2. Intervenants
NBS System assure la sécurité informatique
de plateformes web & systèmes
d’information depuis 1999. Fort de cette
expérience et du GoToCloud, l’entreprise
s’est spécialisée en sécurité sur les clouds
publics et privés.
Emile HEITOR, Directeur Technique
Guillaume SEVESTRE, RSSI
Leader de l'e-santé en Europe, Doctolib a
une mission simple : améliorer le système
de santé de demain. Entreprise tech, elle
innove pour accompagner plus de 150
000 praticiens et secrétaires et plus de
2000 établissements de santé.
Pascal FOULON, RSSI
NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
3. Les conteneurs
• Ce mécanisme permet d'exécuter des applications
de façon isolées sur un même système hôte
• L'application et les programmes, bibliothèques,
ressources dont elle a besoin forment une image
• Des instances de l'image contenant l'application
sont lancées dans des conteneurs
• La technologie majeure des conteneurs est Docker
NBS System – Assises de la Sécurité – 10/10/19
INFRA
HOST OS
DOCKER
APP 3
APP 4
APP 1
APP 2
Description
de l’image
Image
Application
+ Libs
+ Binaires
3
4. Kubernetes : l’orchestration de facto
• Pilote le déploiement et la configuration des
conteneurs, le réseau, le stockage …
• Permet un fonctionnement déclaratif
de type Architecture As Code
• Garantit l'état du cluster tel que spécifié, et
automatise les corrections en cas
d'altération
NBS System – Assises de la Sécurité – 10/10/19 4
5. 4 incontournables pour la défense en profondeur
NBS System – Assises de la Sécurité – 10/10/19 5
6. Quels risques sur l’exposition du cluster ?
• Compromission via un compte mal sécurisé ou un manque de
restriction réseau : certaines versions de Kubernetes acceptent des
requêtes anonymes par défaut
• Compromission via une vulnérabilité : la CVE-2018-1002105 permet une
élévation de privilège sur le cluster pouvant se propager à l'hôte
• Il faut établir une sécurité périmétrique limitant l'accès aux API
NBS System – Assises de la Sécurité – 10/10/19 6
7. Images : illusion de simplicité & de contrôle
• Les images se substituent aux packages :
• De nouvelles blackboxes, au cœur du cluster
• Utiliser une image … c’est déléguer sa sécurité
• Toute image vérolée ou obsolète peut compromettre
votre cluster
• Build d'images minimales (CI/CD, impact sur
l'équipe devops, best practices)
• Scan de vulnérabilités / Analyse statique
NBS System – Assises de la Sécurité – 10/10/19 7
8. Des capacités de protection... désactivées !
• Kubernetes : open by design
• Accès par défaut aux mécanismes les plus sensibles du cluster
(config etcd, API server)
• Importance d’appliquer les Best Practices :
RBAC, namespaces, rootless images
• Impact des Network Policies
• Evaluer l’impact fort de l'activation de protections (rootless...)
• Se faire accompagner sur le design et l'implémentation
• Investir sur la montée en compétence
NBS System – Assises de la Sécurité – 10/10/19 8
“People assume Kubernetes has a lot
of security, the mistake, however, is
in assuming those native controls
are configured by default,
they’re not !”
Kubernetes Security, RedHat
Openshift: 5 mistakes to avoid
May 2019
9. Patch management : le challenge !
• Patcher Kubernetes : une toute autre dimension
• Cluster : être toujours sur la dernière version !
• Drivers / plugins : drivers réseau, Istio
• Patch aussi dans les images
• OS, Middleware, Application
• Processus maîtrisés de Maj complète de la plateforme
• Inter-dépendances : une cascade de Maj
• Planifier les downtime
NBS System – Assises de la Sécurité – 10/10/19
INFRA
HOST OS
DOCKER
Kubernetes
APPS
Plugins
Drivers
9
image OS
Middleware
10. Kubernetes est il soluble dans la sécurité ?
Gérez les 4 domaines de sécurité :
Réduisez l’exposition réseau de votre cluster
Privilégiez des images maitrisées minimales
Appliquez les Best Practices au Design
Pilotez finement patch & inter-dépendances
Investissez dans la phase de Design & Implémentation
pour réduire vos coûts opérationnels ultérieurs
NBS System – Assises de la Sécurité – 10/10/19 10
11. Merci pour votre attention.
www.nbs-system.com
11
@nbs_system @doctolib