SlideShare une entreprise Scribd logo

Kubernetes est-il soluble dans la sécurité ? Meetup Genève

Net4All
Net4All

Le 10 décembre 2019, l’équipe Net4All a eu le plaisir d’organiser à Genève (Impact Hub) : un Meetup nommé : Kubernetes est-il soluble dans la sécurité ?

Technologie
1  sur  19
Télécharger pour lire hors ligne
Net4All – Kubernetes Meetup Genève – 10/12/19 1
2Net4All – Kubernetes Meetup Genève – 10/12/19 Positionnement sur deux axes majeurs Services Managés • Infrastructure Cloud privé et Cloud public • Service Infogérance 24/7 à la carte • Niveau de sécurisationde plateforme progressif • Pilotage et gouvernancede projets Prestation de sécurité : offensives et défensives • Expertise sur Cloud public et Kubernetes • Accompagnement DevSecOps Création : 2000 Basé à Ecublens 20 personnes
Guillaume SEVESTRE RSSI Kévin CHOLLET Responsable pôle Linux 3Net4All – Kubernetes Meetup Genève – 10/12/19
Net4All – Kubernetes Meetup Genève – 10/12/19 4 FROM debian:9 … … FROM debian:10 … … FROM alpine:3.6 … … • Quel est le nombre total de noyaux linux qui s’exécutent sur cette infrastructure ? • 4 , 3 , 2 ou 1 ?
• Ce mécanisme permet d'exécuter des applications de façon isolées sur un mêmesystème hôte • L'application et les programmes, bibliothèques, ressources dont elle a besoin forment une image • Des instances de l'image contenant l'application sont lancées dans des conteneurs • La technologie majeure des conteneurs est Docker Net4All – Kubernetes Meetup Genève – 10/12/19 Application + Libs + Binaires 5
≠ VM Net4All – Kubernetes Meetup Genève – 10/12/19 6 VM VM
• Pilote le déploiement et la configuration des conteneurs, le réseau, le stockage … • Permet un fonctionnement déclaratif de type Architecture As Code • Garantit l'état du cluster tel que spécifié, et automatise les corrections en cas d'altération Net4All – Kubernetes Meetup Genève – 10/12/19 7
Net4All – Kubernetes Meetup Genève – 10/12/19 8
• Compromission via un compte mal sécurisé ou un manque de restriction réseau : certaines versions de Kubernetes acceptaient des requêtes anonymes par défaut ! • Compromission viaune vulnérabilité : la CVE-2018-1002105 permet une élévation de privilège sur le cluster pouvant se propager à l'hôte • Nov 2019 : des hackers exploitent des services docker non protégés Net4All – Kubernetes Meetup Genève – 10/12/19 9 Retour d’expérience Client : • Il faut établir une sécurité périmétrique limitant l'accès aux API
• Les images se substituent aux packages : • De nouvelles blackboxes, au cœur du cluster • Utiliser une image … c’est déléguer sa sécurité • Toute image vérolée ou obsolète peut compromettre votre cluster Net4All – Kubernetes Meetup Genève – 10/12/19 10 Retour d’expérience Client : • Build d'images minimales (CI/CD, impact sur l'équipe devops, best practices) • Scan de vulnérabilités / Analyse statique
Net4All – Kubernetes Meetup Genève – 10/12/19 11 Reverse proxy nginx Application DVWA Damn vuln web app Application Bodgeit Cluster managé EKS
