Publicidad
The real WAX ROADSHOW K8S 2022.pdf
Denunciar
François BerthaultSeguir
15 de Mar de 2023•0 recomendaciones•3 vistas
0 recomendaciones
Sé el primero en que te guste
ver más
vistas
Total de vistas
0
En Slideshare
0
De embebidos
0
Número de embebidos
0
Check these out next
The real WAX ROADSHOW K8S 2022.pdf
15 de Mar de 2023•0 recomendaciones•3 vistas
0 recomendaciones
Sé el primero en que te guste
ver más
vistas
Total de vistas
0
En Slideshare
0
De embebidos
0
Número de embebidos
0
Descargar para leer sin conexión
Denunciar
Tecnología
La sécurité kubernetes a tous les étages
François BerthaultSeguir
Publicidad
Publicidad
Publicidad
Recomendados
Docker en Production (Docker Paris)Jérôme Petazzoni
2023-02-02 - Marvelous MarchFrederic Leger
Présentation CoreOSgcatt
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueAZUG FR
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
Agile lille 2015 devops etapresLaurent Tardif
The real WAX ROADSHOW K8S 2022.pdf
- LA SÉCURITÉ (kube) À TOUS LES ÉTAGES Adrien MONTIGNEAUX, François BERTHAULT, Hervé FONTBONNE
- Qui suis-je ? / Qui sommes-nous ? Adrien MONTIGNEAUX Les filles et les garçons de la Tech ● Consultant Cloud et DevOps
- Qui suis-je ? François Berthault Les filles et les garçons de la Tech capitaine devops ★ Dev&Ops ★ Architecte ★ Coach DevOps ★ kubernetes et observabilité @fanfansama
- Qui suis-je ? / Qui sommes-nous ? Hervé FONTBONNE Co-fondateur Les filles et les garçons de la Tech ● Consultant Cloud et DevOps ● Formateur
- Au programme
- Les bases Kubernetes Sécurité
- Concepts Globaux de Kubernetes
- Sécurité : Quelques principes globaux
- Réseau Diviser pour mieux régner
- Réseau : “Diviser pour mieux régner”
- Noeud Réduire la surface d’attaque Hardening Benchmark et mise à jour Sauvegarde ETCD
- Node: Réduire la surface dʼattaque - -
- Node: Hardening
- Node: Benchmark et Mise à jour
- Node: Sauvegarde ETCD
- Cluster Network Policies Role Based Access Control (RBAC) Authentification Tierce Pod Security Admission & Controller Kubernetes Policies Audit Logs
- Network Policies --- apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: access-nginx spec: podSelector: matchLabels: app: nginx ingress: - from: - podSelector: matchLabels: access: "true"
- RBAC - Roles Based Access Control --- apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: pod-reader namespace: ns-demo rules: - verbs: ["get","watch","list"] apiGroups: [""] resources: ["pods"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: ns-demo subjects: - kind: User name: alice apiGroup: rbac.authorization.k8s.io roleRef: kind: Role apiGroup: rbac.authorization.k8s.io name: pod-reader Alice a le droit de lister les conteneurs dans le namespace ns-demo, mais pas de les supprimer ni les créer
- API - Authentification Tierce Pas de gestion de (vrais) utilisateurs. Les applications et les démons utilisent des ServiceAccounts. Utilisation d’une solution IAM avec une authentification tierce de type OIDC + RBAC
- Admission Controller (1/2)
- Pod Security Admission - PSA (2/2) https://kubernetes.io/docs/concepts/security/pod-security-standards/ enforce rejet de la ressource audit log de violation + événement warn événement privileged namespace délibérément ouverte et entièrement illimitée. baseline namespace faciliter l'adoption des “workloads” tout en empêchant les escalades de privilèges connues. restricted namespace appliquer les meilleures pratiques actuelles de renforcement des pods, au détriment d'une certaine compatibilité. apiVersion: v1 kind: Namespace metadata: name: test-ns labels: pod-security.kubernetes.io/enforce: baseline
- Kubernetes Policy: Kyverno
- Audit logs
- Pod Gestion des données sensibles Sécuriser le contexte d’exécution Détecter les comportements anormaux
- Gestion des données sensibles
- Prévention / Détection
- Prévention : SecurityContext Permet de restreindre le contexte d’exécution des Pods et des containers. securityContext: readOnlyRootFilesystem: true allowPrivilegeEscalation: false runAsNonRoot: true runAsUser: 1000 runAsGroup: 3000 fsGroup: 2000 capabilities: drop: - CAP_SYS_ADMIN
- Détection - Falco - rule: Detect bash in a container desc: You shouldn't have a shell run in a container condition: container.id != host and proc.name = bash output: Bash ran inside a container (user=%user.name command=%proc.cmdline %container.info) priority: INFO
- Remédiation : Réponses aux alertes !
- Images Containers De bonnes bases Le strict nécessaire Pas de super pouvoirs Scan des CVE
- Image de base / Hiérarchie d’image
- Réduire l'empreinte de vos images Supprimer les packages inutiles à l'exécution (curl, nmap, …) Faire du multi-stage Restreindre : User Non Root RUN groupadd -g 999 appgroup && useradd -r -u 999 -g appgroup appuser USER appuser “Un processus dans un container n’est pas différent d’un autre processus Linux de l’hôte”
- Scan de vulnérabilité des images $> podman run aquasec/trivy image python:3.4-alpine
- Diminuer la surface d’attaque 26 Août 2022 (Apple M1 / linux/arm64/v8) Size Low Medium High Critical node:18 Digest: sha256:a0a2fc4435b0c9ae7bec0a69b1279323a4a41c5a005581fbf30d39cd5777db37 939.71 MB 523 198 323 30 node:18-alpine Digest: sha256:9b435939937b0deef5c1f6fcfd1f265aa7a77574388b671fda322e662744472d 164.38 MB 0 0 0 0 gcr.io/distroless/nodejs:18 Digest: sha256:de566fe4f6afb9c4714bb8e5d8b53818898b39f14ff5df2da768a00748bd52c0 154.74 MB 11 0 3 0
- Le code : Dependency Check $> podman run owasp/dependency-check:$DC_VERSION CVE basés sur la National Vulnerability Database (NVD)
- Ce que l’on retiendra …
- MERCI
Publicidad