Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Prácticas de Seguridad en Kubernetes

Pablo Fredrikson
January 25, 2023
Programming
0
180

Prácticas de Seguridad en Kubernetes

Charla que di en un webinar con Arsys sobre las mejores prácticas para proteger tu cluster de Kubernetes.

Pablo Fredrikson

January 25, 2023
Tweet

More Decks by Pablo Fredrikson

See All by Pablo Fredrikson
CI/CD - Workana
pablokbs
1
96
Cómo funciona el Algoritmo de YouTube
pablokbs
1
54
Cómo ahorrar millones de dólares con Kubernetes en Producción
pablokbs
0
780
Almacenando métrics de Prometheus a largo plazo con Thanos
pablokbs
0
610
El estado de SRE en 2020
pablokbs
1
590
Usando Docker para nuestro entorno local
pablokbs
1
600
Kubernertes CRDs
pablokbs
0
200
Docker Meetup 22/11 - Keynote / Theseus
pablokbs
0
450
Desmitificando el Networking en Kubernetes
pablokbs
0
540

Other Decks in Programming

See All in Programming
改めて整理するWebアプリのビルド・デプロイの基本
os1ma
3
490
日常業務のカイゼンで図る開発チームへの貢献 - YAPC::Kyoto 2023
koluku
3
250
Dart3を試す
masumitsu
0
160
Modern Angular: Architectures with Standalone Components
manfredsteyer
PRO
0
470
Import Maps: The Next Evolution Step for Micro Frontends?
manfredsteyer
PRO
0
270
Rustの手続きマクロで黒魔術入門
lemolatoon
2
520
CyberAgentにおけるKubernetes as a Serviceの歩みと利用者を支える機能 / cainfra01-amsy810-kubernetes
masayaaoyama
1
800
APIスキーマ設計Tipsと (新)リッチエディタについて
microcms
1
580
DDD Demystified ~結局DDDとは何なのか?何でないのか?~ #phperkaigi_reject
77web
0
590
nekoIoTLT_CatAndColorSensor
nearmugi
0
570
Flaky Tests - Fighting Nightmares
leichteckig
0
190
ChatGPTで見えてきたクローンデジタルエンジニア構想 ~ポスト・エンジニア戦略~
en2zo
0
170

Featured

See All Featured
Producing Creativity
orderedlist
PRO
335
38k
Raft: Consensus for Rubyists
vanstee
130
5.7k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.2k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Web development in the modern age
philhawksworth
197
9.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
109
16k
Teambox: Starting and Learning
jrom
124
7.9k
How GitHub (no longer) Works
holman
299
140k
Intergalactic Javascript Robots from Outer Space
tanoku
261
26k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Unsuck your backbone
ammeep
659
56k
The Pragmatic Product Professional
lauravandoore
21
3.6k

Transcript

  1. Buenas prácticas
    de seguridad
    en Kubernetes
    Cloud
    Pablo Fredrikson - Principal SRE @ Split

    View Slide

  2. Pablo Fredrikson
    ● Principal SRE @ Split Software
    ● +15 años de experiencia
    ● +5 años con Kubernetes en Producción
    ● Pelado Nerd en YouTube

    View Slide

  3. Kubernetes en 3 minutos - Conceptos
    ● Pods
    ● Workers: Nodos, VMs
    ● Masters: Controllers, Schedulers, API

    View Slide

  4. MASTER
    API server
    Kube Scheduler
    Controller Manager
    Cloud Controller
    Manager
    API
    Kubernetes
    Cluster
    Services
    API
    Kubernetes
    Cluster
    Services
    API
    etcd
    deployment
    pod1:
    - container1
    - container2
    replicas: 3
    pod2:
    - container3
    replicas: 2 Kubelet Kubelet
    Kubelet
    P1R3
    P1R1
    P2R1
    P1R2
    P2R2
    Kubernetes en 3 minutos

    View Slide

  5. Kubelet
    P2R1
    Kubelet
    P1R2
    Kubelet
    Kubernetes
    Cluster
    Services
    API
    deployment
    pod1:
    - container1
    - container2
    replicas: 3
    pod2:
    - container3
    replicas: 2
    P1R3
    P1R1
    P2R2
    P1R3
    P1R1
    Kubernetes en 3 minutos

    View Slide

  6. Kubernetes es un orquestador

    View Slide

  7. Kubernetes es una API

    View Slide

  8. ¿Cómo protegemos nuestro cluster?
    ● Por fuera: API
    ● Por dentro: Seguridad en contenedores