• Kubernetes : open by design ? • Accès possible aux mécanismes les plus sensibles du cluster (config etcd, API server) • Importance d’appliquer les Best Practices : RBAC, namespaces,rootless images • Network Policies, Pod Security Policies … mais attention aux impacts Net4All – Kubernetes Meetup Genève – 10/12/19 12 “People assume Kubernetes has a lot of security, the mistake, however, is in assuming those native controls are configured by default, they’re not !” Kubernetes Security, RedHat Openshift: 5 mistakes to avoid May 2019Retour d’expérience Client : • Evaluer l’impact fort de l'activation de protections (rootless...) • Se faire accompagner sur le design et l'implémentation • Investir sur la montée en compétence
Net4All – Kubernetes Meetup Genève – 10/12/19 13 • WAF : permet de filtrer l'ensemble des flux en amont du cluster Kubernetes. • Virtual patching : permet de rapidement compenser des problèmes qui seraient compliqués à patcher sur le cluster • Gestion des logs : La volatilité de kubernetes rend le diagnostic et l'analyse à postériori plus complexe. Pour des raisons de sécurité ou opérationnelles, la gestion de logs centraliséepermet de rendre l'ensemble plus accessible
Net4All – Kubernetes Meetup Genève – 10/12/19 14 Nginx Gloo HAProxy Kong Traefik Licence Free/Com Free/Com Free Free/Com Free/Com SSL/TLS Oui Oui Oui Via plugin Oui URL rewrites Oui Oui Oui Via plugin Oui WAF Non Oui Partiel Via plugin Non Authentication proxy Jwt ou snippet Oui Partiel Via plugin Partiel RateLimit Via snippet Oui Oui Via plugin Oui Bot Detection Via Snippet Non Partiel Via plugin Non ACL Oui Oui Oui Via plugin Oui
Net4All – Kubernetes Meetup Genève – 10/12/19 15 Scan d'infra : Un scan de sécurité, type Nessus, permet d'être alerté de failles qui pourraient passer inaperçues sur une infrastructure de taille moyenne ou importante. Elle permet également d'identifier les containers qui pourrait s'avérer sensible à une faille.
• Patcher Kubernetes : une toute autre dimension • Cluster : être toujours sur la dernière version ! • Drivers / plugins : drivers réseau, Istio • Patch aussi dans les images • OS, Middleware, Application Net4All – Kubernetes Meetup Genève – 10/12/19 16 Retour d’expérience Client : • Processus maîtrisés de Maj complète de la plateforme • Inter-dépendances : une cascade de Maj • Planifier les downtime
Net4All – Kubernetes Meetup Genève – 10/12/19 17 Google (GKE) Azure (AKS) Aws (EKS) Mise à jour automatique Master et nodes mis à jour de manière automatique Master et nodes miseà jour en mêmetemps, sur demande Mise à jour on demand, avec actions manuelles RBAC Oui Oui Oui
Gérez les 4 domaines de sécurité : ❑ Réduisez l’exposition réseau de votre cluster ❑ Privilégiez des images maitrisées minimales ❑ Appliquez les Best Practices au design du cluster ❑ Intégrez des éléments de sécu actifs dans le cluster ❑ Anticipez le patch management du cluster Investissez dans la phase de Design & Implémentation pour réduire vos coûts opérationnels ultérieurs Net4All – Kubernetes Meetup Genève – 10/12/19 18
19

