Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Play with 🐐 in Kubernetes
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Kyohei Mizumoto
December 15, 2022
Technology
1.6k
1
Share
Play with 🐐 in Kubernetes
3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/
Kyohei Mizumoto
December 15, 2022
More Decks by Kyohei Mizumoto
See All by Kyohei Mizumoto
最新の脅威動向から考える、コンテナサプライチェーンのリスクと対策
kyohmizu
1
860
コンテナセキュリティの最新事情 ~ 2026年版 ~
kyohmizu
9
3.9k
Black Hat USA 2025 Recap ~ クラウドセキュリティ編 ~
kyohmizu
0
940
CTFのためのKubernetes入門
kyohmizu
2
1.2k
クラウドネイティブ環境の脅威モデリング
kyohmizu
3
800
コンテナサプライチェーンセキュリティ
kyohmizu
2
500
サイバーセキュリティの最新動向:脅威と対策
kyohmizu
1
430
コンテナセキュリティの基本と脅威への対策
kyohmizu
4
2.2k
安全な Kubernetes 環境を目指して
kyohmizu
4
1.4k
Other Decks in Technology
See All in Technology
形式手法特論:公平性制約の位相的特徴づけ #kernelvm / Kernel VM Study Kansai 12th
ytaka23
1
640
long-running-tasks
cipepser
2
450
「コーディング」しない人のための Claude Code 入門 ChatGPT の次の一歩 — 業務に組み込む 育成・共有・自動化
rfdnxbro
1
470
Unlocking the Apps
pimterry
0
130
AIが変えた"品質の守り方"
kkakizaki
13
5.5k
ルールやカスタム機能、どう使う?理想の出力を引き出すために今知りたいIBM Bob 5つの機能
muehara
0
160
Claude code Orchestra
ozakiomumkj
2
770
Generative UI × A2UI で AI エージェントを作った話 AI-DLC も使ってみた!
kmiya84377
1
290
Cloud Run のアップデート 触ってみる&紹介
gre212
0
270
Fabric-cicd によるAzure DevOps デプロイ
ryomaru0825
0
170
探して_入れて_作って_使う_Agent_Skills___LT.pdf
peintangos
2
110
もりもり新機能を一挙紹介! AgentCoreに入門して、AWS上にAIエージェントを構築しよう
minorun365
PRO
5
350
Featured
See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
Building an army of robots
kneath
306
46k
How to make the Groovebox
asonas
2
2.2k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
We Are The Robots
honzajavorek
0
240
Believing is Seeing
oripsolob
1
140
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.1k
エンジニアに許された特別な時間の終わり
watany
107
240k
Game over? The fight for quality and originality in the time of robots
wayneb77
1
180
Build your cross-platform service in a week with App Engine
jlugia
234
18k
Transcript
Play with 🐐 in Kubernetes @kyohmizu
whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用
- セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu
今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です
Kubernetes Goat?
= やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群
✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる
セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup
bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh
シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation
✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP
個人的に気になったシナリオについて、 ネタバレしない程度にご紹介
Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅
初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも
Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅
実行を防ぐ側の視点で考えてみるのも面白い
Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し
kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh
年末年始のお供にいかがでしょうか?
Thank you!
SiteGround - Reliable hosting with speed, security, and support you can count on.
kyohmizu
ytaka23
cipepser
rfdnxbro
pimterry
kkakizaki
muehara
ozakiomumkj
kmiya84377
gre212
ryomaru0825
peintangos
minorun365
sugarenia
thoeni
kneath
asonas
aleyda
morganepeng
honzajavorek
oripsolob
eileencodes
watany
wayneb77
jlugia
