Apresentação de Alexandre Sieira na edição online do evento Mind The Sec Rio de Janeiro de 2020. Oferece uma introdução a conceitos básicos de segurança de containers e do orquestrador Kubernetes.
2. Alexandre Sieira
• Empreendedor em segurança de informação
• Fundador da Tenchi Security
• Gerente do time de Product Management de
todos os serviços de detecção do MSS da
Verizon
• Co-Fundador e CTO da Niddel
• Co-Fundador e Principal do MLSec Project
• Co-Fundador e CTO da CIPHER
3.
4.
5.
6. • Dockerfile é parte do código;
• Imagem base especificada no FROM
que vem de um registry;
• Especificação de pacotes e
configuração do “sistema
operacional”;
• Cópia de arquivos de código,
configuração e ou dados;
• Segredos e configurações em
variáveis de environment;
• Roda como root por default
(https://engineering.bitnami.com/articles/why-non-root-
containers-are-important-for-security.html)
18. • Kubernetes é o padrão de
mercado.
• Especificação em arquivos
YAML.
• Inseguro por default, segurança
vêm melhorando aos poucos.
• Complexo de operar.
21. A Pod Security Policy is a
cluster-level resource that
controls security sensitive
aspects of the pod
specification.
The PodSecurityPolicy objects
define a set of conditions
that a pod must run with in
order to be accepted into the
system, as well as defaults for
the related fields. They allow
an administrator to control
the following:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/
24. The Path Less Traveled: Abusing Kubernetes Defaults
Black Hat 2019
https://youtu.be/HmoVSmTIOxM
Ian Coldwater (@IanColdwater) e Duffie Cooley (@mauilion)