Recommandé

Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Open Source Experience
 
Sw 100 fr docker conteneurisation des applications
Sw 100 fr docker conteneurisation des applicationsSw 100 fr docker conteneurisation des applications
Sw 100 fr docker conteneurisation des applicationsStephane Woillez
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialOVHcloud
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Chroniques de formation : Scaling Code Labs avec Swarm et Compose
Chroniques de formation : Scaling Code Labs avec Swarm et ComposeChroniques de formation : Scaling Code Labs avec Swarm et Compose
Chroniques de formation : Scaling Code Labs avec Swarm et ComposeDamien Duportal
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
REX Openshift à la Poste
REX Openshift à la PosteREX Openshift à la Poste
REX Openshift à la PosteMembré Guillaume
 

Recommandé

Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Open Source Experience
 
Sw 100 fr docker conteneurisation des applications
Sw 100 fr docker conteneurisation des applicationsSw 100 fr docker conteneurisation des applications
Sw 100 fr docker conteneurisation des applicationsStephane Woillez
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialOVHcloud
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Chroniques de formation : Scaling Code Labs avec Swarm et Compose
Chroniques de formation : Scaling Code Labs avec Swarm et ComposeChroniques de formation : Scaling Code Labs avec Swarm et Compose
Chroniques de formation : Scaling Code Labs avec Swarm et ComposeDamien Duportal
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
REX Openshift à la Poste
REX Openshift à la PosteREX Openshift à la Poste
REX Openshift à la PosteMembré Guillaume
 
What is Docker
What is Docker What is Docker
What is Docker Hocine Boukhatem
 
Vert.x
Vert.xVert.x
Vert.xXavier MARIN
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec dockergcatt
 
Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013gdgyaounde
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Jérôme Petazzoni
 
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?ALTER WAY
 
Introduction à docker.io
Introduction à docker.ioIntroduction à docker.io
Introduction à docker.ioNicolas Hennion
 
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientesMeetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientesFrederic Leger
 
Intro to docker
Intro to dockerIntro to docker
Intro to dockerAbderrahmane Mechri
 
Docker du mythe à la réalité
Docker du mythe à la réalitéDocker du mythe à la réalité
Docker du mythe à la réalitéZenika
 
Docker le buzz est il justifié ?
Docker le buzz est il justifié ? Docker le buzz est il justifié ?
Docker le buzz est il justifié ? Romain Chalumeau
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureParis Container Day
 
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Silicon Comté
 
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...Cédric Leblond
 
Vert.x 3
Vert.x 3Vert.x 3
Vert.x 3Xavier MARIN
 
Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...Publicis Sapient Engineering
 
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)Publicis Sapient Engineering
 
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?Membré Guillaume
 
Livre blanc docker
Livre blanc docker Livre blanc docker
Livre blanc docker JEAN-GUILLAUME DUJARDIN
 
Gdg lille-intro-to-kubernetes
Gdg lille-intro-to-kubernetesGdg lille-intro-to-kubernetes
Gdg lille-intro-to-kubernetesChristophe Furmaniak
 
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...NBS System
 
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...MSDEVMTL
 

Contenu connexe

Tendances

Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec dockergcatt
 
Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013gdgyaounde
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Jérôme Petazzoni
 
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?ALTER WAY
 
Introduction à docker.io
Introduction à docker.ioIntroduction à docker.io
Introduction à docker.ioNicolas Hennion
 
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientesMeetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientesFrederic Leger
 
Docker du mythe à la réalité
Docker du mythe à la réalitéDocker du mythe à la réalité
Docker du mythe à la réalitéZenika
 
Docker le buzz est il justifié ?
Docker le buzz est il justifié ? Docker le buzz est il justifié ?
Docker le buzz est il justifié ? Romain Chalumeau
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureParis Container Day
 
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Silicon Comté
 
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...Cédric Leblond
 
Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...Publicis Sapient Engineering
 
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)Publicis Sapient Engineering
 
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?Membré Guillaume
 

Tendances (20)

What is Docker
What is Docker What is Docker
What is Docker
 
Vert.x
Vert.xVert.x
Vert.x
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec docker
 
Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013Web rtc présentation-Devfest Yde 2013
Web rtc présentation-Devfest Yde 2013
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
 
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
 
Introduction à docker.io
Introduction à docker.ioIntroduction à docker.io
Introduction à docker.io
 
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientesMeetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
Meetup DevOps Aix-Marseille - théorie du chaos et architectures résilientes
 
Intro to docker
Intro to dockerIntro to docker
Intro to docker
 
Docker du mythe à la réalité
Docker du mythe à la réalitéDocker du mythe à la réalité
Docker du mythe à la réalité
 
Docker le buzz est il justifié ?
Docker le buzz est il justifié ? Docker le buzz est il justifié ?
Docker le buzz est il justifié ?
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse Faure
 
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
Introduction à Docker et utilisation en production /Digital apéro Besançon [1...
 
