$30 off During Our Annual Pro Sale. View Details »

AKSのdashboardは無効化したほうがよいか?

SSSSSSSSSSSSHHHHHHHHHH
December 24, 2019
0
60

 AKSのdashboardは無効化したほうがよいか?

タイミングを失ってどこにも出せなかった資料です。
クリぼっちなので供養させてください

SSSSSSSSSSSSHHHHHHHHHH

December 24, 2019
Tweet

More Decks by SSSSSSSSSSSSHHHHHHHHHH

See All by SSSSSSSSSSSSHHHHHHHHHH
ベストプラクティス・ドリフト
sssssssssssshhhhhhhhhh
1
350
認定スラクムマスター研修 受講報告
sssssssssssshhhhhhhhhh
0
99
コンテナレジストリサーバーにコンテナ以外のものを格納する
sssssssssssshhhhhhhhhh
2
1.2k
Azure AD Pod Identityについて
sssssssssssshhhhhhhhhh
2
1.1k
OPENSHIFT4.2のインストールツールに見るクラスタの構築方法について
sssssssssssshhhhhhhhhh
0
180

Featured

See All Featured
Thoughts on Productivity
jonyablonski
55
3.5k
YesSQL, Process and Tooling at Scale
rocio
159
13k
GitHub's CSS Performance
jonrohan
1021
440k
Reflections from 52 weeks, 52 projects
jeffersonlam
342
19k
The Invisible Customer
myddelton
113
12k
It's Worth the Effort
3n
180
27k
[RailsConf 2023] Rails as a piece of cake
palkan
17
3.2k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
140k
The World Runs on Bad Software
bkeepers
PRO
59
6.2k
Ruby is Unlike a Banana
tanoku
93
10k
Faster Mobile Websites
deanohume
296
29k
A Tale of Four Properties
chriscoyier
150
22k

Transcript

  1. AKSのdashboardは
    無効化した方がよいか?

    View Slide

  2. はじめに
    • AKSのdashboardを使用していない場合無効化すべきか、そも
    そも使用を推すべきか、課題をまとめました。
    • セキュリティに関する問題提起型のプレゼンです。
    • 結論はありません
    • 下記のうち、どちらを選択するかのトロッコ問題です。
    • AKSのdashboardを利用することによる利便性
    • AKSのdashboardを利用可能な状態にすることによる
    セキュリティホールの危険性
    • 少なくとも自分はAKSのdashboardを使用しなくてもいいかな
    と思っている立場の人間です

    View Slide

  3. きっかけ
    • MS Ignite 2019のAKS Management Best Practice
    ⇒Disable the Dashboard (Recommended)のスライド
    (残念ながら動画で説明はなし)
    https://myignite.techcommunity.microsoft.com/sessions/81598
    • AKSのProjects Roadmapにおけるdashboard関連のissue
    • https://github.com/Azure/AKS/issues/1074
    Feature Request: Create AKS Cluster with Dashboard Disabled
    • https://github.com/Azure/AKS/issues/1197
    Add Azure Policy alias for checking kubedashboard enabled status
    • https://github.com/Azure/AKS/issues/1198
    Feature Request: Create AKS Cluster with Dashboard Disabled

    View Slide

  4. 過去のトラウマ1
    • Ver1.6までのバージョンではkubernetes-dashboardに認証機
    能がなかった
    =>Teslaで運用されていたKubernetesが
    仮想通貨のマイニングに悪用される
    • インターネット上に公開&cluster-admin権限の付与という無
    防備状態だったため
    https://redlock.io/blog/cryptojacking-tesla
    https://blog.heptio.com/on-securing-the-kubernetes-
    dashboard-16b09b1b7aca

    View Slide

  5. 過去のトラウマ2
    • 権限昇格の脆弱性がkubernetes-dashboardに発見される
    https://sysdig.com/blog/privilege-escalation-kubernetes-dashboard/
    • 今はSKIPボタンはありません
    https://github.com/gardener/gardener/pull/555

    View Slide

  6. 現在のAKSに関する問題点
    • Az aks browseを実行中、Dashboardは公開状態になる
    (ちょっと前まで。今は違うかもしれません)
    • Dashboardを見る人に適切なroleを割り振るのが難しい
    MS Documentに書いてあるaz aks browseを利用した場合、
    認証画面が出てこない
    =>dashboardに振られたsaをみんなが利用することに…
    • Azure上のサービスを利用する場合、AzureADとの連携を考えたときに、
    いまだにissueが枯れていない=利用できないと見た方がいい
    AKS with RBAC unable to view Dashboard with Azure AD
    https://github.com/MicrosoftDocs/azure-docs/issues/23789

    View Slide

  7. それでも使用したい場合は?
    https://github.com/Azure/aks-bestpractices-ignite19
    より引用

    View Slide

  8. 最後に
    • ロール権限を割り振る必要がないくらい少人数のチームなら正直あまり関
    係ない
    • ロール権限を割り振るくらい役割が細分化された大規模チームなら、なお
    さら素のkubernetes-dashboardを使用する必要ってあまりない
    (GitOpsなど適切に運用していれば必要性ってないと存じます)
    • 現状のAKSは普通に作成するとkubernetes-dashboardは常駐して
    いますが、サービスを開放していません
    ⇒したがって、それだけではセキュリティインシデントになることは考えづらい
    ⇒しかし、kube-apiserverに直結するエンドポイントではある
    ⇒使用しないのであれば、口はなるべく閉じることをお勧めしたい

    View Slide