Mehr Sicherheit für Anwendungen mit KUBERNETES Bordmitteln – Good practices for K8s AppOps Security
In diesem Vortrag stellen wir die persönliche K8s Security Good Practice unseres Solution Architects Johannes Schnatterer vor, die sich in den letzten Jahren als DevOps mit K8s-Clustern destilliert hat. Dabei wird praktisch gezeigt, wie mit überschaubarem Aufwand in der täglichen Arbeit die Anwendungssicherheit erhöht werden kann und welche typischen Angriffsvektoren bestehen.
Viele Entwickler deployen ihre Apps auf Kubernetes-Clustern (K8s) die von anderen betrieben werden, wie Amazon, Google, Microsoft oder "dem Betrieb". Das bedeutet, dass auch andere für die Cluster-Security verantwortlich sind, richtig? Nein, so einfach ist es nicht! In K8s gibt es vielfältige Security-Optionen: RBAC, securityContexts, Network Policies, PodSecurityPolicies, etc.
_____
www.cloudogu.com
_____
Slides:
https://cloudogu.github.io/k8s-appops...
or
https://speakerdeck.com/schnatterer/g...
Network Policy recipes: https://github.com/ahmetb/kubernetes-...
Network Policy talk on KubeCon: • Securing Cluster Networking with Netw...
Different behavior in NetPols of different CNI Plugins: https://www.inovex.de/blog/test-kuber...
Using Network Policy with Istio: https://istio.io/blog/2017/0.1-using-...
Security Context talk on KubeCon: • Secure Pods - Tim Allclair, Google (A...
Vulns mitigated by Docker Isolation: https://docs.docker.com/engine/securi...
K8s Securiy Audit: https://www.cncf.io/blog/2019/08/06/o...
K8s issue on seccomp: https://github.com/kubernetes/kuberne...
K8s enhancement: seccomp: https://github.com/kubernetes/enhance...
Vuln in runc: https://kubernetes.io/blog/2019/02/11...
Default Capabilities of a Docker Container: https://github.com/moby/moby/blob/315...
DNS Spoofing in K8s: https://blog.aquasec.com/dns-spoofing...
Security-optimized docker images: https://hub.docker.com/r/bitnami/
Example of a custom non-root image: https://github.com/schnatterer/nginx-...
OpenShift requires GID 0: https://docs.openshift.com/container-...
Tool 1 that checks k8s config for security issues: https://github.com/controlplaneio/kub...
Tool 2 that checks k8s config for security issues: https://github.com/Shopify/kubeaudit
Example for cluster-wide least privilege PSP: https://github.com/cloudogu/k8s-secur...
Issue talking about PSP depreaction: https://github.com/kubernetes/enhance...
Example for "whitelisting" Pod for privileged PSP: https://github.com/cloudogu/k8s-secur...
Cloudogu's trainings offerings: https://cloudogu.com/schulungen
Article series on K8s AppOps Security: https://cloudogu.com/blog/tag/k8s-sec...
Cloudogu On Twitter: / cloudogu
Johannes On Twitter: / jschnatterer
Link to demos shown in this talk: https://github.com/cloudogu/k8s-secur...
Watch video Mehr Sicherheit für Anwendungen mit KUBERNETES Bordmitteln – Good practices for K8s AppOps Security online without registration, duration hours minute second in high quality. This video was added by user Cloudogu 31 March 2020, don't forget to share it with your friends and acquaintances, it has been viewed on our site 431 once and liked it 12 people.