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
Retour d'expérience Docker: Puissance et simplicité de VSTS, déploiement sur ...
 
Vert.x 3
Vert.x 3Vert.x 3
Vert.x 3
 
Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...Paris Container Day 2016 : De la construction au déploiement d’applications...
Paris Container Day 2016 : De la construction au déploiement d’applications...
 
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
Paris Container Day 2016 : Les nouveaux défis du déploiement (Xebia Labs)
 
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
CI, CD, pipelines, conteneurs : la cohabitation est elle possible ?
 
Livre blanc docker
Livre blanc docker Livre blanc docker
Livre blanc docker
 
Gdg lille-intro-to-kubernetes
Gdg lille-intro-to-kubernetesGdg lille-intro-to-kubernetes
Gdg lille-intro-to-kubernetes
 

Similaire à Kubernetes est-il soluble dans la sécurité ? Meetup Genève

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...NBS System
 
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...MSDEVMTL
 
Agile lille 2015 devops etapres
Agile lille 2015 devops etapresAgile lille 2015 devops etapres
Agile lille 2015 devops etapresLaurent Tardif
 
SUSE Expert Days Paris 2018 – CaaSP
SUSE Expert Days Paris 2018 – CaaSPSUSE Expert Days Paris 2018 – CaaSP
SUSE Expert Days Paris 2018 – CaaSPSUSE
 
What’s Next Replay! Lyon 2011 - G. Darmont
What’s Next Replay! Lyon 2011 - G. DarmontWhat’s Next Replay! Lyon 2011 - G. Darmont
What’s Next Replay! Lyon 2011 - G. DarmontZenika
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillanceSergio Loureiro
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Sergio Loureiro
 
Créer une IA capable de reconnaître des fleurs (ou autres)
Créer une IA capable de reconnaître des fleurs (ou autres)Créer une IA capable de reconnaître des fleurs (ou autres)
Créer une IA capable de reconnaître des fleurs (ou autres)Olivier Eeckhoutte
 
Nebula introduction technique. 16122016pptx
Nebula introduction technique. 16122016pptxNebula introduction technique. 16122016pptx
Nebula introduction technique. 16122016pptxZyxel France
 
Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0Michel HUBERT
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Frederic Leger
 
Docker, Pierre angulaire du continuous delivery ?
Docker, Pierre angulaire du continuous delivery ?Docker, Pierre angulaire du continuous delivery ?
Docker, Pierre angulaire du continuous delivery ?Adrien Blind
 
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN Fully Automated Nagios
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéNoureddine BOUYAHIAOUI
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...Publicis Sapient Engineering
 
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ? Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ? ALTER WAY
 
Devops d-day 2017 docker openstack docker
Devops d-day 2017 docker openstack dockerDevops d-day 2017 docker openstack docker
Devops d-day 2017 docker openstack dockerAlexis Ducastel
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrSaddam ZEMMALI ☁
 

Similaire à Kubernetes est-il soluble dans la sécurité ? Meetup Genève (20)

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises ...
 
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
 
Agile lille 2015 devops etapres
Agile lille 2015 devops etapresAgile lille 2015 devops etapres
Agile lille 2015 devops etapres
 
SUSE Expert Days Paris 2018 – CaaSP
SUSE Expert Days Paris 2018 – CaaSPSUSE Expert Days Paris 2018 – CaaSP
SUSE Expert Days Paris 2018 – CaaSP
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
 
