Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AKSのdashboardは無効化したほうがよいか?
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
SSSSSSSSSSSSHHHHHHHHHH
December 24, 2019
130
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AKSのdashboardは無効化したほうがよいか?
タイミングを失ってどこにも出せなかった資料です。
クリぼっちなので供養させてください
SSSSSSSSSSSSHHHHHHHHHH
December 24, 2019
More Decks by SSSSSSSSSSSSHHHHHHHHHH
See All by SSSSSSSSSSSSHHHHHHHHHH
ベストプラクティス・ドリフト
sssssssssssshhhhhhhhhh
2
590
認定スラクムマスター研修 受講報告
sssssssssssshhhhhhhhhh
0
210
コンテナレジストリサーバーにコンテナ以外のものを格納する
sssssssssssshhhhhhhhhh
2
1.6k
Azure AD Pod Identityについて
sssssssssssshhhhhhhhhh
2
1.6k
OPENSHIFT4.2のインストールツールに見るクラスタの構築方法について
sssssssssssshhhhhhhhhh
0
340
Featured
See All Featured
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
270
Optimising Largest Contentful Paint
csswizardry
37
3.7k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
310
Fireside Chat
paigeccino
42
4k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
Odyssey Design
rkendrick25
PRO
2
710
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Making the Leap to Tech Lead
cromwellryan
135
9.9k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
240
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
170
The browser strikes back
jonoalderson
0
1.3k
Color Theory Basics | Prateek | Gurzu
gurzu
0
370
Transcript
AKSのdashboardは 無効化した方がよいか?
はじめに • AKSのdashboardを使用していない場合無効化すべきか、そも そも使用を推すべきか、課題をまとめました。 • セキュリティに関する問題提起型のプレゼンです。 • 結論はありません • 下記のうち、どちらを選択するかのトロッコ問題です。
• AKSのdashboardを利用することによる利便性 • AKSのdashboardを利用可能な状態にすることによる セキュリティホールの危険性 • 少なくとも自分はAKSのdashboardを使用しなくてもいいかな と思っている立場の人間です
きっかけ • MS Ignite 2019のAKS Management Best Practice ⇒Disable the
Dashboard (Recommended)のスライド (残念ながら動画で説明はなし) https://myignite.techcommunity.microsoft.com/sessions/81598 • AKSのProjects Roadmapにおけるdashboard関連のissue • https://github.com/Azure/AKS/issues/1074 Feature Request: Create AKS Cluster with Dashboard Disabled • https://github.com/Azure/AKS/issues/1197 Add Azure Policy alias for checking kubedashboard enabled status • https://github.com/Azure/AKS/issues/1198 Feature Request: Create AKS Cluster with Dashboard Disabled
過去のトラウマ1 • Ver1.6までのバージョンではkubernetes-dashboardに認証機 能がなかった =>Teslaで運用されていたKubernetesが 仮想通貨のマイニングに悪用される • インターネット上に公開&cluster-admin権限の付与という無 防備状態だったため https://redlock.io/blog/cryptojacking-tesla
https://blog.heptio.com/on-securing-the-kubernetes- dashboard-16b09b1b7aca
過去のトラウマ2 • 権限昇格の脆弱性がkubernetes-dashboardに発見される https://sysdig.com/blog/privilege-escalation-kubernetes-dashboard/ • 今はSKIPボタンはありません https://github.com/gardener/gardener/pull/555
現在のAKSに関する問題点 • Az aks browseを実行中、Dashboardは公開状態になる (ちょっと前まで。今は違うかもしれません) • Dashboardを見る人に適切なroleを割り振るのが難しい MS Documentに書いてあるaz
aks browseを利用した場合、 認証画面が出てこない =>dashboardに振られたsaをみんなが利用することに… • Azure上のサービスを利用する場合、AzureADとの連携を考えたときに、 いまだにissueが枯れていない=利用できないと見た方がいい AKS with RBAC unable to view Dashboard with Azure AD https://github.com/MicrosoftDocs/azure-docs/issues/23789
それでも使用したい場合は? https://github.com/Azure/aks-bestpractices-ignite19 より引用
最後に • ロール権限を割り振る必要がないくらい少人数のチームなら正直あまり関 係ない • ロール権限を割り振るくらい役割が細分化された大規模チームなら、なお さら素のkubernetes-dashboardを使用する必要ってあまりない (GitOpsなど適切に運用していれば必要性ってないと存じます) • 現状のAKSは普通に作成するとkubernetes-dashboardは常駐して
いますが、サービスを開放していません ⇒したがって、それだけではセキュリティインシデントになることは考えづらい ⇒しかし、kube-apiserverに直結するエンドポイントではある ⇒使用しないのであれば、口はなるべく閉じることをお勧めしたい