El documento detalla una charla sobre pentesting y seguridad en Kubernetes utilizando tecnologías de AWS, presentada por Mario Inga. Se abordan temas como la migración a contenedores, vulnerabilidades comunes, y el uso de herramientas como AWS GuardDuty y Inspector para la detección y gestión de vulnerabilidades. Además, se enfatiza la importancia de capacitar a los equipos de desarrollo en seguridad y la práctica en entornos controlados.

1. Perú
AWS UG PERÚ.
MEETUP #X
Ven. Conecta. Aprende.
Pentesting con Kubernetes Goat en
AWS EKS + GuardDuty + Detective
+ Inspector + ECR

2. Perú
- Mario Inga
- Community Builder
- Software Engineer
- Especialidad: DevOps Eng
- Security fan
- Music: metal m/
Quién soy?
🤓

3. Perú
Agenda
1. Anécdota
2. Demo
3. Preguntas

4. Perú
• Curso de Pentesting
• Curso de K8s Security
• Intro a Auditoría de Sistemas
• Hardening de Servers
• Cómo hackear FB, ni ninguna red
social de tu ex / actual / tiniebla(o).
Esta charla SI ES una anécdota.
Esta charla NO es

5. Perú

6. Perú
1. Migrar un Project hacia Containers. Creamos un
EKS cluster.
Anécdota

7. Perú
2. SRE team aprende la complejidad de K8s Security:
- Cluster & Nodos
- Network
- Runtime (Apps)
- Deploy (Image & Configs)
- Identidad & Accesos (RBAC)
- Data protection
Anécdota

8. Perú
3. SRE team esperando que
las Apps no tengan bugs de
seguridad.
Anécdota

9. Perú
Me pregunté:
- La seguridad depende “solo”
del Security team? 🤔
Pero:
- Y si mejor capacitamos al Dev
Team? 🤓
Anécdota

10. Perú
4. Vulnerabilidades mas comunes, OWASP Web top ten
Anécdota
https://owasp.org/www-project-top-ten/

11. Perú
4. Vulnerabilidades mas comunes, OWASP Kubernetes top ten
Anécdota
https://owasp.org/www-project-kubernetes-top-ten/

12. Perú
5. Enseñamos lo básico al Dev Team, tipos de Pentesting
Anécdota

13. Perú
5. Enseñamos lo básico al Dev Team, fases de Pentesting
Anécdota

14. Perú
Ya saben la teoría:
- OWASP Web & Kubernetes Top Ten ✅
- Pentesting y sus fases ✅
Pero:
- Deberá ser suficiente no? 🤔
Anécdota

15. Perú

16. Perú
6. Un Kubernetes vulnerable a propósito para practicar.
Anécdota

17. Perú
Interactive Kubernetes
Security Learning
Playground 🚀
Kubernetes Goat

18. Perú
• Sensitive keys in codebases
• DIND (docker-in-docker) exploitation
• SSRF in the Kubernetes (K8S) world
• Container escape to the host system
• Docker CIS benchmarks analysis
• Kubernetes CIS benchmarks analysis
• Attacking private registry
• NodePort exposed services
• Analyzing crypto miner container
• Kubernetes namespaces bypass
• Gaining environment information
• DoS the Memory/CPU resources
Kubernetes Goat - Scenarios
• Hacker container preview
• Hidden in layers
• RBAC least privileges misconfiguration
• KubeAudit - Audit Kubernetes clusters
• Falco - Runtime security monitoring &
detection
• Popeye - A Kubernetes cluster sanitizer
• Secure Network Boundaries using NSP
• Cilium Tetragon - eBPF-based Security
Observability and Runtime Enforcement
• Securing Kubernetes Clusters using
Kyverno Policy Engine

19. Perú
Me pregunté:
- OWASP Web & Kubernetes Top Ten ✅
- Pentesting y sus fases ✅
- Practicar bugs mas comunes ✅
Pero:
- Y si mientras ellos practican, nosotros
también aprendemos? 🤔
Anécdota

20. Perú
7. Activar AWS GuardDuty + AWS Detective
Anécdota

21. Perú
- Monitoreo constante
- Detección de amenazas con tecnología de ML
- Responde más rápido a las amenazas
- Detección de amenazas escalable
- Visibilidad integral de workload
AWS GuardDuty

22. Perú
AWS GuardDuty

23. Perú
- Analizar y visualizar datos de seguridad de
Aws Cloudtrail, VPC, EKS, etc
- Investigar e identificar la “root cause”.
AWS Detective

24. Perú
AWS Detective

25. Perú
$ git clone https://github.com/mario21ic/aws-kubernetes-goat-guardduty
Demo

26. Perú
Demo: Escape to Host

27. Perú
Demo: Lecciónes aprendidas
1. Nunca ejecutar un privileged Container
2. Evitar user root en Containers
3. No dejar información sensible en Container
4. Siempre cifrar los datos en reposo
Pero y cómo nos ayuda AWS? 🤔

28. Perú
AWS GuardDuty - Findings

29. Perú
Contexto: Runtime
1. Detecta si se despliega un Container con root level access?

30. Perú
AWS GuardDuty - detail

31. Perú
AWS GuardDuty
& Detective
1. Container con root
level access

32. Perú
AWS Detective

33. Perú
AWS Detective

34. Perú
Contexto: Runtime
2. Detecta si ejecuto un binario que no existía en el Container?

35. Perú
AWS
GuardDuty
2. Container ejecutó
un binario nuevo

36. Perú
AWS
GuardDuty

37. Perú
AWS
GuardDuty
& Detective

38. Perú
Contexto: Runtime
3. Detecta si trato de escanear la red en busqueda de
Pods?

39. Perú
AWS
GuardDuty
3. Intento de
escaneo de red con
nmap

40. Perú
AWS
GuardDuty

41. Perú
AWS
GuardDuty
& Detective

42. Perú
AWS
GuardDuty
& Detective
Network

43. Perú
Contexto: Container Images
“Container images” y sus Vulnerabilities?
libcurl

44. Perú
AWS ECR
Container Image Repository

45. Perú
AWS Inspector
• Administración automatizada de
Vulnerabilidades.
• Analiza en workloads, containers images,
ec2, etc
• SBOM (Software Bill Of Materials)
• Soporte para CIS (Center for Internet
Security) Benchmark assessments

46. Perú
AWS ECR & Inspector

47. Perú
AWS Inspector

48. Perú
AWS ECR
& Inspector
libcurl

49. Perú
• La “seguridad” es
“responsabilidad de todos”.
• No existe “la bala de plata”.
• Siempre hay un trade-off.
• De ser posible hacer una PoC
(Proof of concept).
Lecciones aprendidas

50. Perú
Ver como se hace algo
NO nos hace expertos.
Requiere “práctica”.

51. Perú
• Identify and Access Management
• Network and App Protection
• Data Protection
• Detection and Response
• Governance and Compliance
Mas info
https://docs.aws.amazon.com/whitepapers/latest/
aws-overview/security-services.html
Qué sigue?

52. Perú
AWS Security

53. Perú
Twitter @mario21ic
https://linkedin.com/in/mario21ic
Mantengamos el contacto

54. Perú
Muchas gracias