Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Заделываем дыры в кластере Kubernetes

Sysadminka
August 02, 2019
Technology
1
49

Заделываем дыры в кластере Kubernetes

Павел Селиванов, Southbridge.io

Расскажу о безопаности в Kubernetes и о том, как закрыть "дыры" в кластере. Затрону темы PodSecurityPolicy, LimitRange/ResourceQuota, расскажу, что и куда торчит портами в кластере.

Sysadminka

August 02, 2019
Tweet

More Decks by Sysadminka

See All by Sysadminka
Ярин Андрей, Интерсвязь - Теледомофоны, или как мы дошли до жизни такой.
sysadminkadesk
0
58
Устройство 1С с точки зрения администратора — Александр Волокитин
sysadminkadesk
0
130
#Связь на километры и сотни мегабит - Игорь Лабер, General Telecom
sysadminkadesk
0
110
Artemy-Kapitula-Cinder-Insides.pdf
sysadminkadesk
0
18
Практика использования Helm
sysadminkadesk
0
56
Sysadminka и UWDC
sysadminkadesk
0
24
Миграция из Docker Swam в Kubernetes
sysadminkadesk
0
31
GitOps CD для Kubernetes
sysadminkadesk
0
110
Анонсируем Service IP из Kubernetes по BGP
sysadminkadesk
0
230

Other Decks in Technology

See All in Technology
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
120
メールサーバ管理者のみ知る話
hinono
1
110
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
250
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
230
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
200
Going down the RAT hole: Deep dive into the Vuln-derland of APT-class RAT Tools
nttcom
0
470
ライブラリでしかお目にかかれない珍しい実装
mikanichinose
2
350
Application Development WG Intro at AppDeveloperCon
salaboy
0
120
データの信頼性を支える仕組みと技術
chanyou0311
6
1.7k
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
380
CysharpのOSS群から見るModern C#の現在地
neuecc
1
1.4k

Featured

See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
830
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Making Projects Easy
brettharned
115
5.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Typedesign – Prime Four
hannesfritz
40
2.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Agile that works and the tools we love
rasmusluckow
327
21k
Building Your Own Lightsaber
phodgson
103
6.1k
Speed Design
sergeychernyshev
24
610
YesSQL, Process and Tooling at Scale
rocio
168
14k

Transcript

  1. Заделываем дыры в кластере

  2. Павел Селиванов 2

  3. План 3 • Права пользователей vs права pod’ов • Сбор

    информации о кластере • DoS атака на кластер

  4. Сетап 4

  5. 5 Demo

  6. Права pod’а 6 Privileged … Root user Host namespace Host

    path volume

  7. Pod Security Policy 7 Контролирует аспекты безопасности в описании Pod’ов

    https://kubernetes.io/docs/concepts/policy/pod-security-policy/ spec: privileged: false hostNetwork: false hostPID: false volumes: - configMap - emptyDir - secret - persistentVolumeClaim Привилегированные запрещаем Использовать хостовые нэймспэйсы запрещаем Только эти типы вольюмов разрешены

  8. 8 Мониторинг – самая большая дыра во Вселенной в Вашем

    кластере

  9. Как закрывать Prometheus? 9 • Network Policy • Нет доступа

    – нет проблем • Kube-RBAC-Proxy (https://github.com/brancz/kube-rbac-proxy) • Добавляем авторизацию • На самом деле не только Prometheus • Scheduler • Controller-manager • etc…

  10. 10

  11. https://kubernetes.io/docs/concepts/policy/limit-range/ Минимальные Дефолтные Максимальные Устанавливает ресурсы для объектов кластера •

    Для контейнеров • Для подов • Для PVC Limit Range 11

  12. 12

  13. https://kubernetes.io/docs/concepts/policy/resource-quotas/ Устанавливает количество доступных ресурсов и объектов для нэймспэйса в

    кластере Сервисы Реквесты Лимиты … Поды Resource Quota 13

  14. Итого 14 Pod Security Policy – это хорошо … Network

    Policy – это не какая то еще одна ненужная фича LimitRange/ResourceQuota – пора бы заглянуть в документацию Host path volume Записывайтесь к нам на Слёрм slurm.io

  15. Вопросы?