國立虎尾科技大學 |

Attack Methods and Defenses on Kubernetes.

紀錄類型:	書目-語言資料,手稿 : Monograph/item
正題名/作者:	Attack Methods and Defenses on Kubernetes./
作者:	Panagiotis, Mytilinakis.
面頁冊數:	1 online resource (92 pages)
附註:	Source: Masters Abstracts International, Volume: 84-03.
Contained By:	Masters Abstracts International84-03.
標題:	Computer science. -
電子資源:	click for full text (PQDT)
ISBN:	9798845717979

Attack Methods and Defenses on Kubernetes.
Panagiotis, Mytilinakis.

Attack Methods and Defenses on Kubernetes. - 1 online resource (92 pages)

Source: Masters Abstracts International, Volume: 84-03.

Thesis (M.Sc.)--University of Piraeus (Greece), 2020.

Includes bibliographical references

The increasing rate of adoption of containers and container orchestration in cloud computing and on premise arises a number of questions about their security. Kubernetes combined with Docker is by far the most frequently adopted solution for implementing containerized workloads. Kubernetes is divided on two planes the control plane and the data plane. The control plane includes the components that are required for Kubernetes to function and manage the cluster state while the data plane the components that are responsible for the actual workloads. Furthermore, Kubernetes includes several objects that are necessary for describing the cluster's desired state. In this thesis, specific attacks were conducted into a Kubernetes cluster, that can be divided into four categories. (a) Attacks on a Kubernetes engine and components. (b) Attacks on Kubernetes network layer where MITM and DNS spoofing attacks are possible under circumstances. (c) Attacks that concern the containers inside a pod and how an attacker can inject malicious code and upload it, on a container registry or a container with one or more vulnerabilities that can be exploited. (d) Finally, attacks that are bases on Infrastructure as code vulnerabilities that a malicious actor can take advantage of. Correspondingly to the attacks a number of defenses where recommended as countermeasures depending on the layer that each of the attacks can take place. For the attacks that concern the Kubernetes engine, kube-bench was recommended as a tool that detects misconfigurations and entry points that an attacker can take advantage of. In order for network layer to be protected, network policies are taking the place of a layer 3 firewall compared to a typical infrastructure in addition with the use of service meshes that are operating in layer 7. Containers inside pods can be scanned before being upload on a registry. On this thesis Clair scanner was used for his purpose. Eventually, Pod Security policies were used to block vulnerable code from being deployed.

Electronic reproduction.
Ann Arbor, Mich. :
ProQuest,
2024

Mode of access: World Wide Web

ISBN: 9798845717979Subjects--Topical Terms:

