Upgrade to Pro — share decks privately, control downloads, hide ads and more …

security-profiles-operatorをさわってみた / try-securit...

Avatar for Naoki Oketani Naoki Oketani
November 25, 2021
Technology
2.4k
0

security-profiles-operatorをさわってみた / try-security-profiles-operator

Kubernetes Meetup Tokyo #47

登壇ふりかえり
Kubernetes Meetup Tokyo #47 で登壇しました

Avatar for Naoki Oketani

Naoki Oketani

November 25, 2021

More Decks by Naoki Oketani

See All by Naoki Oketani
Observe the Conference / observe-the-conference
Avatar for Naoki Oketani okepy
0
490
最小権限を目指して / least privilege of service account
Avatar for Naoki Oketani okepy
0
1.8k
kubectl debugを試してみた / k8snovice8-kubectl-debug
Avatar for Naoki Oketani okepy
0
2.3k

Other Decks in Technology

See All in Technology
手塩にかけりゃいいってもんじゃない
Avatar for ming ming_ayami
0
550
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
Avatar for Eric Deandrea edeandrea
PRO
1
150
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
Avatar for Koji Miyata miyatakoji
0
640
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
Avatar for Recruit recruitengineers
PRO
1
140
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
1
350
攻撃者視点で考えるDetection Engineering
Avatar for Ruslan Sayfiev cryptopeg
2
1.6k
自宅LLMの話
Avatar for Kazuto Kusama jacopen
1
510
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
Avatar for Yuuki Yamashita yama3133
2
140
Android の公式 Skill / Android skills
Avatar for Yuki Anzai yanzm
0
140
Snowflakeと仲良くなる第一歩
Avatar for あべ coco_se
4
440
2026TECHFRESH畢業分享會 - Lightning Talk - 打造精準高效的 MCP 設計模式與測試實務
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
930
20260619 私の日常業務での生成 AI 活用
Avatar for Masaru Ogura masaruogura
1
170

Featured

See All Featured
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
6k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.5k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
360
30k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.2k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
56k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
330
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
350
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.9k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
410

Transcript

  1. security-profiles-operatorをさわってみた @ngoktanio @oke-py 2021.11.25 Kubernetes Meetup Tokyo #47

  2. 本発表の目的 seccompやAppArmorの • 導入検討のきっかけとなる • 導入、運用事例があったら教えてほしい

  3. モチベーション 多層防御(Defense In Depth)の一要素として セキュリティプロファイルを利用してみたい Certified Kubernetes Security Specialist (CKS)

    Exam Curriculum https://github.com/cncf/curriculum/blob/master/CKS_Curriculum_%20v1.22.pdf

  4. セキュリティプロファイルの例 AppArmor, SELinux  ファイルアクセスを細かく制御する seccomp  不要なシステムコールの呼び出しを禁止する Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099

  5. Podにseccompプロファイルを適用する方法 1. ホストでプロファイルを有効化する 2. Pod定義でプロファイルを指定する Restrict a Container's Syscalls with

    seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/

  6. セキュリティプロファイルの導入決定(フィクション) Sec「全社的にseccompの導入を必須としました」 Dev「ホストにログインできない。Opsさん、よろしく」 Ops「サービスごとにプロファイルを変えるのしんどい」

  7. kubernetes-sigs/security-profiles-operator

  8. https://github.com/kubernetes-sigs/security-profiles-operator

  9. security-profile-operatorのインストール 検証環境 インストール https://github.com/kubernetes-sigs/security-profiles-operator/blob/master/installation-usage.md

  10. SeccompProfileの適用

  11. SeccompProfileを利用するPodの実行

  12. 禁止されているシステムコールを呼び出す Operation not permitted !!!

  13. まとめ • セキュリティプロファイルを利用してより堅牢に • security-profiles-operatorに期待? ◦ 最新リリース(v0.3.0)は半年以上前・・・ ◦ masterブランチはそれなりに更新されている •

    SDLCにどう組み込めるか? ◦ プロファイルの作成、検証が大変そう ◦ docker-slimを使えばいけそう?

  14. 参考資料 Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099 Hacking Kubernetes https://www.oreilly.com/library/view/hacking-kubernetes/9781492081722/ Restrict a Container's Syscalls

    with seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/ Restrict a Container's Access to Resources with AppArmor https://kubernetes.io/docs/tutorials/clusters/apparmor/ Kubernetes Security Profiles Operator https://github.com/kubernetes-sigs/security-profiles-operator Managing Kubernetes seccomp profiles with security profiles operator https://medium.com/@LachlanEvenson/managing-kubernetes-seccomp-profiles-with-security-profiles-operator-c768cff58b0