Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Prácticas de Seguridad en Kubernetes

Avatar for Pablo Fredrikson Pablo Fredrikson
January 25, 2023
Programming
2
470

Prácticas de Seguridad en Kubernetes

Charla que di en un webinar con Arsys sobre las mejores prácticas para proteger tu cluster de Kubernetes.
Avatar for Pablo Fredrikson

Pablo Fredrikson

January 25, 2023
Tweet

More Decks by Pablo Fredrikson

See All by Pablo Fredrikson
5 steps to Building a Personal Brand for Elevating Your Influence
Avatar for Pablo Fredrikson pablokbs
0
73
De 0 a SRE en un año - tech4impact 2024
Avatar for Pablo Fredrikson pablokbs
1
510
Seguridad en Kubernetes - Nerdearla 2023
Avatar for Pablo Fredrikson pablokbs
0
300
Qué hace un Staff+ Engineer?
Avatar for Pablo Fredrikson pablokbs
0
180
CI/CD - Workana
Avatar for Pablo Fredrikson pablokbs
2
540
Cómo funciona el Algoritmo de YouTube
Avatar for Pablo Fredrikson pablokbs
1
170
Cómo ahorrar millones de dólares con Kubernetes en Producción
Avatar for Pablo Fredrikson pablokbs
0
920
Almacenando métrics de Prometheus a largo plazo con Thanos
Avatar for Pablo Fredrikson pablokbs
0
780
El estado de SRE en 2020
Avatar for Pablo Fredrikson pablokbs
2
710

Other Decks in Programming

See All in Programming
Embracing Ruby magic
Avatar for Vinicius Stock vinistock
2
240
파급효과: From AI to Android Development
Avatar for HyunWoo Lee l2hyunwoo
0
160
一緒に働きたくなるプログラマの思想 #QiitaConference
Avatar for mu_zaru mu_zaru
81
21k
Rubyの!メソッドをちゃんと理解する
Avatar for Yuto Urushima alstrocrack
1
300
The New Developer Workflow: How AI Transforms Ideas into Code
Avatar for Daniel Sogl danielsogl
0
120
The Nature of Complexity in John Ousterhout’s Philosophy of Software Design
Avatar for Philip Schwarz philipschwarz
PRO
0
170
UMAPをざっくりと理解 / Overview of UMAP
Avatar for kaityo256 kaityo256
PRO
3
1.5k
KANNA Android の技術的課題と取り組み
Avatar for Yosuke Watanabe watabee
1
500
Cursorを活用したAIプログラミングについて 入門
Avatar for 株式会社レクト rect
0
200
Laravel × Clean Architecture
Avatar for Takayuki bumptakayuki
PRO
0
150
Instrumentsを使用した アプリのパフォーマンス向上方法
Avatar for hinakko hinakko
0
250
2025年のz-index設計を考える
Avatar for TAK tak_dcxi
11
4.4k

Featured

See All Featured
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
56
9.4k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
78
6.3k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
177
9.7k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
420
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
23
1.6k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Navigating Team Friction
Avatar for Lara Hogan lara
185
15k

Transcript

  1. Buenas prácticas de seguridad en Kubernetes Cloud Pablo Fredrikson -

    Principal SRE @ Split

  2. Pablo Fredrikson • Principal SRE @ Split Software • +15

    años de experiencia • +5 años con Kubernetes en Producción • Pelado Nerd en YouTube

  3. Kubernetes en 3 minutos - Conceptos • Pods • Workers:

    Nodos, VMs • Masters: Controllers, Schedulers, API

  4. MASTER API server Kube Scheduler Controller Manager Cloud Controller Manager

    API Kubernetes Cluster Services API Kubernetes Cluster Services API etcd deployment pod1: - container1 - container2 replicas: 3 pod2: - container3 replicas: 2 Kubelet Kubelet Kubelet P1R3 P1R1 P2R1 P1R2 P2R2 Kubernetes en 3 minutos

  5. Kubelet P2R1 Kubelet P1R2 Kubelet Kubernetes Cluster Services API deployment

    pod1: - container1 - container2 replicas: 3 pod2: - container3 replicas: 2 P1R3 P1R1 P2R2 P1R3 P1R1 Kubernetes en 3 minutos

