Tietoturva Kubernetes-konttiympäristössä

Abstract

Opinnäytetyön toimeksiantajana oli Protacon Solutions Oy, joka tarjoaa ohjelmisto- ja ICT-palveluita.

Tavoitteena oli etsiä Kubernetekseen liittyviä käytännöllisiä tietoturva-asetuksia huomioiden eri kriteerejä ja työkalu havaitsemaan tietoturvahaavoittuvaisia Docker imageita. Tutkimuksissa testattiin erilaisia potentiaalisia tietoturva-asetuksia, joita voisi hyödyntää olemassa olevassa Googlen Kubernetes konttiympäristössä ja mahdollisesti tulevassa oman raudan ympäristössä. Lisäksi tehtiin laadullinen vertailu Docker imageiden haavoittuvuusskannereista, joka tarkistaa tietoturvahaavoittuvuudet vastarakennetusta Docker imagesta.

Opinnäytetyö toteutettiin etsimällä aineistoa Kuberneteksen tietoturvasta eri tietolähteistä ja testaamalla niiden toimivuutta erillisellä Kubernetes klusterilla. Haavoittuvuusskannerit asennettiin, testattiin ja sitten vertailtiin niiden eri ominaisuuksien perusteella. Niistä valitaan yksi, joka otetaan käyttöön osaksi CI/CD- prosessia.

Tuloksena oli tietoturvallisia tapoja suojata Kubernetes konttiympäristöä, mitä käytetään myös jatkossa. Lisäksi vertailusta otettu käyttöön Docker imageiden haavoittuvuusskanneri CI/CD-prosessissa, mikä toimii automaattisesti ja estää tietoturva-aukot konttiympäristöstä. Tietoturva-aukot saadaan selville haavoittuvuusskannerin luomasta raportista. Tietoturvakäytänteet ja käyttöohjeet dokumentoitiin Protaconin sisäiseen käyttöön.

The bachelor’s thesis was assigned by Protacon Solutions Ltd that offers software and ICT services.

There were two objectives in the bachelor thesis. The first objective was to find practical security configurations to Kubernetes when considering different criteria. The second objective was to find tools to detect security vulnerabilities in Docker images. The purpose of the research was to test different potential security configurations which would be made use of in existing Google’s Kubernetes container environment and maybe in upcoming on-premise solution. The qualitative comparison was made of Docker image vulnerability scanners, which check security flaws from built Docker images.

The material of Kubernetes security from different information sources was found and its functionality were tested in a separate Kubernetes cluster. The vulnerability scanners were installed, tested and compared based on their features. One of them was chosen to be part of the CI/CD process.

The study resulted in secured practices to protect Kubernetes container environment that will also be used in the future. The vulnerability scanner of Docker images was selected from the qualitative comparison and set in motion in CI/CD process. It works automatically and prevents the security holes from the container environment. Security vulnerabilities were found out from a report created by the vulnerability scanner. The security practices and operation manual were documented for Protacon’s internal use.