Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Seguridad en Kubernetes - Nerdearla 2023

Pablo Fredrikson
September 29, 2023
Technology
0
180

Seguridad en Kubernetes - Nerdearla 2023

Charla que di en Nerdearla 2023 sobre seguridad en Kubernetes.

Pablo Fredrikson

September 29, 2023
Tweet

More Decks by Pablo Fredrikson

See All by Pablo Fredrikson
Qué hace un Staff+ Engineer?
pablokbs
0
80
Prácticas de Seguridad en Kubernetes
pablokbs
2
380
CI/CD - Workana
pablokbs
2
350
Cómo funciona el Algoritmo de YouTube
pablokbs
1
130
Cómo ahorrar millones de dólares con Kubernetes en Producción
pablokbs
0
870
Almacenando métrics de Prometheus a largo plazo con Thanos
pablokbs
0
700
El estado de SRE en 2020
pablokbs
2
680
Usando Docker para nuestro entorno local
pablokbs
1
750
Kubernertes CRDs
pablokbs
0
260

Other Decks in Technology

See All in Technology
私が trocco を推す理由
__allllllllez__
1
270
web-application-security
matsuihidetoshi
0
180
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
6
560
生成AIの変革の時代に、 直近1年で直面した課題とその解決策
ktc_wada
0
400
Java EE/Jakarta EEの現状と将来 ―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
170
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.8k
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
0
110
JAWS-UG Bedrock Claude Night
yamahiro
3
630
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
0
450
本当のAWS基礎
toru_kubota
0
540
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
2
470

Featured

See All Featured
The Mythical Team-Month
searls
216
42k
A Tale of Four Properties
chriscoyier
151
22k
How to Ace a Technical Interview
jacobian
272
22k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Into the Great Unknown - MozCon
thekraken
10
1k
Automating Front-end Workflow
addyosmani
1356
200k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
Designing Experiences People Love
moore
136
23k
GraphQLとの向き合い方2022年版
quramy
32
12k
Happy Clients
brianwarren
92
6.4k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k

Transcript

  1. Y un par de historias de cómo casi nos hackearon

    PABLO FREDRIKSON SEGURIDAD EN KUBERNETES

  2. @pablokbs Pablo Fredrikson • Principal SRE @ Split Software •

    Nerd • 17 años de experiencia en el rubro • 5 años con Kubernetes en Producción • CNCF Ambassador • YouTuber Extraordinaire

  3. Kubernetes PABLO FREDRIKSON @pablokbs

  4. Kubernetes - ¿Cómo atacarlo? PABLO FREDRIKSON @pablokbs

  5. PABLO FREDRIKSON @pablokbs DEMO (voto.peladonerd.com)

  6. PABLO FREDRIKSON @pablokbs Lo logramos! (espero)

  7. Recapitulemos 1. Encontramos un sitio vulnerable para subir archivos (sin

    checkeo de tipo de archivo) 2. Ejecutamos una shell reversa 3. kubectl (no tenía permisos suficientes) 4. curl user-data y security-credentials (IMDSv1) a. Obtuvimos credenciales AWS b. Obtuvimos credenciales de Kubernetes 5. kubectl describe voto-app a. Obtuvimos credenciales Postgres 6. Descargamos psql y h4xx PABLO FREDRIKSON @pablokbs

  8. PABLO FREDRIKSON @pablokbs ¿Cómo prevenimos esto?

  9. Cómo prevenir: Cuidá tu aplicación PABLO FREDRIKSON @pablokbs

  10. Cómo prevenir: Configurá bien tu cluster PABLO FREDRIKSON @pablokbs 1.

    Desactivá acceso externo a tu API de Kubernetes 2. No compartas usuarios de Kubernetes 3. No uses variables de entorno para secretos 4. Desactivá IMDSv1 (para AWS) $ curl http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 …

  11. Cómo prevenir: Usá IMDSv2! PABLO FREDRIKSON @pablokbs $ TOKEN=`curl -X

    PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 mac metrics/ network/ placement/ profile public-hostname public-ipv4 public-keys/ reservation-id security-groups services/ $ curl http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ instance-action instance-id instance-type local-hostname local-ipv4 mac metrics/ network/ placement/ profile public-hostname public-ipv4 public-keys/ reservation-id security-groups services/

  12. Cómo prevenir: Kubernetes CVEs PABLO FREDRIKSON @pablokbs https://kubernetes.io/security

  13. OWASP Kubernetes Top 10 (2022) K01: Insecure Workload Configurations K02:

    Supply Chain Vulnerabilities K03: Overly Permissive RBAC Configurations K04: Lack of Centralized Policy Enforcement K05: Inadequate Logging and Monitoring K06: Broken Authentication Mechanisms K07: Missing Network Segmentation Controls K08: Secrets Management Failures K09: Misconfigured Cluster Components K10: Outdated and Vulnerable Kubernetes Components https://owasp.org/www-project-kubernetes-top-ten PABLO FREDRIKSON @pablokbs

  14. Miren mi video con Tim Allclair https://youtube.com/peladonerd PABLO FREDRIKSON @pablokbs

  15. PABLO FREDRIKSON @pablokbs Gracias peladonerd.com