Upgrade to Pro — share decks privately, control downloads, hide ads and more …

security-profiles-operatorをさわってみた / try-security-profiles-operator

Naoki Oketani
November 25, 2021
Technology
0
1.6k

security-profiles-operatorをさわってみた / try-security-profiles-operator

Kubernetes Meetup Tokyo #47

登壇ふりかえり
Kubernetes Meetup Tokyo #47 で登壇しました

Naoki Oketani

November 25, 2021
Tweet

More Decks by Naoki Oketani

See All by Naoki Oketani
Observe the Conference / observe-the-conference
okepy
0
350
最小権限を目指して / least privilege of service account
okepy
0
1k
kubectl debugを試してみた / k8snovice8-kubectl-debug
okepy
0
1.4k

Other Decks in Technology

See All in Technology
Amazon EventBridge Schedulerを用いて Amazon QuickSightの運用を改善した話
shogo452
1
210
cgroup の歩き方 / TechFeed Experts Night #19
tenforward
0
220
MySQL and Vitess (and Kubernetes) at HubSpot
jfg956
0
110
ChatGPTとこころを整理してみる
nagauta
0
270
Get started with OSS contributions
sinsoku
2
550
Vault Secrets Operator と Dynamic Secrets で安全にシークレットを使おう / Vault Secrets Operator and Dynamic Secrets
nnstt1
2
120
SWEBOK V3からV4への改訂に見るソフトウェアエンジニアリングの発展とソフトウェア保守・進化
washizaki
0
250
私が考えるCloudflareサービスが中小企業にもたらすインパクト
matyuda
0
130
Mirror mirror... what am I typing next?
spinscale
0
150
TrivyでAWSセキュリティをシフトレフトしよう
bitkey
PRO
1
470
20230519_企業でのChatGPT活用と注意点(15min版)_v1.00_共有用
doradora09
0
240
DevSecOpsへの展開〜全てのチームの能力を最大限に引き出す/Expanding to DevSecOps
newrelic2023
0
190

Featured

See All Featured
Scaling GitHub
holman
453
140k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
110
17k
Typedesign – Prime Four
hannesfritz
34
1.6k
GraphQLの誤解/rethinking-graphql
sonatard
41
8.2k
Optimizing for Happiness
mojombo
366
66k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
The Language of Interfaces
destraynor
149
21k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.7k
Building Adaptive Systems
keathley
29
1.5k
The Cult of Friendly URLs
andyhume
70
5.2k
Designing for Performance
lara
601
65k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k

Transcript

  1. security-profiles-operatorをさわってみた
    @ngoktanio @oke-py
    2021.11.25 Kubernetes Meetup Tokyo #47

    View Slide

  2. 本発表の目的
    seccompやAppArmorの
    ● 導入検討のきっかけとなる
    ● 導入、運用事例があったら教えてほしい

    View Slide

  3. モチベーション
    多層防御(Defense In Depth)の一要素として
    セキュリティプロファイルを利用してみたい
    Certified Kubernetes Security Specialist (CKS) Exam Curriculum
    https://github.com/cncf/curriculum/blob/master/CKS_Curriculum_%20v1.22.pdf

    View Slide

  4. セキュリティプロファイルの例
    AppArmor, SELinux
     ファイルアクセスを細かく制御する
    seccomp
     不要なシステムコールの呼び出しを禁止する
    Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド
    https://book.mynavi.jp/ec/products/detail/id=114099

    View Slide

  5. Podにseccompプロファイルを適用する方法
    1. ホストでプロファイルを有効化する
    2. Pod定義でプロファイルを指定する
    Restrict a Container's Syscalls with seccomp
    https://kubernetes.io/docs/tutorials/clusters/seccomp/

    View Slide

  6. セキュリティプロファイルの導入決定(フィクション)
    Sec「全社的にseccompの導入を必須としました」
    Dev「ホストにログインできない。Opsさん、よろしく」
    Ops「サービスごとにプロファイルを変えるのしんどい」

    View Slide

  7. kubernetes-sigs/security-profiles-operator

    View Slide

  8. https://github.com/kubernetes-sigs/security-profiles-operator

    View Slide

  9. security-profile-operatorのインストール
    検証環境
    インストール
    https://github.com/kubernetes-sigs/security-profiles-operator/blob/master/installation-usage.md

    View Slide

  10. SeccompProfileの適用

    View Slide

  11. SeccompProfileを利用するPodの実行

    View Slide

  12. 禁止されているシステムコールを呼び出す
    Operation not permitted !!!

    View Slide

  13. まとめ
    ● セキュリティプロファイルを利用してより堅牢に
    ● security-profiles-operatorに期待?
    ○ 最新リリース(v0.3.0)は半年以上前・・・
    ○ masterブランチはそれなりに更新されている
    ● SDLCにどう組み込めるか?
    ○ プロファイルの作成、検証が大変そう
    ○ docker-slimを使えばいけそう?

    View Slide

  14. 参考資料
    Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド
    https://book.mynavi.jp/ec/products/detail/id=114099
    Hacking Kubernetes
    https://www.oreilly.com/library/view/hacking-kubernetes/9781492081722/
    Restrict a Container's Syscalls with seccomp
    https://kubernetes.io/docs/tutorials/clusters/seccomp/
    Restrict a Container's Access to Resources with AppArmor
    https://kubernetes.io/docs/tutorials/clusters/apparmor/
    Kubernetes Security Profiles Operator
    https://github.com/kubernetes-sigs/security-profiles-operator
    Managing Kubernetes seccomp profiles with security profiles operator
    https://medium.com/@LachlanEvenson/managing-kubernetes-seccomp-profiles-with-security-profiles-operator-c768cff58b0

    View Slide