30 分鐘打下 K8s - YSc

歡迎來到 Kubernetes Summit'20 共筆

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

共筆入口:https://hackmd.io/@k8ssummit/20
手機版請點選上方 按鈕展開議程列表。

從這開始

基礎上的問題

配置
網路管理
金鑰管理
權限管理

應用上的問題

pod 上面的應用
設定檔檢查
映像檔安全
服務運行時的資安

攻擊案例:偷走kube-env -》大內網延伸的問題

  • kube-env內含node private key
  • k8s是大內網,裡面全部都是通的,沒有任何阻擋
  • 例如一個上傳圖片的服務,提供一個URL,他就把URL的內容抓下來給你
  • URL如果你沒有過濾,駭客就可以送進http://169.254.169.254/,把kube-env偷走
  • 進一步可以拿到image > 甚至可以拿到secret,如果寫死在source code裡面的話
  • 再進一步可以湊出kubecfg,拿到cluster admin權限,打下k8s結束

  1. 有安全漏洞的pod滲透進去,透過該漏洞打到 metadata

  2. 打 metadata

    • 可以拉 image,可以拿到 source code
    • kops state 可以湊 kubecfg

  3. 有了 kubecfg 就可以控制所有 resource

k8s最需要被保護的是ETCD,他是k8s的大腦

防禦

  1. 網路管理最重要
  2. state, 權限要管理好
  3. protect cluster metadata server
  4. 裝 pod 間的防火牆,避免大內網暢通無阻。

reference

11 ways not to get hacked(by google)

tags: k8ssummit20 k8s
Select a repo