Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Prácticas de Seguridad en Kubernetes

Pablo Fredrikson
January 25, 2023
Programming
2
430

Prácticas de Seguridad en Kubernetes

Charla que di en un webinar con Arsys sobre las mejores prácticas para proteger tu cluster de Kubernetes.

Pablo Fredrikson

January 25, 2023
Tweet

More Decks by Pablo Fredrikson

See All by Pablo Fredrikson
De 0 a SRE en un año - tech4impact 2024
pablokbs
1
400
Seguridad en Kubernetes - Nerdearla 2023
pablokbs
0
250
Qué hace un Staff+ Engineer?
pablokbs
0
130
CI/CD - Workana
pablokbs
2
510
Cómo funciona el Algoritmo de YouTube
pablokbs
1
150
Cómo ahorrar millones de dólares con Kubernetes en Producción
pablokbs
0
900
Almacenando métrics de Prometheus a largo plazo con Thanos
pablokbs
0
750
El estado de SRE en 2020
pablokbs
2
700
Usando Docker para nuestro entorno local
pablokbs
1
840

Other Decks in Programming

See All in Programming
役立つログに取り組もう
irof
27
8.7k
CSC509 Lecture 08
javiergs
PRO
0
110
Progressive Web Apps für Desktop und Mobile mit Angular (Hands-on)
christianliebel
PRO
0
110
色々なIaCツールを実際に触って比較してみる
iriikeita
0
270
/←このスケジュール表に立ち向かう フロントエンド開発戦略 / A front-end development strategy to tackle a single-slash schedule.
nrslib
1
590
Kubernetes for Data Engineers: Building Scalable, Reliable Data Pipelines
sucitw
1
200
Golang と Erlang
taiyow
8
1.9k
プロジェクト新規参入者のリードタイム短縮の観点から見る、品質の高いコードとアーキテクチャを保つメリット
d_endo
1
1k
Synchronizationを支える技術
s_shimotori
1
150
Java ジェネリクス入門 2024
nagise
0
610
From Subtype Polymorphism To Typeclass-based Ad hoc Polymorphism - An Example
philipschwarz
PRO
0
170
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
210

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
664
120k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
BBQ
matthewcrist
85
9.3k
Building Applications with DynamoDB
mza
90
6.1k
Being A Developer After 40
akosma
86
590k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Producing Creativity
orderedlist
PRO
341
39k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Adopting Sorbet at Scale
ufuk
73
9k
Fashionably flexible responsive web design (full day workshop)
malarkey
404
65k

Transcript

  1. Buenas prácticas de seguridad en Kubernetes Cloud Pablo Fredrikson -

    Principal SRE @ Split

  2. Pablo Fredrikson • Principal SRE @ Split Software • +15

    años de experiencia • +5 años con Kubernetes en Producción • Pelado Nerd en YouTube

  3. Kubernetes en 3 minutos - Conceptos • Pods • Workers:

    Nodos, VMs • Masters: Controllers, Schedulers, API

  4. MASTER API server Kube Scheduler Controller Manager Cloud Controller Manager

    API Kubernetes Cluster Services API Kubernetes Cluster Services API etcd deployment pod1: - container1 - container2 replicas: 3 pod2: - container3 replicas: 2 Kubelet Kubelet Kubelet P1R3 P1R1 P2R1 P1R2 P2R2 Kubernetes en 3 minutos

  5. Kubelet P2R1 Kubelet P1R2 Kubelet Kubernetes Cluster Services API deployment

    pod1: - container1 - container2 replicas: 3 pod2: - container3 replicas: 2 P1R3 P1R1 P2R2 P1R3 P1R1 Kubernetes en 3 minutos

  6. Kubernetes es un orquestador

  7. Kubernetes es una API

  8. ¿Cómo protegemos nuestro cluster? • Por fuera: API • Por

    dentro: Seguridad en contenedores

  9. Por fuera: Kubernetes es una API

  10. Por fuera: Kubernetes es una API

  11. Protegiendo la API de Kubernetes • Priorizar seguridad / No

    exponer más información de la necesaria • Inventariar y manejar las API • Usar una solución robusta de autorización y autenticación • Practicar el principio de los privilegios mínimos • Cifrar el tráfico usando TLS • Quitar/limitar información que no debería ser compartida • Validar datos ingeridos Ordenando un poquito la lista

  12. Protegiendo la API de Kubernetes • Bloquear acceso externo •

    Mantener Kubernetes actualizado ◦ Estar al tanto de vulnerabilidades: https://kubernetes.io/security Priorizando la seguridad / No exponer más información de la necesaria

  13. Protegiendo la API de Kubernetes Priorizando la seguridad

  14. Protegiendo la API de Kubernetes • Kubernetes CRD son geniales!

    ◦ Permiten crear y controlar tus propios recursos ◦ Extiende la API de Kubernetes ◦ Los controladores de estos nuevos recursos pueden ser peligrosos! Inventariar y manejar las API

  15. Protegiendo la API de Kubernetes • El sistema que viene

    por defecto está bastante bien • Lo importante es configurarlo bien (próximo punto) Usar una solución robusta de autorización y autenticación

  16. Protegiendo la API de Kubernetes • RBAC: Role Based Access

    Control Practicar el principio de los privilegios mínimos

  17. Protegiendo la API de Kubernetes Practicar el principio de los

    privilegios mínimos: RBAC ns1 ns2 ns3 ns4 cluster usuarios grupos pods • Role (set de permisos: ns) • ClusterRole • RoleBinding • ClusterRoleBinding • ServiceAccount

  18. Protegiendo la API de Kubernetes Practicar el principio de los

    privilegios mínimos: RBAC demo

  19. Protegiendo la API de Kubernetes • Kubernetes ya usa TLS

    por defecto y firma sus propios certificados • Puedes crear tu propia CA y hacerlo incluso más seguro ◦ Es una buena idea pero puede ser difícil de mantener ◦ cert-manager es una buena opción Cifrar el tráfico usando TLS

  20. Protegiendo la API de Kubernetes • Kubernetes ya usa TLS

    por defecto y firma sus propios certificados • Puedes crear tu propia CA y hacerlo incluso más seguro ◦ Es una buena idea pero puede ser difícil de mantener ◦ cert-manager es una buena opción Cifrar el tráfico usando TLS

  21. Protegiendo Kubernetes desde adentro

  22. Protegiendo Kubernetes desde adentro

  23. Protegiendo Kubernetes desde adentro • Privileged containers ◦ PodSecurityPolicy /

    PodSecurityAdmission ◦ Rootless containers ▪ containerd, CRI-O • NetworkPolicy ◦ Requiere un plugin de Networking compatible: Calico, Cilium, Weave • ServiceMesh ◦ Ayuda con cifrado pod to pod / svc to svc Varias cosas para tener en cuenta

  24. Herramientas para encontrar problemas Popeye

  25. Herramientas para encontrar problemas Trivy

  26. Herramientas para encontrar problemas kubeaudit

  27. Herramientas para encontrar problemas Gatekeeper git clone [email protected]:open-policy-agent/gatekeeper.git cd charts/gatekeeper

    helm install -n gatekeeper-system . --create-namespace

  28. Herramientas para encontrar problemas Gatekeeper

  29. Herramientas para encontrar problemas Gatekeeper

  30. Herramientas para encontrar problemas Gatekeeper kubectl run nginx --image=nginx kubectl

    get constraint

  31. Miren mi video con Tim Allclair! Hablamos muchos de los

    temas que nombré en esta charla

  32. Gracias peladonerd.com