Splunk Enterprise を Kubernetes 上で動かす

<p><a href="https://www.splunk.com/en_us/blog/platform/deploy-splunk-enterprise-on-kubernetes-splunk-connect-for-kubernetes-and-splunk-insights-for-containers-beta-part-1.html">https://www.splunk.com/...

Vault の Agent Sidecar Injector を使う

<p>Vault の Agent Sidecar Injector を使うと Vault に格納された Secret を Sidecar 経由で Pod に渡したりすることができます。</p> <ul> <li><a href="https://github.com/hashicorp/vault-k8s">https://github.com/hashicorp/vault-k8s</a></l...

How to Bypass Falco

<p><a href="https://falco.org/">falco</a> のルールは、そこそこ柔軟に書けるのだが、故にバイパスできてしまうよという話。</p> <h2 id="1-procselfroot-を使う">1. <code>/proc/self/root</code> を使う</h2> <p>falco のデフォルトルールに <code>/etc/shadow</code> な...

kamus で Kubernetes の secrets や configMap を暗号化する

<p>Kubernetes の secrets や configMap を管理する際に気をつけることがいくつかあります。<br> 例えば manifests に base64 エンコードされた値が記載されてしまうため、GitOps の場合はリポジトリに平文同然の manifests が置かれることになり、あまりセキュアとは言えません。<br> この場合 sealed-secrets などを使って暗...

cxray で falco のルールを生成する

<p><a href="https://blog.ssrf.in/post/profile-event-in-container-with-cxray/">以前</a> は BPF を使ってコンテナの中のイベントを取得する <a href="https://github.com/mrtc0/cxray">cxray</a> を作った話を書いた。<br> cxray で現在取得できるイベントは次の4...

Profiling Event in Container With Cxray

<p><a href="https://blog.ssrf.in/post/bpf-trace-container-execve/">前回</a>は bcc を使ってコンテナ内の execve を取得する方法について書きました。<br> 最近 <a href="https://github.com/falcosecurity/falco">falco</a> などを使い、Kubernetes の ...