security-profiles-operatorをさわってみた @ngoktanio @oke-py 2021.11.25 Kubernetes Meetup Tokyo #47

本発表の目的 seccompやAppArmorの ● 導入検討のきっかけとなる ● 導入、運用事例があったら教えてほしい

モチベーション 多層防御（Defense In Depth）の一要素として セキュリティプロファイルを利用してみたい Certified Kubernetes Security Specialist (CKS) Exam Curriculum https://github.com/cncf/curriculum/blob/master/CKS_Curriculum_%20v1.22.pdf

セキュリティプロファイルの例 AppArmor, SELinux 　ファイルアクセスを細かく制御する seccomp 　不要なシステムコールの呼び出しを禁止する Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099

Podにseccompプロファイルを適用する方法 1. ホストでプロファイルを有効化する 2. Pod定義でプロファイルを指定する Restrict a Container's Syscalls with seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/

セキュリティプロファイルの導入決定（フィクション） Sec「全社的にseccompの導入を必須としました」 Dev「ホストにログインできない。Opsさん、よろしく」 Ops「サービスごとにプロファイルを変えるのしんどい」

kubernetes-sigs/security-profiles-operator

https://github.com/kubernetes-sigs/security-profiles-operator

security-profile-operatorのインストール 検証環境 インストール https://github.com/kubernetes-sigs/security-profiles-operator/blob/master/installation-usage.md

SeccompProfileの適用

SeccompProfileを利用するPodの実行

禁止されているシステムコールを呼び出す Operation not permitted !!!

まとめ ● セキュリティプロファイルを利用してより堅牢に ● security-profiles-operatorに期待？ ○ 最新リリース（v0.3.0）は半年以上前・・・ ○ masterブランチはそれなりに更新されている ● SDLCにどう組み込めるか？ ○ プロファイルの作成、検証が大変そう ○ docker-slimを使えばいけそう？

参考資料 Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド https://book.mynavi.jp/ec/products/detail/id=114099 Hacking Kubernetes https://www.oreilly.com/library/view/hacking-kubernetes/9781492081722/ Restrict a Container's Syscalls with seccomp https://kubernetes.io/docs/tutorials/clusters/seccomp/ Restrict a Container's Access to Resources with AppArmor https://kubernetes.io/docs/tutorials/clusters/apparmor/ Kubernetes Security Profiles Operator https://github.com/kubernetes-sigs/security-profiles-operator Managing Kubernetes seccomp profiles with security profiles operator https://medium.com/@LachlanEvenson/managing-kubernetes-seccomp-profiles-with-security-profiles-operator-c768cff58b0