Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019

116 views

Published on

NBS System et Doctolib ont proposé un retour d'expérience sur Kubernetes et la sécurité, lors des Assises de la sécurité 2019.

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019

  1. 1. KUBERNETES EST-IL SOLUBLE DANS LA SÉCURITÉ ? Intervenants NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
  2. 2. Intervenants NBS System assure la sécurité informatique de plateformes web & systèmes d’information depuis 1999. Fort de cette expérience et du GoToCloud, l’entreprise s’est spécialisée en sécurité sur les clouds publics et privés. Emile HEITOR, Directeur Technique Guillaume SEVESTRE, RSSI Leader de l'e-santé en Europe, Doctolib a une mission simple : améliorer le système de santé de demain. Entreprise tech, elle innove pour accompagner plus de 150 000 praticiens et secrétaires et plus de 2000 établissements de santé. Pascal FOULON, RSSI NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
  3. 3. Les conteneurs • Ce mécanisme permet d'exécuter des applications de façon isolées sur un même système hôte • L'application et les programmes, bibliothèques, ressources dont elle a besoin forment une image • Des instances de l'image contenant l'application sont lancées dans des conteneurs • La technologie majeure des conteneurs est Docker NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER APP 3 APP 4 APP 1 APP 2 Description de l’image Image Application + Libs + Binaires 3
  4. 4. Kubernetes : l’orchestration de facto • Pilote le déploiement et la configuration des conteneurs, le réseau, le stockage … • Permet un fonctionnement déclaratif de type Architecture As Code • Garantit l'état du cluster tel que spécifié, et automatise les corrections en cas d'altération NBS System – Assises de la Sécurité – 10/10/19 4
  5. 5. 4 incontournables pour la défense en profondeur NBS System – Assises de la Sécurité – 10/10/19 5
  6. 6. Quels risques sur l’exposition du cluster ? • Compromission via un compte mal sécurisé ou un manque de restriction réseau : certaines versions de Kubernetes acceptent des requêtes anonymes par défaut • Compromission via une vulnérabilité : la CVE-2018-1002105 permet une élévation de privilège sur le cluster pouvant se propager à l'hôte • Il faut établir une sécurité périmétrique limitant l'accès aux API NBS System – Assises de la Sécurité – 10/10/19 6
  7. 7. Images : illusion de simplicité & de contrôle • Les images se substituent aux packages : • De nouvelles blackboxes, au cœur du cluster • Utiliser une image … c’est déléguer sa sécurité • Toute image vérolée ou obsolète peut compromettre votre cluster • Build d'images minimales (CI/CD, impact sur l'équipe devops, best practices) • Scan de vulnérabilités / Analyse statique NBS System – Assises de la Sécurité – 10/10/19 7
  8. 8. Des capacités de protection... désactivées ! • Kubernetes : open by design • Accès par défaut aux mécanismes les plus sensibles du cluster (config etcd, API server) • Importance d’appliquer les Best Practices : RBAC, namespaces, rootless images • Impact des Network Policies • Evaluer l’impact fort de l'activation de protections (rootless...) • Se faire accompagner sur le design et l'implémentation • Investir sur la montée en compétence NBS System – Assises de la Sécurité – 10/10/19 8 “People assume Kubernetes has a lot of security, the mistake, however, is in assuming those native controls are configured by default, they’re not !” Kubernetes Security, RedHat Openshift: 5 mistakes to avoid May 2019
  9. 9. Patch management : le challenge ! • Patcher Kubernetes : une toute autre dimension • Cluster : être toujours sur la dernière version ! • Drivers / plugins : drivers réseau, Istio • Patch aussi dans les images • OS, Middleware, Application • Processus maîtrisés de Maj complète de la plateforme • Inter-dépendances : une cascade de Maj • Planifier les downtime NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER Kubernetes APPS Plugins Drivers 9 image OS Middleware
  10. 10. Kubernetes est il soluble dans la sécurité ? Gérez les 4 domaines de sécurité :  Réduisez l’exposition réseau de votre cluster  Privilégiez des images maitrisées minimales  Appliquez les Best Practices au Design  Pilotez finement patch & inter-dépendances Investissez dans la phase de Design & Implémentation pour réduire vos coûts opérationnels ultérieurs NBS System – Assises de la Sécurité – 10/10/19 10
  11. 11. Merci pour votre attention. www.nbs-system.com 11 @nbs_system @doctolib

×