Hack Your Pod

Transcript

1. Hack your pod Ozan Seymen EMEA Application Modernization Practice Feb

   2025

2. pinger abc.nip.io

3. abc.nip.io grafana web-app pinger <service-ip>:8080 Load Balancing

4. abc.nip.io grafana web-app pinger <service-ip>:8080 Load Balancing

5. Node

6. Node Cloud Storage Cloud SQL

7. • Service Account Key JSON indiririm, onu orada burada kullanırım

   • Farklı kimlik sağlayıcılarından (örneğin, AWS, Azure, GitHub, AD, Kubernetes) gelen kimlikleri kullanarak Google Cloud servislerine güvenli erişim sağlamaya yarar. • Org Policy constraints/iam.disableServiceAccountKeyCreation, iam.serviceAccountKeyExposureResponse Workload Identity Federation pod Cloud Storage Cloud SQL Service Account Key download edenler bu akşam hepimize yemek ısmarlayacak Service account key Workload Identity Federation | IAM Docs Authenticate to Google Cloud APIs from GKE workloads Best practices for managing service account keys gcloud projects add-iam-policy-binding projects/123456789 \ --role=roles/container.clusterViewer \ --member=principal://iam.googleapis.com/…/ns/abc/sa/xyz

8. • Web uygulamalarına ve bulut kaynaklarına kullanıcı erişimini yönetmek ve

   denetlemek için tek kontrol noktası • IAP, kullanıcının tarayıcı kimlik bilgilerini kontrol eder. Eger bilinmiyorsa OAuth 2.0 Sign-In Flow ile kimlik bilgilerine ulaşır. • Kullanıcının kaynağa erişme yetkisinin olup olmadığını kontrol etmek için IAM rolü kullanılır. Identity Aware Proxy pinger Load Balancing Identity-Aware Proxy Roles and Permissions IAM Identity (Google | WIF) Yüzü gülene aldanma, sözü tatlıya kanma - 1 cloud.google.com/iap/docs/concepts-overview

9. • Güvenilmeyen kaynaklardan gelen ve “attestation” ile doğruluğu onaylanamayan image’lerin

   çalıştırılmasını engeller • “Enforcement” | “Continuous validation (preview)” • Örnek kullanımlar: ◦ Güvenlik taraması (Voucher | Kritis) ◦ build-by-cloud-build Binary Authorization Yüzü gülene aldanma, sözü tatlıya kanma - 2 Bad pod kubectl apply -f bad-pod.yaml --token=$TOKEN Farklı VPC Farklı project Farklı network

10. Built-in Security for Google Cloud Visibility Risk Management Threat Detection

    Compliance Reporting Asset Inventory Asset tracking Platform Misconfigurations OS, Application, Web app vulnerabilities Malicious activity in your Cloud Platform Malicious activity in your compute Best practices CIS 1.3, NIST 800-53 Industry Standards, PCI DSS v3.2.1, ISO 27001 Malicious activity in your kubernetes Attack Path Simulation + Attack Exposure Scores Security Command Center

11. ... ingress: - from: - ipBlock: cidr: 172.17.0.0/16 except: -

    172.17.1.0/24 - namespaceSelector: matchLabels: project: myproject - podSelector: matchLabels: role: frontend ... Network Policies Yandan kaynama yapmayalim grafana pinger • Istio (Istio on GKE) • Network Policies (control comms between Pods and Services)

12. • Authorized Networks – GKE Control Plane erişimini kontrol eden

    IP tabanlı bir güvenlik duvarı sağlar • --enable-private-endpoint Control Plane Koruması Bad pod kubectl apply -f bad-pod.yaml --token=$TOKEN Farklı VPC Farklı project Farklı network IP-Based Endpoint DNS-Based Endpoint (detaylar) • Her control plane için bir DNS/FQDN verilir. • Bu DNS noktasına Google Cloud API'lerine erişebilen herhangi bir ağdan erişim sağlanır. • IAM Policy (container.clusters.connect) • VPC Service Control

13. cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster

14. Thank you