What’s Next Replay! Lyon 2011 - G. Darmont
What’s Next Replay! Lyon 2011 - G. DarmontWhat’s Next Replay! Lyon 2011 - G. Darmont
What’s Next Replay! Lyon 2011 - G. Darmont
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
Créer une IA capable de reconnaître des fleurs (ou autres)
Créer une IA capable de reconnaître des fleurs (ou autres)Créer une IA capable de reconnaître des fleurs (ou autres)
Créer une IA capable de reconnaître des fleurs (ou autres)
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
Nebula introduction technique. 16122016pptx
Nebula introduction technique. 16122016pptxNebula introduction technique. 16122016pptx
Nebula introduction technique. 16122016pptx
 
Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
 
Docker, Pierre angulaire du continuous delivery ?
Docker, Pierre angulaire du continuous delivery ?Docker, Pierre angulaire du continuous delivery ?
Docker, Pierre angulaire du continuous delivery ?
 
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
 
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ? Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
Alter Way's digitalks - Docker : des conteneurs pour tout faire ?
 
Devops d-day 2017 docker openstack docker
Devops d-day 2017 docker openstack dockerDevops d-day 2017 docker openstack docker
Devops d-day 2017 docker openstack docker
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel Fr
 

Plus de Net4All

A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...Net4All
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Net4All
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Net4All
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Net4All
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 

Plus de Net4All (7)

