Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubescapeでサクッと始めるKSPM

HonMarkHunt
March 13, 2023
540

 Kubescapeでサクッと始めるKSPM

Kubernetes Novice Tokyo #23 で発表させていただいた資料です。
KubescapeとPrometheus, Grafanaを用いてKubernetesクラスタのセキュリティー診断をサクッと行う方法をお話しする予定です。

HonMarkHunt

March 13, 2023
Tweet

Transcript

  1. mixi, Inc. アジェンダ 1. Introduction 2. KSPMとは? 3. Kubescapeとは? 4.

    導入してみる 5. 運用してみる 6. まとめ MIXI, Inc.
  2. mixi, Inc. 自己紹介 本間 匡晃 ( まさてる ) 株式会社MIXI みてねプロダクト開発部

    SREグループ Twitter : HonMarkHunt 好き : GOLD’S GYM、スニーカー、ラーメン二郎 上野毛店 苦手 : 転売ヤー 妻1人、子2人 (3歳、0歳 ←NEW!! ) MIXI, Inc.
  3. mixi, Inc. KSPM Kubernetes Security Posture Management の略 Kubernetesクラスタ上の設定の不備やマニフェストへの違反などを継続的に検出し 運用し続けていくこと

    一言で言えば「K8sのポスチャ管理」 より上位の概念に Cloud Security Posture Management ( CSPM ) がある MIXI, Inc.
  4. mixi, Inc. KSPM Kubernetes Security Posture Management の略 Kubernetesクラスタ上の設定の不備やマニフェストへの違反などを継続的に検出し 運用し続けていくこと

    一言で言えば「K8sのポスチャ管理」 より上位の概念に Cloud Security Posture Management ( CSPM ) がある みてねではここが不十分なのでやっていこう! MIXI, Inc.
  5. mixi, Inc. Kubescape ARMO が提供しているオープンソースの Kubernetes のセキュリティープラットフォーム 特徴 • オープンソース

    • IDE, CI/CD pipelines, cluster, CLI などさまざま場所で容易に実行できる • 実行時の診断に複数のフレームワークを選択できる • Kubernetesクラスタ, YAMLファイル, Helm chartsを診断可能 • 2022年12月には CNCF の Sandbox Projects にも選出 MIXI, Inc.
  6. mixi, Inc. 判断基準 • オープンソースなので無料で運用することができる • Argo CD 経由で簡単にインストールできる •

    Helm charts が機能モリモリ用とPrometheusに送るだけ用の2つ提供されており 後者を使用することで最低限の機能で始められる • Prometheus にスキャンした結果のメトリクスを送信することができる • みてねのSREチームは毎朝の朝会で Grafana のダッシュボードを確認しているので、 Prometheus のメトリクスを Grafana で可視化しておけば新しく運用フローを構築し なくとも毎朝確認することができる MIXI, Inc.
  7. mixi, Inc. 注意事項 • 基本的にはARMO側にスキャン結果が送信され、結果をARMO Platform上で確認する • ARMO Platformはスキャンするworker nodeの数によって課金が発生するので

    継続的に利用していきたい場合は課金するか無料枠の中で運用していく • Kubescape以外にもいくつかのソフトウェアがあるが Prometheusでメトリクスが取得できるのはKubescapeのみ • imageやホストスキャン、RBACなどはメトリクスは取得できないため それらをみたい場合はARMO Platformを利用する必要がある MIXI, Inc.
  8. mixi, Inc. メトリクスの可視化 取得できる メトリクスの一覧 ( https://hub.armosec.io/docs/prometheus-exporter ) 1. Frameworks

    metrics : フレームワークごとの集計 2. Overall metrics : フレームワークを合算 3. Controls metrics : コントロールごとの集計 おおきくこの3つのメトリックス それぞれ resource とコントロールごとの success/fail などの count を取得できる *コントロールとはデータベースに登録されているリスク1ケースを指します MIXI, Inc.
  9. mixi, Inc. メトリクスの可視化 3. Controls metrics : コントロールごとの集計 MIXI, Inc.

    コントロール毎のメトリクス 検出数とレキュリティレベルでテーブル表示
  10. mixi, Inc. 朝会での確認 みてねSREチームの朝会ではGrafanaのダッシュボードを確認して 異常がないかチェックする時間があります。 ここまでに作ったグラフだと数が多いので朝会で見るには適しませんでした。 「コントロールのセキュリティレベルが最大 ( Critical )

    の検出数」のグラフを別途作成し 朝会で確認するようにしました。 検出され次第これまでに作ったダッシュボードを用いて調査していく流れになります。 現状Criticalは検出されていないのでNo data MIXI, Inc.