Avatar for そのだ sonoda_mj
3
210

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
220k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
200
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
2
570
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.2k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
580
Visualization
Avatar for Eitan Lees eitanlees
152
17k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.7k
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
3
440
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
360

Transcript

  1. 最小権限を目指して @ngoktanio @oke-py 2021.12.7 Kubernetes Novice Tokyo #15

  2. 自己紹介 桶谷 直樹(おけたに なおき) • CISO室 セキュリティ監視室 ◦ Kubernetes ◦

    AWS • CloudNative Days 実行委員

  3. 目次 • なぜ最小権限を目指すのか • クラスター内の操作権限をどう小さくするか • クラスター外の操作権限をどう小さくするか ◦ IAM Roles

    for Service Accounts(AWS) ◦ Workload Identity(GCP)

  4. なぜ最小権限を目指すのか

  5. 最小権限はリスクを軽減する もし、攻撃された人やアプリケーションが 管理者権限を持っていたら? サイバー攻撃 マルウェア拡散 内部不正

  6. どの程度まで最小を追求するのか 「受容できないビジネス影響をもたらしうる権限」を特定 最小権限実現への4ステップアプローチ 前編 https://aws.amazon.com/jp/blogs/news/systematic-approach-for-least-privileges-jp/

  7. 今日話すこと: ServiceAccountの権限を小さくする

  8. クラスター内の操作権限をどう小さくするか

  9. クラスター内

  10. クラスター内の操作権限 ClusterRole Role ClusterRoleBinding RoleBinding

  11. kubectl pluginを活用する • rbac-tool https://github.com/alcideio/rbac-tool • rolesum https://github.com/Ladicle/kubectl-rolesum • who-can

    https://github.com/aquasecurity/kubectl-who-can

  12. kubectl rbac-tool viz

  13. kubectl rbac-tool analyze

  14. 注意点の例 • そのServiceAccountはSecretを参照できてよい? ◦ アクセス可能なSecretを利用して権限昇格されることも • そのServiceAccountはPodを作成できてよい? ◦ コインマイナーを実行されるかも ◦

    侵入拡大(Lateral Movement)に利用されるかも • Helm Chartで作成されるRoleも要確認 ◦ cluster-adminを要求する例も

  15. クラスター外の操作権限をどう小さくするか

  16. クラスター外

  17. NodeにIAMロールを適用する CloudNative Daysで利用している方法 https://github.com/cloudnativedaysjp/dreamkast-infra/blob/main/cfn/eks-nodes-bottlerocket.yaml

  18. NodeにIAMロールを適用する懸念点 機微性の異なるPodに一律に権限が付与される 例: ブログの脆弱性を悪用して 個人情報を保存している DBにアクセスされる

  19. ワークロードごとに異なるIAMロールを適用する

  20. ワークロードごとに異なるIAMロールを適用する IAM ServiceAccountとKubernetes ServiceAccountを紐付ける AWS: IAM Roles for Service Accounts(IRSA)

    GCP: Workload Identity CloudNative DaysでもIRSAの導入をはじめている

  21. IAMロールに割り当てる権限を見直す IRSAやWorkload Identityを利用したからといって 全ワークロードに管理者権限を付与していたら意味がない • FullAccessをReadonlyAccessに変更する • IAMポリシーを分析する ◦ AWS:

    IAM Access Advisor ◦ GCP: Policy Analyzer

  22. まとめ ビジネス影響を鑑み、最小権限の実現を目指そう • アクセス権を可視化し、リスクを特定する ◦ kubectl rbac-tool ◦ AWS: IAM

    Access Advisor ◦ GCP: Policy Analyzer • ワークロードごとに異なる権限を付与する ◦ AWS: IRSA ◦ GCP: Workload Identity

  23. おわりに IRSAを試してみる手順をまとめました。 ぜひ手を動かしてみてください。 https://github.com/oke-py/k8snovice15 後日でも構いませんので 「よくわからん」「今度はこれを聞きたい」などあれば   @ngoktanio に遠慮なくご連絡ください。

  24. 参考資料 最小権限実現への4ステップアプローチ 前編 https://aws.amazon.com/jp/blogs/news/systematic-approach-for-least-privileges-jp/ 最小特権の原則(PoLP) https://www.cyberark.com/ja/what-is/least-privilege/ IAM アクセスアナライザー と IAM

    アクセスアドバイザー をもう二度と混同しないために絵をかいて理解してみた https://dev.classmethod.jp/articles/iam-accessanalyzer-vs-iam-accessadvisor/ IAM ポリシーの分析 https://cloud.google.com/asset-inventory/docs/analyzing-iam-policy Amazon EKS ノードの IAM ロール https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/create-node-role.html サービスアカウントの IAM ロールとポリシーの作成 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/create-service-account-iam-policy-and-role.html Workload Identity の使用 https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity