Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AKSのdashboardは無効化したほうがよいか?
Search
SSSSSSSSSSSSHHHHHHHHHH
December 24, 2019
0
110
AKSのdashboardは無効化したほうがよいか?
タイミングを失ってどこにも出せなかった資料です。
クリぼっちなので供養させてください
SSSSSSSSSSSSHHHHHHHHHH
December 24, 2019
Tweet
Share
More Decks by SSSSSSSSSSSSHHHHHHHHHH
See All by SSSSSSSSSSSSHHHHHHHHHH
ベストプラクティス・ドリフト
sssssssssssshhhhhhhhhh
2
530
認定スラクムマスター研修 受講報告
sssssssssssshhhhhhhhhh
0
180
コンテナレジストリサーバーにコンテナ以外のものを格納する
sssssssssssshhhhhhhhhh
2
1.5k
Azure AD Pod Identityについて
sssssssssssshhhhhhhhhh
2
1.5k
OPENSHIFT4.2のインストールツールに見るクラスタの構築方法について
sssssssssssshhhhhhhhhh
0
300
Featured
See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
RailsConf 2023
tenderlove
30
1.3k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
37
2.6k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
10
870
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.7k
The Illustrated Children's Guide to Kubernetes
chrisshort
49
51k
Code Reviewing Like a Champion
maltzj
526
40k
Java REST API Framework Comparison - PWX 2021
mraible
34
8.9k
Balancing Empowerment & Direction
lara
5
690
Understanding Cognitive Biases in Performance Measurement
bluesmoon
31
2.7k
Done Done
chrislema
185
16k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
980
Transcript
AKSのdashboardは 無効化した方がよいか?
はじめに • AKSのdashboardを使用していない場合無効化すべきか、そも そも使用を推すべきか、課題をまとめました。 • セキュリティに関する問題提起型のプレゼンです。 • 結論はありません • 下記のうち、どちらを選択するかのトロッコ問題です。
• AKSのdashboardを利用することによる利便性 • AKSのdashboardを利用可能な状態にすることによる セキュリティホールの危険性 • 少なくとも自分はAKSのdashboardを使用しなくてもいいかな と思っている立場の人間です
きっかけ • MS Ignite 2019のAKS Management Best Practice ⇒Disable the
Dashboard (Recommended)のスライド (残念ながら動画で説明はなし) https://myignite.techcommunity.microsoft.com/sessions/81598 • AKSのProjects Roadmapにおけるdashboard関連のissue • https://github.com/Azure/AKS/issues/1074 Feature Request: Create AKS Cluster with Dashboard Disabled • https://github.com/Azure/AKS/issues/1197 Add Azure Policy alias for checking kubedashboard enabled status • https://github.com/Azure/AKS/issues/1198 Feature Request: Create AKS Cluster with Dashboard Disabled
過去のトラウマ1 • Ver1.6までのバージョンではkubernetes-dashboardに認証機 能がなかった =>Teslaで運用されていたKubernetesが 仮想通貨のマイニングに悪用される • インターネット上に公開&cluster-admin権限の付与という無 防備状態だったため https://redlock.io/blog/cryptojacking-tesla
https://blog.heptio.com/on-securing-the-kubernetes- dashboard-16b09b1b7aca
過去のトラウマ2 • 権限昇格の脆弱性がkubernetes-dashboardに発見される https://sysdig.com/blog/privilege-escalation-kubernetes-dashboard/ • 今はSKIPボタンはありません https://github.com/gardener/gardener/pull/555
現在のAKSに関する問題点 • Az aks browseを実行中、Dashboardは公開状態になる (ちょっと前まで。今は違うかもしれません) • Dashboardを見る人に適切なroleを割り振るのが難しい MS Documentに書いてあるaz
aks browseを利用した場合、 認証画面が出てこない =>dashboardに振られたsaをみんなが利用することに… • Azure上のサービスを利用する場合、AzureADとの連携を考えたときに、 いまだにissueが枯れていない=利用できないと見た方がいい AKS with RBAC unable to view Dashboard with Azure AD https://github.com/MicrosoftDocs/azure-docs/issues/23789
それでも使用したい場合は? https://github.com/Azure/aks-bestpractices-ignite19 より引用
最後に • ロール権限を割り振る必要がないくらい少人数のチームなら正直あまり関 係ない • ロール権限を割り振るくらい役割が細分化された大規模チームなら、なお さら素のkubernetes-dashboardを使用する必要ってあまりない (GitOpsなど適切に運用していれば必要性ってないと存じます) • 現状のAKSは普通に作成するとkubernetes-dashboardは常駐して
いますが、サービスを開放していません ⇒したがって、それだけではセキュリティインシデントになることは考えづらい ⇒しかし、kube-apiserverに直結するエンドポイントではある ⇒使用しないのであれば、口はなるべく閉じることをお勧めしたい