A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
 

Kubernetes est-il soluble dans la sécurité ? Meetup Genève

  • 1. Net4All – Kubernetes Meetup Genève – 10/12/19 1
  • 2. 2Net4All – Kubernetes Meetup Genève – 10/12/19 Positionnement sur deux axes majeurs Services Managés • Infrastructure Cloud privé et Cloud public • Service Infogérance 24/7 à la carte • Niveau de sécurisationde plateforme progressif • Pilotage et gouvernancede projets Prestation de sécurité : offensives et défensives • Expertise sur Cloud public et Kubernetes • Accompagnement DevSecOps Création : 2000 Basé à Ecublens 20 personnes
  • 3. Guillaume SEVESTRE RSSI Kévin CHOLLET Responsable pôle Linux 3Net4All – Kubernetes Meetup Genève – 10/12/19
  • 4. Net4All – Kubernetes Meetup Genève – 10/12/19 4 FROM debian:9 … … FROM debian:10 … … FROM alpine:3.6 … … • Quel est le nombre total de noyaux linux qui s’exécutent sur cette infrastructure ? • 4 , 3 , 2 ou 1 ?
  • 5. • Ce mécanisme permet d'exécuter des applications de façon isolées sur un mêmesystème hôte • L'application et les programmes, bibliothèques, ressources dont elle a besoin forment une image • Des instances de l'image contenant l'application sont lancées dans des conteneurs • La technologie majeure des conteneurs est Docker Net4All – Kubernetes Meetup Genève – 10/12/19 Application + Libs + Binaires 5
  • 6. ≠ VM Net4All – Kubernetes Meetup Genève – 10/12/19 6 VM VM
  • 7. • Pilote le déploiement et la configuration des conteneurs, le réseau, le stockage … • Permet un fonctionnement déclaratif de type Architecture As Code • Garantit l'état du cluster tel que spécifié, et automatise les corrections en cas d'altération Net4All – Kubernetes Meetup Genève – 10/12/19 7
  • 8. Net4All – Kubernetes Meetup Genève – 10/12/19 8
  • 9. • Compromission via un compte mal sécurisé ou un manque de restriction réseau : certaines versions de Kubernetes acceptaient des requêtes anonymes par défaut ! • Compromission viaune vulnérabilité : la CVE-2018-1002105 permet une élévation de privilège sur le cluster pouvant se propager à l'hôte • Nov 2019 : des hackers exploitent des services docker non protégés Net4All – Kubernetes Meetup Genève – 10/12/19 9 Retour d’expérience Client : • Il faut établir une sécurité périmétrique limitant l'accès aux API
  • 10. • Les images se substituent aux packages : • De nouvelles blackboxes, au cœur du cluster • Utiliser une image … c’est déléguer sa sécurité • Toute image vérolée ou obsolète peut compromettre votre cluster Net4All – Kubernetes Meetup Genève – 10/12/19 10 Retour d’expérience Client : • Build d'images minimales (CI/CD, impact sur l'équipe devops, best practices) • Scan de vulnérabilités / Analyse statique
  • 11. Net4All – Kubernetes Meetup Genève – 10/12/19 11 Reverse proxy nginx Application DVWA Damn vuln web app Application Bodgeit Cluster managé EKS
  • 12. • Kubernetes : open by design ? • Accès possible aux mécanismes les plus sensibles du cluster (config etcd, API server) • Importance d’appliquer les Best Practices : RBAC, namespaces,rootless images • Network Policies, Pod Security Policies … mais attention aux impacts Net4All – Kubernetes Meetup Genève – 10/12/19 12 “People assume Kubernetes has a lot of security, the mistake, however, is in assuming those native controls are configured by default, they’re not !” Kubernetes Security, RedHat Openshift: 5 mistakes to avoid May 2019Retour d’expérience Client : • Evaluer l’impact fort de l'activation de protections (rootless...) • Se faire accompagner sur le design et l'implémentation • Investir sur la montée en compétence
  • 13. Net4All – Kubernetes Meetup Genève – 10/12/19 13 • WAF : permet de filtrer l'ensemble des flux en amont du cluster Kubernetes. • Virtual patching : permet de rapidement compenser des problèmes qui seraient compliqués à patcher sur le cluster • Gestion des logs : La volatilité de kubernetes rend le diagnostic et l'analyse à postériori plus complexe. Pour des raisons de sécurité ou opérationnelles, la gestion de logs centraliséepermet de rendre l'ensemble plus accessible
  • 14. Net4All – Kubernetes Meetup Genève – 10/12/19 14 Nginx Gloo HAProxy Kong Traefik Licence Free/Com Free/Com Free Free/Com Free/Com SSL/TLS Oui Oui Oui Via plugin Oui URL rewrites Oui Oui Oui Via plugin Oui WAF Non Oui Partiel Via plugin Non Authentication proxy Jwt ou snippet Oui Partiel Via plugin Partiel RateLimit Via snippet Oui Oui Via plugin Oui Bot Detection Via Snippet Non Partiel Via plugin Non ACL Oui Oui Oui Via plugin Oui
  • 15. Net4All – Kubernetes Meetup Genève – 10/12/19 15 Scan d'infra : Un scan de sécurité, type Nessus, permet d'être alerté de failles qui pourraient passer inaperçues sur une infrastructure de taille moyenne ou importante. Elle permet également d'identifier les containers qui pourrait s'avérer sensible à une faille.
  • 16. • Patcher Kubernetes : une toute autre dimension • Cluster : être toujours sur la dernière version ! • Drivers / plugins : drivers réseau, Istio • Patch aussi dans les images • OS, Middleware, Application Net4All – Kubernetes Meetup Genève – 10/12/19 16 Retour d’expérience Client : • Processus maîtrisés de Maj complète de la plateforme • Inter-dépendances : une cascade de Maj • Planifier les downtime
  • 17. Net4All – Kubernetes Meetup Genève – 10/12/19 17 Google (GKE) Azure (AKS) Aws (EKS) Mise à jour automatique Master et nodes mis à jour de manière automatique Master et nodes miseà jour en mêmetemps, sur demande Mise à jour on demand, avec actions manuelles RBAC Oui Oui Oui
  • 18. Gérez les 4 domaines de sécurité : ❑ Réduisez l’exposition réseau de votre cluster ❑ Privilégiez des images maitrisées minimales ❑ Appliquez les Best Practices au design du cluster ❑ Intégrez des éléments de sécu actifs dans le cluster ❑ Anticipez le patch management du cluster Investissez dans la phase de Design & Implémentation pour réduire vos coûts opérationnels ultérieurs Net4All – Kubernetes Meetup Genève – 10/12/19 18
  • 19. 19