KubeCon EU 2022 – トレンド&ハイライト

By 清水 孝郎 - JUNE 1, 2022
Topics: オープンソース

SHARE:

本文の内容は、2022年6月1日にMiguel Hernándezが投稿したブログ(https://sysdig.com/blog/kubecon-eu-valencia-2022/)を元に日本語に翻訳・再構成した内容となっております。

Kubecon EUがスペインに戻ってきました。今回は、パエリアとオルチャータの街であり、もちろん大きなイベントにも最適なバレンシアへ。私たちは、皆さんと直接お会いし、講演に参加することができ、とても楽しい時間を過ごすことができました。以下は、このイベントでの私たちのホットな話題です。

KubeConEU 2022 dates
メインイベントは水曜日に始まりましたが、その前に様々な併催イベントが行われました。Ebpf DayCloud Native SecurityConPrometheusDayなどです。これらのイベントには、多くの参加者が集まりました。7,000人以上、バーチャルでは11,000人以上の方にご参加いただきました。イベントも無事終了しました。

これらの併催イベントについてもっと知りたい方は、Prometheus Day 2022 EUのハイライトをお読みください。

今回は、欧州のKubernetesコミュニティにとって最も重要なメインイベントに焦点を当てます。

キーノート&セッションから得られた全体的なテイクアウェイ

すべてのスピーカーが強調した主な収穫の1つは、クラウドネイティブなエコシステムとKubernetesにおける開発者のプロセスを促進する必要があることです。

初日の7 Years of Running Kubernetes for Mercedes-Benzは、”ゴールデンパス” を作り、改善を続けていくためのわかりやすい例となりました。このトピックを取り上げた講演はこれだけではなく、From Kubernetes to PaaS to … Err, What’s Next? では、開発プロファイルの進化と、常に進化と学習を続けていることについても言及されています。

KubeConEU 2022 KeynotesKubeConEU 2022のキーノート

このKubeConのもう一つの強い考え方は、持続可能な未来において、エコシステムとコミュニティの維持が重要であることです。

最後に、Kubernetesにおけるセキュリティのスケーリングは関心が高まっており、将来のセキュリティインシデントを回避したいのであれば、留意すべき点です。

KubeConの期間中、初心者向け、または101のコンテンツに対する高い需要が見られました。この層を対象とした講演は、常に多くの参加者を集め、賑わっていました。これは、Kubernetesが健全なプロジェクトであり、普及が進んでいることの表れです。これらの興味深いトークの1つが、「Seeing is Believing」です。コンテナについての深い解説と、docker exec、kubectl exec、Pod定義のパッチによるコンテナのアタッチメントの比較です。

セキュリティへのフォーカス

先ほどもお伝えしたように、セキュリティ面への関心が高かったです。参加した講演の中から、ホットなものをいくつかご紹介します。

Kubernetesをハックする(そして守る)ための宝の地図

By: Andrew Martin, ControlPlane

サプライチェーンへの攻撃に焦点を当て、攻撃者とその行動を理解する方法についての概要が説明されました。通常のセキュリティ担当者の視点ではなく、実際の攻撃者の視点から見ることができ、新鮮でした。

K8sネットワーキングの3つの驚くべき「機能」とその防御方法

By: ControlPlane社 James Cleverley-Prance 

公開されたエンドポイントを使用してKubernetesクラスターの詳細を発見することについての非常に興味深い講演でした。オーバーレイネットワークのルート化に関する深い理解や、クラスターの外部から内部ポッドやサービスと通信するためにIPスプーフィングを使用する方法などが含まれています。

ポッドセキュリティのためのヒッチハイカーズガイド

By: Lachlan Evenson, Microsoft

この講演では、非推奨のPodSecurityPolicyに代わる、新しいコンセプトのPod Securityを紹介しました。大きな違いは、3つのレベルのセキュリティを提供することで、単純化されていることです。Restricted、Baseline、Privilegedの3つのセキュリティレベルを提供します。

セキュアなKubernetesサプライチェーンを実現するために

By: Adolfo García Veytia, Chainguard

Kubernetesの次期機能に関するもう一つの講演です。今回は、Kubernetesのアーティファクトを認証、署名、プロモーション、配布するためにKubernetes Release SIGが行っている作業について説明しました。また、いくつかの制限や、まだ正しくできていないが改善する予定であることについても触れました。


クリティカルインフラストラクチャーにおけるKubernetes TEEエンクレーブの攻撃と防御

By: Robert Ficcaglia, SunStone Secure, LLC

Trusted Execution Environmentの良い説明で、TEEは使用するデータの不正アクセスや改ざんを防止します。セキュアなサプライチェーンの重要性を示すもう一つの例です。

WireGuardとCalicoによるKubernetesでのフルメッシュ暗号化

By: Peter Kelly, Tigera

クールでハッキー。WireGuardとCalicoの仕組みと、両者を併用してノード間の接続を暗号化する方法を解説しています。Calicoはノード上で自動的にWiresharkの設定を行います。

パスワードを捨てる:ワークロード・アイデンティティの信頼性

By: Ric Featherstone, ControlPlane

ID管理、OIDC、JWTトークン、バインドトークン、異なるIDプロバイダーを認証に使用する方法について興味深い話がありました。

SPIFFEによるマルチクラウドワークロードアイデンティティ

By: Jake Sanders & Charlie Egan, Jetstack

SPIFEEプロトコルについて、アプリケーション(Pod)が2つの異なるクラウドプロバイダにアクセスするための認証情報を自動的に取得するSPIFEEコネクターの例を紹介した講演です。

攻撃者が公開されたPrometheusサーバーを使用してKubernetesクラスターを悪用する方法

By: David de Torres & Miguel Hernández, Sysdig

いくつかの例を通じて、Prometheusサーバへのアクセスに成功すれば、インフラやアプリケーションに多大な損害を与えることが可能であることを教えてくれました。例えば、ポッドで使用されているイメージに関する情報を取得することができるため、既知の脆弱性を悪用して動作を変更したり、情報を抽出したりすることが可能です。

KubeConEU 2022 Exposed Prometheus exploit Kubernetes ClusterKubeConEU 2022 Exposed Prometheus exploit Kubernetesクラスター

KubeCon EUから得たもの

KubeCon EUで最も良かったことの1つは、参加者とIRLで話し、彼らの苦痛を聞き、改善の機会を見つけることができたことです。

Sysdig at KubeCon Valencia 2022KubeCon Valencia 2022でのSysdigの様子

私個人としては、KubeConの参加者はIT関連であり、セキュリティにはあまり関心がないにもかかわらず、誰もがエコシステムにおける最新のセキュリティニュースに対応し、投資していることを知り、目から鱗が落ちる思いがしました。例えば

これが、私たちSysdigが、DevOpsチームとセキュリティチームの間のギャップを埋めることが非常に重要であると考える理由です。

また、重要な鍵は、膨大な数の新規採用者がいたことです。これは、彼らにとってクラウドネイティブの旅の始まりに過ぎず、全員が同じ課題に直面することになります。この新しいパラダイムを理解し、チームを訓練し、インフラを移行し、適切に拡張し、セキュリティを実装することです。

要約すると、KubeCon が戻ってきたことは素晴らしいことであり、数カ月後の KubeCon NA が待ち遠しいということです。