Les clusters Kubernetes sont des systèmes relativement complexes et volatiles où il est facile de se cacher. Voyons ensemble comment à partir de méthodes de live-forensic nous pouvons débusquer l’intrus.
Dans le précédent article [1], nous nous étions attachés à découvrir les méthodes d’analyse post-mortem sur des conteneurs sur un seul hôte. Nous en avions conclu que les analyses post-mortem sont encore compliquées sur ce type d’environnement et plus forcément adéquates. Maintenant, voyons plus grand ! Passons à l’échelle en étudiant les pistes qui s’offrent à nous avec l’orchestrateur de conteneurs Kubernetes (K8s) avec des méthodes d’analyse plus adaptées : le live-forensic.
1. Retour sur les bancs de l’école : K8s
1.1 Architecture K8s
Avant d’aller plus loin dans l’analyse forensique, revenons rapidement sur comment fonctionne un cluster K8s. Dans cet article, nous ne considérons que l’orchestration K8s de conteneurs, car il s’agit de l’essentielle majorité des déploiements. K8s est un orchestrateur générique et il serait tout à fait possible d’orchestrer des machines virtuelles par exemple en utilisant un runtime de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] J.F. BETTE, « Forensique en environnement conteneur », MISC n°120, mars-avril 2022 :
https://connect.ed-diamond.com/misc/misc-120/forensique-en-environnement-conteneur
[2] https://katacontainers.io/
[4] https://K8s.io/docs/reference/K8s-api/
[5] https://K8s.io/docs/tasks/debug/debug-cluster/audit/
[6] https://ebpf.io/what-is-ebpf/