  6. Kubernetes es un orquestador

  7. Kubernetes es una API

  8. ¿Cómo protegemos nuestro cluster? • Por fuera: API • Por

    dentro: Seguridad en contenedores

  9. Por fuera: Kubernetes es una API

  10. Por fuera: Kubernetes es una API

  11. Protegiendo la API de Kubernetes • Priorizar seguridad / No

    exponer más información de la necesaria • Inventariar y manejar las API • Usar una solución robusta de autorización y autenticación • Practicar el principio de los privilegios mínimos • Cifrar el tráfico usando TLS • Quitar/limitar información que no debería ser compartida • Validar datos ingeridos Ordenando un poquito la lista

  12. Protegiendo la API de Kubernetes • Bloquear acceso externo •

    Mantener Kubernetes actualizado ◦ Estar al tanto de vulnerabilidades: https://kubernetes.io/security Priorizando la seguridad / No exponer más información de la necesaria

  13. Protegiendo la API de Kubernetes Priorizando la seguridad

  14. Protegiendo la API de Kubernetes • Kubernetes CRD son geniales!

    ◦ Permiten crear y controlar tus propios recursos ◦ Extiende la API de Kubernetes ◦ Los controladores de estos nuevos recursos pueden ser peligrosos! Inventariar y manejar las API

  15. Protegiendo la API de Kubernetes • El sistema que viene

    por defecto está bastante bien • Lo importante es configurarlo bien (próximo punto) Usar una solución robusta de autorización y autenticación

  16. Protegiendo la API de Kubernetes • RBAC: Role Based Access

    Control Practicar el principio de los privilegios mínimos

  17. Protegiendo la API de Kubernetes Practicar el principio de los

    privilegios mínimos: RBAC ns1 ns2 ns3 ns4 cluster usuarios grupos pods • Role (set de permisos: ns) • ClusterRole • RoleBinding • ClusterRoleBinding • ServiceAccount

  18. Protegiendo la API de Kubernetes Practicar el principio de los

    privilegios mínimos: RBAC demo

  19. Protegiendo la API de Kubernetes • Kubernetes ya usa TLS

    por defecto y firma sus propios certificados • Puedes crear tu propia CA y hacerlo incluso más seguro ◦ Es una buena idea pero puede ser difícil de mantener ◦ cert-manager es una buena opción Cifrar el tráfico usando TLS

  20. Protegiendo la API de Kubernetes • Kubernetes ya usa TLS

    por defecto y firma sus propios certificados • Puedes crear tu propia CA y hacerlo incluso más seguro ◦ Es una buena idea pero puede ser difícil de mantener ◦ cert-manager es una buena opción Cifrar el tráfico usando TLS

  21. Protegiendo Kubernetes desde adentro

  22. Protegiendo Kubernetes desde adentro

  23. Protegiendo Kubernetes desde adentro • Privileged containers ◦ PodSecurityPolicy /

    PodSecurityAdmission ◦ Rootless containers ▪ containerd, CRI-O • NetworkPolicy ◦ Requiere un plugin de Networking compatible: Calico, Cilium, Weave • ServiceMesh ◦ Ayuda con cifrado pod to pod / svc to svc Varias cosas para tener en cuenta

  24. Herramientas para encontrar problemas Popeye

  25. Herramientas para encontrar problemas Trivy

  26. Herramientas para encontrar problemas kubeaudit

  27. Herramientas para encontrar problemas Gatekeeper git clone [email protected]:open-policy-agent/gatekeeper.git cd charts/gatekeeper

    helm install -n gatekeeper-system . --create-namespace

  28. Herramientas para encontrar problemas Gatekeeper

  29. Herramientas para encontrar problemas Gatekeeper

  30. Herramientas para encontrar problemas Gatekeeper kubectl run nginx --image=nginx kubectl

    get constraint

  31. Miren mi video con Tim Allclair! Hablamos muchos de los

    temas que nombré en esta charla

  32. Gracias peladonerd.com