Mehr Sicherheit für Anwendungen mit KUBERNETES Bordmitteln – Good practices for K8s AppOps Security
In diesem Vortrag stellen wir die persönliche K8s Security Good Practice unseres Solution Architects Johannes Schnatterer vor, die sich in den letzten Jahren als DevOps mit K8s-Clustern destilliert hat. Dabei wird praktisch gezeigt, wie mit überschaubarem Aufwand in der täglichen Arbeit die Anwendungssicherheit erhöht werden kann und welche typischen Angriffsvektoren bestehen.
Viele Entwickler deployen ihre Apps auf Kubernetes-Clustern (K8s) die von anderen betrieben werden, wie Amazon, Google, Microsoft oder "dem Betrieb". Das bedeutet, dass auch andere für die Cluster-Security verantwortlich sind, richtig? Nein, so einfach ist es nicht! In K8s gibt es vielfältige Security-Optionen: RBAC, securityContexts, Network Policies, PodSecurityPolicies, etc.
_____
www.cloudogu.com
_____
Slides:
https://cloudogu.github.io/k8s-appops...
or
https://speakerdeck.com/schnatterer/g...
Network Policy recipes: https://github.com/ahmetb/kubernetes-...
Network Policy talk on KubeCon: • Securing Cluster Networking with Netw...
Different behavior in NetPols of different CNI Plugins: https://www.inovex.de/blog/test-kuber...
Using Network Policy with Istio: https://istio.io/blog/2017/0.1-using-...
Security Context talk on KubeCon: • Secure Pods - Tim Allclair, Google (A...
Vulns mitigated by Docker Isolation: https://docs.docker.com/engine/securi...
K8s Securiy Audit: https://www.cncf.io/blog/2019/08/06/o...
K8s issue on seccomp: https://github.com/kubernetes/kuberne...
K8s enhancement: seccomp: https://github.com/kubernetes/enhance...
Vuln in runc: https://kubernetes.io/blog/2019/02/11...
Default Capabilities of a Docker Container: https://github.com/moby/moby/blob/315...
DNS Spoofing in K8s: https://blog.aquasec.com/dns-spoofing...
Security-optimized docker images: https://hub.docker.com/r/bitnami/
Example of a custom non-root image: https://github.com/schnatterer/nginx-...
OpenShift requires GID 0: https://docs.openshift.com/container-...
Tool 1 that checks k8s config for security issues: https://github.com/controlplaneio/kub...
Tool 2 that checks k8s config for security issues: https://github.com/Shopify/kubeaudit
Example for cluster-wide least privilege PSP: https://github.com/cloudogu/k8s-secur...
Issue talking about PSP depreaction: https://github.com/kubernetes/enhance...
Example for "whitelisting" Pod for privileged PSP: https://github.com/cloudogu/k8s-secur...
Cloudogu's trainings offerings: https://cloudogu.com/schulungen
Article series on K8s AppOps Security: https://cloudogu.com/blog/tag/k8s-sec...
Cloudogu On Twitter: / cloudogu
Johannes On Twitter: / jschnatterer
Link to demos shown in this talk: https://github.com/cloudogu/k8s-secur...
Смотрите видео Mehr Sicherheit für Anwendungen mit KUBERNETES Bordmitteln – Good practices for K8s AppOps Security онлайн без регистрации, длительностью часов минут секунд в хорошем качестве. Это видео добавил пользователь Cloudogu 31 Март 2020, не забудьте поделиться им ссылкой с друзьями и знакомыми, на нашем сайте его посмотрели 431 раз и оно понравилось 12 людям.