☸ Retour sur la KubeCon/CloudNativeCon Europe 2023

En avril 2023, du 19 au 21, avait lieu la KubeCon Europe à Amsterdam. J'ai pu y aller avec 5 autres personnes de Zenika. 

Je m'y prend tard pour vous faire un récit complet des trois jours extrêmement intenses que j'ai passé là bas (je vais pas résumer les 55 pages de notes collectives qu'on a pris ensemble). Mais je peux partager avez vous quelques conférences que j'ai trouvé marquantes et vous partager quelques conseils pour que vous profitiez bien d'une conférence comme celle là (😉 à celles et ceux qui ont la chance d'aller à celle de cette année à Paris). 

Adopting Network Policies in Highly Secure Environments - Isovalent

👥 by Raymond de Jong, Isovalent

📺 https://youtu.be/yikVhGM2ye8

🖼 Slides 

Excellente conférence où la démo consiste à la mise en place de Network Policies progressivement dans un cluster Kubernetes avec une phase d'observation avant de limiter progressivement les accès. Quelques mots clefs : eBPF, Isovalent (la boîte qui porte le projet), Network Policies, hubble-ui pour visualiser, hubble pour centre de contrôle, network policy guardrails, tetragon pour la partie "runtime enforcement", plusieurs couches sont manipulables (L3 + L4 mais aussi L7 comme décrit dans la partie "Visibility" de la documentation), DNS-aware limitations (évite de mettre des CIDR trop étendus). Leur éditeur de policy est bluffant : https://editor.networkpolicy.io/. Et pour pratiquer ils mettent à disposition des labs qui déploient des environments interactifs à la demande : https://isovalent.com/resource-library/labs/ 

Anatomy of a Cloud Security Breach - 7 Deadly Sins - Sysdig

 👥  Par Maya Levine, petit résumé.

📺 https://youtu.be/xc5uvkHtFrA

🖼 Slides  

Excellent tour de différentes attaques ayant eu lieu sur du Cloud (et du Kubernetes ?). Bon, c'est plus du cloud que du Kubernetes, mais la forme de la présentation est vraiment appréciable et donne des idées sur l'ingéniosité des attaquants. 

Maya y parle de

• Onus avec ses reverse shell  puis accès à une configuration aws puis suppression des buckets s3 et demande de rançon
• Une attaque avec des creation de clefs ssh, puis de VMs EC2 pour miner des cryptomonnaies sur monero
• Une attaque où une AMI malicieuse a été publiée sur Amazon avec un miner de cryptomonnaies. 
• L'attaque de la supply chain sur PyTorch (via sa dépendance triton)
• L'équipe TeamTNT et ses attaques sophistiquées  
• L'usage de ressources "free tier" par certains groupes d'attaquants avec du CICD hijack (github, Heroku, togglebox etc) du groupe PurpleUrchin (article). 
• L'équipe Scarlet Eel, qui exploitait des applications web publiques, puis volait des documents S3 et abusait des lambdas, désactivait CloudWatch pour échapper la détection et utilisait les informations stockées dans des states terraform. 

Sharpen the Edge with K3s and Containerized Operating Systems - SUSE

👥 Rey Lejano

📺 https://youtu.be/ipeUafMXurQ

🖼  Slides 

Après être revenu sur comment chacun défini différemment le "edge", Rey nous dresse un panorama de dingue sur les technologies qui permettent de faire du Kubernetes sur du matériel peu puissant, avec plein de technologies assez enthousiasmantes : k3s, elemental toolkit de Rancher, luet (container based package manager), grub, dracut, qcow2, pxe, cloud-init. Les artisans de constructions d'images de distributions linux seront ravis. Il finit sur certains usages typiquement "edge" et les extensions dans des CRD (Custom Ressource Definition) d'objets connectés à ces "petits" clusters kubernetes, avec le projet akri porté initialement par Microsoft.

🏴‍☠️ Participation au CTF KubeCTF

J'ai participé au Capture The Flag organisé par ControlPlane, c'était très chouette, malgré le fait que je regardais les conférence en même temps, donc mon attention était un peu divisée. Pour le détail j'avais fait un thread sur Mastodon : 

https://pouet.chapril.org/@arthurzenika/110237458515367287

🔗 Quelques liens en vrac 

• https://aquasecurity.github.io/trivy/v0.17.2/plugins/
• https://github.com/aquasecurity/trivy-plugin-referrer
• https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github
• https://oras.land/cli/
• https://github.com/opencontainers/distribution-spec
• https://www.youtube.com/watch?v=j0QhkTHCSSw
• https://github.com/regclient/regclient/blob/main/docs/install.md
• https://github.com/AlessandroZ/LaZagne
• https://github.com/kyverno/policies
• https://github.com/itaysk/kubeconeu23-oci-vuln

En 2019, Zenika avait envoyé quelques personnes à la KubeCon voici leur compte rendu : https://blog.zenika.com/2019/05/27/retour-sur-la-kubecon-cloudnativecon-europe-2019/

Et en 2024 ? 

Si l'année prochaine cette année vous allez à la conférence à Paris: préparez bien votre programme en amont ! Enjoy...