Upgrade to Pro — share decks privately, control downloads, hide ads and more …

security-profiles-operatorをさわってみた / try security-profiles-operator

security-profiles-operatorをさわってみた / try security-profiles-operator

参考資料
Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド
https://book.mynavi.jp/ec/products/detail/id=114099
Hacking Kubernetes
https://www.oreilly.com/library/view/hacking-kubernetes/9781492081722/
Restrict a Container's Syscalls with seccomp
https://kubernetes.io/docs/tutorials/clusters/seccomp/
Restrict a Container's Access to Resources with AppArmor
https://kubernetes.io/docs/tutorials/clusters/apparmor/
Kubernetes Security Profiles Operator
https://github.com/kubernetes-sigs/security-profiles-operator
Managing Kubernetes seccomp profiles with security profiles operator
https://medium.com/@LachlanEvenson/managing-kubernetes-seccomp-profiles-with-security-profiles-operator-c768cff58b0

33dd5188ff5f608ca2a1e007b9528e6b?s=128

Naoki Oketani
PRO

November 25, 2021
Tweet

Transcript

  1. security-profiles-operatorをさわってみた @ngoktanio @oke-py 2021.11.25 Kubernetes Meetup Tokyo #47

  2. 本発表の目的 seccompやAppArmorの • 導入検討のきっかけとなる • 導入、運用事例があったら教えてほしい

  3. モチベーション 多層防御(Defense In Depth)の一要素として セキュリティプロファイルを利用してみたい Certified Kubernetes Security Specialist (CKS)

    Exam Curriculum https://github.com/cncf/curriculum/blob/master/CKS_Curriculum_%20v1.22.pdf
  4. セキュリティプロファイルの例 AppArmor, SELinux  ファイルアクセスを細かく制御する seccomp  不要なシステムコールの呼び出しを禁止する Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099

  5. Podにseccompプロファイルを適用する方法 1. ホストでプロファイルを有効化する 2. Pod定義でプロファイルを指定する Restrict a Container's Syscalls with

    seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/
  6. セキュリティプロファイルの導入決定(フィクション) Sec「全社的にseccompの導入を必須としました」 Dev「ホストにログインできない。Opsさん、よろしく」 Ops「サービスごとにプロファイルを変えるのしんどい」

  7. kubernetes-sigs/security-profiles-operator

  8. https://github.com/kubernetes-sigs/security-profiles-operator

  9. security-profile-operatorのインストール 検証環境 インストール https://github.com/kubernetes-sigs/security-profiles-operator/blob/master/installation-usage.md

  10. SeccompProfileの適用

  11. SeccompProfileを利用するPodの実行

  12. 禁止されているシステムコールを呼び出す Operation not permitted !!!

  13. まとめ • セキュリティプロファイルを利用してより堅牢に • security-profiles-operatorに期待? ◦ 最新リリース(v0.3.0)は半年以上前・・・ ◦ masterブランチはそれなりに更新されている •

    SDLCにどう組み込めるか? ◦ プロファイルの作成、検証が大変そう ◦ docker-slimを使えばいけそう?
  14. 参考資料 Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099 Hacking Kubernetes https://www.oreilly.com/library/view/hacking-kubernetes/9781492081722/ Restrict a Container's Syscalls

    with seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/ Restrict a Container's Access to Resources with AppArmor https://kubernetes.io/docs/tutorials/clusters/apparmor/ Kubernetes Security Profiles Operator https://github.com/kubernetes-sigs/security-profiles-operator Managing Kubernetes seccomp profiles with security profiles operator https://medium.com/@LachlanEvenson/managing-kubernetes-seccomp-profiles-with-security-profiles-operator-c768cff58b0