Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Play with 🐐 in Kubernetes
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Kyohei Mizumoto
December 15, 2022
Technology
1
1.5k
Play with 🐐 in Kubernetes
3-shake SRE Tech Talk 2022 クリスマス直前会!の資料です。
https://3-shake.connpass.com/event/267080/
Kyohei Mizumoto
December 15, 2022
Tweet
Share
More Decks by Kyohei Mizumoto
See All by Kyohei Mizumoto
Black Hat USA 2025 Recap ~ クラウドセキュリティ編 ~
kyohmizu
0
810
CTFのためのKubernetes入門
kyohmizu
2
990
クラウドネイティブ環境の脅威モデリング
kyohmizu
2
710
コンテナサプライチェーンセキュリティ
kyohmizu
2
420
サイバーセキュリティの最新動向:脅威と対策
kyohmizu
1
370
コンテナセキュリティの基本と脅威への対策
kyohmizu
4
2.1k
安全な Kubernetes 環境を目指して
kyohmizu
4
1.3k
Unlocking Cloud Native Security
kyohmizu
5
1.5k
コンテナ × セキュリティ × AWS
kyohmizu
11
4.2k
Other Decks in Technology
See All in Technology
re:Inventで見つけた「運用を捨てる」技術。
ezaki
1
140
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
10k
現場で活かす生成AI実践セミナー「広報×AI活用」編
matyuda
0
100
BPaaSオペレーション・kubell社内 n8n活用による効率化検証事例紹介
kubell_hr
0
270
ファシリテーション勉強中 その場に何が求められるかを考えるようになるまで / 20260123 Naoki Takahashi
shift_evolve
PRO
3
380
さくらのクラウドでのシークレット管理を考える/tamachi.sre#2
fujiwara3
1
220
ビジュアルプログラミングIoTLT vol.22
1ftseabass
PRO
0
140
ゼロから始めたFindy初のモバイルアプリ開発
grandbig
2
120
Lambda Durable FunctionsでStep Functionsの代わりはできるのかを試してみた
smt7174
2
140
プロダクトエンジニアこそ必要なPMスキル 〜デリバリー力を最大化し、価値を届け続けるために〜
layerx
PRO
0
130
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
10
72k
AI アクセラレータチップ AWS Trainium/Inferentia に 今こそ入門
yoshimi0227
1
320
Featured
See All Featured
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
57
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
0
2.3k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
560
The Curse of the Amulet
leimatthew05
1
7.8k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
620
Making Projects Easy
brettharned
120
6.6k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
190
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
200
Heart Work Chapter 1 - Part 1
lfama
PRO
5
35k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
0
420
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.5k
Art, The Web, and Tiny UX
lynnandtonic
304
21k
Transcript
Play with 🐐 in Kubernetes @kyohmizu
whoami 株式会社スリーシェイク Sreake事業部 SRE/CSIRT - AWS, GCP, kubernetes - 脆弱性・アラート管理基盤の構築と運用
- セキュリティ運用改善(IaC, 自動化ツール作成など) - IAM設計、脅威情報の収集、サイバー演習 etc… イベント - 3-shake SRE Tech Talk 運営 - CloudNative Days 実行委員(~2021) 水元 恭平 @kyohmizu
今回は、Kubernetes Goat で遊んでみると楽し いですよ、というお話です
Kubernetes Goat?
= やられ Kubernetes 環境 https://madhuakula.com/kubernetes-goat/ https://github.com/madhuakula/kubernetes-goat ✅ 脆弱な Kubernetes クラスタとアプリケーション群
✅ 様々な環境で利用可能(AWS, GCP, k3s, kind など) ✅ シナリオに沿って、演習形式でセキュリティを学べる
セットアップはとても簡単 # 環境構築(kind) # https://madhuakula.com/kubernetes-goat/docs/how-to-run/kind git clone https://github.com/madhuakula/kubernetes-goat.git cd kubernetes-goat/platforms/kind-setup
bash setup-kind-cluster-and-goat.sh # Kubernetes Goat home へのアクセス # https://madhuakula.com/kubernetes-goat/docs/getting-started cd ../.. bash access-kubernetes-goat.sh
シナリオ一覧 ✅ Sensitive keys in codebases ✅ DIND (docker-in-docker) exploitation
✅ SSRF in the Kubernetes (K8S) world ✅ Container escape to the host system ✅ Docker CIS benchmarks analysis ✅ Kubernetes CIS benchmarks analysis ✅ Attacking private registry ✅ NodePort exposed services ✅ Helm v2 tiller to PwN the cluster - [Deprecated] ✅ Analyzing crypto miner container ✅ Kubernetes namespaces bypass ✅ Gaining environment information ✅ DoS the Memory/CPU resources ✅ Hacker container preview ✅ Hidden in layers ✅ RBAC least privileges misconfiguration ✅ KubeAudit - Audit Kubernetes clusters ✅ Falco - Runtime security monitoring & detection ✅ Popeye - A Kubernetes cluster sanitizer ✅ Secure network boundaries using NSP
個人的に気になったシナリオについて、 ネタバレしない程度にご紹介
Container escape to the host system https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-4 ✅ 定番とも言えるコンテナエスケープを体験する ✅
初級者向けだが事前知識は必要 ✅ より高度なテクニックや、脆弱性を突く攻撃もある ✅ サンプルコマンド動かないかも
Analyzing crypto miner container https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10 ✅ クリプトマイナーもよく話題に上がるテーマ ✅ コンテナ内で不正なプロセスを発見する方法を学ぶ ✅
実行を防ぐ側の視点で考えてみるのも面白い
Hacker container preview https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-14 ✅ コンテナ内での情報摂取、攻撃や診断に使えるツール群 ✅ 色々と触ってみよう ✅ 環境を変えて試してみるとなお良し
kubectl run -it hacker-container \ --image=madhuakula/hacker-container -- sh
年末年始のお供にいかがでしょうか?
Thank you!
kyohmizu
ezaki
fullkaiten
matyuda
kubell_hr
shift_evolve
fujiwara3
1ftseabass
grandbig
smt7174
layerx
cybozuinsideout
yoshimi0227
stuffmc
lindahogenes
joshbly
leimatthew05
nmsamuel
brettharned
uxyall
szymonslowik
lfama
honzajavorek
zakiyama
lynnandtonic
