- Kubernetes Meetup Tokyo #30 ( https://k8sjp.connpass.com/event/171599/ ) で発表した資料です。
* スライド上のリンクはPDFをダウンロードしたらクリック可能です
- メルカリではMicroservices化を進めており、各サービスのコンテナをKubernetesクラスタにのせて運用しています。本セッションでは、大規模なKubernetesクラスタを運用するにあたって、セキュリティの観点から、どのような考え方で運用する
必要があると考えているか、セキュリティ戦略を説明します。
【登壇時ビデオ】
https://www.youtube.com/watch?v=5rW0T63A_P8&t=5370
【スライド内主要リンク】
■攻撃シナリオ チュートリアル
https://github.com/rung/tutorial-gke-security
■デモ
シナリオ1: 開発者の端末経由 (内部から) - https://www.youtube.com/watch?v=kfD7aK_aI0w
シナリオ2: アプリケーションの脆弱性 (外部から) - https://www.youtube.com/watch?v=fEPbsuY3PRg
【参考資料】
■Kubernetes Security
Kubernetes Security Audit Report - https://github.com/kubernetes/community/tree/master/wg-security-audit
Kubernetes Security - https://www.oreilly.com/library/view/kubernetes-security/9781492039075/
Kubernetes Multi-tenancy profile: Single Tenant Cluster - https://github.com/kubernetes-sigs/multi-tenancy/blob/master/docs/profiles/profile-single-tenant-cluster.md
Kubernetes Multi-Tenancy Proposal - https://docs.google.com/document/d/1U8RQQmTUjxgMZY05HG2f7b3KsB94BhK4Ko6aWbLNXcc/edit
■ 攻撃シナリオ1: 開発者の端末経由
The Path Less Traveled: Abusing Kubernetes Defaults - https://speakerdeck.com/iancoldwater/the-path-less-traveled-abusing-kubernetes-defaults
Kubernetes RBAC in microservices - https://speakerdeck.com/spesnova/kubernetes-rbac-in-microservices
■ 攻撃シナリオ2: アプリケーションの脆弱性
SSRF in Exchange leads to ROOT access in all instances - https://hackerone.com/reports/341876
Hacking Kubelet on Google Kubernetes Engine - https://www.4armed.com/blog/hacking-kubelet-on-gke/
■ Component of Isolation
DNS Spoofing on Kubernetes Clusters - https://blog.aquasec.com/dns-spoofing-kubernetes-clusters