573171
Computer science.
Index Terms--Genre/Form:

554714
Electronic books.

Attack Methods and Defenses on Kubernetes.
LDR:07391ntm a22003617 4500 001 1149048
005 20240930130035.5
006 m o d
007 cr bn ---uuuuu
008 250605s2020 xx obm 000 0 eng d
020 $a 9798845717979
035 $a (MiAaPQ)AAI29294670
035 $a (MiAaPQ)Piraeus12888
035 $a AAI29294670
040 $a MiAaPQ $b eng $c MiAaPQ $d NTU
066 $c (S
100 1 $8 80-01 $a Panagiotis, Mytilinakis. $3 1475175
245 1 0 $a Attack Methods and Defenses on Kubernetes.
264 0 $c 2020
300 $a 1 online resource (92 pages)
336 $a text $b txt $2 rdacontent
337 $a computer $b c $2 rdamedia
338 $a online resource $b cr $2 rdacarrier
500 $a Source: Masters Abstracts International, Volume: 84-03.
500 $a Advisor: Νταντογιάν, Χριστόφορος;Dadoyan, Christoforos.
502 $a Thesis (M.Sc.)--University of Piraeus (Greece), 2020.
504 $a Includes bibliographical references
520 $a The increasing rate of adoption of containers and container orchestration in cloud computing and on premise arises a number of questions about their security. Kubernetes combined with Docker is by far the most frequently adopted solution for implementing containerized workloads. Kubernetes is divided on two planes the control plane and the data plane. The control plane includes the components that are required for Kubernetes to function and manage the cluster state while the data plane the components that are responsible for the actual workloads. Furthermore, Kubernetes includes several objects that are necessary for describing the cluster's desired state. In this thesis, specific attacks were conducted into a Kubernetes cluster, that can be divided into four categories. (a) Attacks on a Kubernetes engine and components. (b) Attacks on Kubernetes network layer where MITM and DNS spoofing attacks are possible under circumstances. (c) Attacks that concern the containers inside a pod and how an attacker can inject malicious code and upload it, on a container registry or a container with one or more vulnerabilities that can be exploited. (d) Finally, attacks that are bases on Infrastructure as code vulnerabilities that a malicious actor can take advantage of. Correspondingly to the attacks a number of defenses where recommended as countermeasures depending on the layer that each of the attacks can take place. For the attacks that concern the Kubernetes engine, kube-bench was recommended as a tool that detects misconfigurations and entry points that an attacker can take advantage of. In order for network layer to be protected, network policies are taking the place of a layer 3 firewall compared to a typical infrastructure in addition with the use of service meshes that are operating in layer 7. Containers inside pods can be scanned before being upload on a registry. On this thesis Clair scanner was used for his purpose. Eventually, Pod Security policies were used to block vulnerable code from being deployed.
520 $a Ο αυξανόμενος ρυθμός υιοθέτησης των containers και των container orchestration εργαλείων στο cloud και στις on premises υποδομές εγείρει μια σειρά ερωτημάτων σχετικά με την ασφάλειά τους. Το Kubernetes σε συνδυασμό με το Docker είναι μακράν, η πιο συχνά χρησιμοποιούμενη λύση για την εφαρμογή φορτίων εργασίας σε containers. Το Kubernetes χωρίζεται σε δύο επίπεδα το επίπεδο ελέγχου και το επίπεδο δεδομένων. Το επίπεδο ελέγχου περιλαμβάνει τα στοιχεία που απαιτούνται για τη λειτουργία και τη διαχείριση της κατάστασης ενός Kubernetes cluster, ενώ το επίπεδο δεδομένων περιλαμβάνει τα στοιχεία που είναι υπεύθυνα για τα πραγματικά φορτία εργασίας. Επιπλέον, το Kubernetes περιλαμβάνει πολλά αντικείμενα που είναι απαραίτητα για την περιγραφή της επιθυμητής κατάστασης ενός cluster. Σε αυτή τη διπλωματική εργασία, πραγματοποιήθηκαν συγκεκριμένες επιθέσεις σε ένα Kubernetes cluster, οι οποίες μπορούν να χωριστούν σε τέσσερις κατηγορίες. (α) Επιθέσεις στη μηχανή και τα επιμέρους τμήματα του Kubernetes. (β) Επιθέσεις στο επίπεδο δικτύου του Kubernetes όπου υπό συνθήκες, είναι δυνατές οι επιθέσεις MITM και DNS spoofing. (γ) Επιθέσεις που αφορούν τα containers μέσα σε ένα pod και πώς ένας εισβολέας μπορεί να εισάγει κακόβουλο κώδικα και να τον ανεβάσει, σε μια container registry καθώς και containers με μία ή περισσότερες ευπάθειες που μπορούν να εκμεταλλευτούν. (δ) Τέλος, επιθέσεις που βασίζονται σε ευπάθειες στον κώδικα υποδομής (infrastructure as code) και μπορεί να εκμεταλλευτεί ένας επιτιθέμενος. Αντίστοιχα, με τις επιθέσεις, μια σειρά από άμυνες συστάθηκαν ως αντίμετρα, με γνώμονα το επίπεδο στο οποίο μπορεί να πραγματοποιηθεί κάθε μία από τις επιθέσεις. Για τις επιθέσεις που αφορούν τη μηχανή του Kubernetes, συνιστάται το kube-bench ως ένα εργαλείο που εντοπίζει λανθασμένες ρυθμίσεις και σημεία εισόδου, τα οποία μπορεί να εκμεταλλευτεί ένας εισβολέας. Προκειμένου να προστατευτεί το επίπεδο του δικτύου, η χρήση των network policies υποκαθιστά ένα τείχος προστασίας επιπέδου 3 του OSI σε σύγκριση με μια τυπική υποδομή, συμπληρωματικά με τη χρήση ενός service mesh που λειτουργεί στο επίπεδο 7. Τα containers μέσα σε ένα pod μπορούν να σαρωθούν προτού μεταφορτωθούν σε μια registry. Σε αυτή τη διπλωματική εργασία χρησιμοποιήθηκε ο σαρωτής Clair για το σκοπό αυτό. Τέλος, προτάθηκαν οι Pod Security policies για να αποκλείσουν την ανάπτυξη ευάλωτου κώδικα.
533 $a Electronic reproduction. $b Ann Arbor, Mich. : $c ProQuest, $d 2024
538 $a Mode of access: World Wide Web
650 4 $a Computer science. $3 573171
650 4 $a Linux. $3 1467375
650 4 $a Interfaces. $3 1372540
650 4 $a Bridges. $3 1028796
650 4 $a Software upgrading. $3 1470405
650 4 $a Computers. $3 565115
650 4 $a Operating systems. $3 1473023
655 7 $a Electronic books. $2 local $3 554714
690 $a 0984
710 2 $a University of Piraeus (Greece). $3 1413572
710 2 $a ProQuest Information and Learning Co. $3 1178819
773 0 $t Masters Abstracts International $g 84-03.
856 4 0 $u http://pqdd.sinica.edu.tw/twdaoapp/servlet/advanced?query=29294670 $z click for full text (PQDT)
880 1 $6 100-01/(S $a Παναγιώτης, Μυτιληνάκης.