    View Slide

  9. Por fuera: Kubernetes es una API

    View Slide

  10. Por fuera: Kubernetes es una API

    View Slide

  11. Protegiendo la API de Kubernetes
    ● Priorizar seguridad / No exponer más información de la necesaria
    ● Inventariar y manejar las API
    ● Usar una solución robusta de autorización y autenticación
    ● Practicar el principio de los privilegios mínimos
    ● Cifrar el tráfico usando TLS
    ● Quitar/limitar información que no debería ser compartida
    ● Validar datos ingeridos
    Ordenando un poquito la lista

    View Slide

  12. Protegiendo la API de Kubernetes
    ● Bloquear acceso externo
    ● Mantener Kubernetes actualizado
    ○ Estar al tanto de vulnerabilidades: https://kubernetes.io/security
    Priorizando la seguridad / No exponer más información de la necesaria

    View Slide

  13. Protegiendo la API de Kubernetes
    Priorizando la seguridad

    View Slide

  14. Protegiendo la API de Kubernetes
    ● Kubernetes CRD son geniales!
    ○ Permiten crear y controlar tus propios recursos
    ○ Extiende la API de Kubernetes
    ○ Los controladores de estos nuevos recursos pueden ser peligrosos!
    Inventariar y manejar las API

    View Slide

  15. Protegiendo la API de Kubernetes
    ● El sistema que viene por defecto está bastante bien
    ● Lo importante es configurarlo bien (próximo punto)
    Usar una solución robusta de autorización y autenticación

    View Slide

  16. Protegiendo la API de Kubernetes
    ● RBAC: Role Based Access Control
    Practicar el principio de los privilegios mínimos

    View Slide

  17. Protegiendo la API de Kubernetes
    Practicar el principio de los privilegios mínimos: RBAC
    ns1 ns2 ns3 ns4
    cluster
    usuarios
    grupos
    pods
    ● Role (set de permisos: ns)
    ● ClusterRole
    ● RoleBinding
    ● ClusterRoleBinding
    ● ServiceAccount

    View Slide

  18. Protegiendo la API de Kubernetes
    Practicar el principio de los privilegios mínimos: RBAC
    demo

    View Slide

  19. Protegiendo la API de Kubernetes
    ● Kubernetes ya usa TLS por defecto y firma sus propios certificados
    ● Puedes crear tu propia CA y hacerlo incluso más seguro
    ○ Es una buena idea pero puede ser difícil de mantener
    ○ cert-manager es una buena opción
    Cifrar el tráfico usando TLS

    View Slide

  20. Protegiendo la API de Kubernetes
    ● Kubernetes ya usa TLS por defecto y firma sus propios certificados
    ● Puedes crear tu propia CA y hacerlo incluso más seguro
    ○ Es una buena idea pero puede ser difícil de mantener
    ○ cert-manager es una buena opción
    Cifrar el tráfico usando TLS

    View Slide

  21. Protegiendo Kubernetes desde adentro

    View Slide

  22. Protegiendo Kubernetes desde adentro

    View Slide

  23. Protegiendo Kubernetes desde adentro
    ● Privileged containers
    ○ PodSecurityPolicy / PodSecurityAdmission
    ○ Rootless containers
    ■ containerd, CRI-O
    ● NetworkPolicy
    ○ Requiere un plugin de Networking compatible: Calico, Cilium, Weave
    ● ServiceMesh
    ○ Ayuda con cifrado pod to pod / svc to svc
    Varias cosas para tener en cuenta

    View Slide

  24. Herramientas para encontrar problemas
    Popeye

    View Slide

  25. Herramientas para encontrar problemas
    Trivy

    View Slide

  26. Herramientas para encontrar problemas
    kubeaudit

    View Slide

  27. Herramientas para encontrar problemas
    Gatekeeper
    git clone [email protected]:open-policy-agent/gatekeeper.git
    cd charts/gatekeeper
    helm install -n gatekeeper-system . --create-namespace

    View Slide

  28. Herramientas para encontrar problemas
    Gatekeeper

    View Slide

  29. Herramientas para encontrar problemas
    Gatekeeper

    View Slide

  30. Herramientas para encontrar problemas
    Gatekeeper
    kubectl run nginx --image=nginx
    kubectl get constraint

    View Slide

  31. Miren mi video con Tim Allclair!
    Hablamos muchos de los temas que nombré en esta charla

    View Slide

  32. Gracias
    peladonerd.com

    View Slide