소개
컨테이너 오케스트레이션으로 k8s 사용은 이제 보편화 되었습니다. 하지만 k8s 환경에서의 보안 관리를 제대로 하는 곳은 그리 많이 않은 것 같습니다.
사실 k8s 보안을 위해서는 사전에 알아야 하는 컨텍스트도 많고 그과정에서의 보안 문제점들을 찾고 개선하는 것은 쉽지 않은 문제입니다.
k8s 에 대해 지속적으로 공부해나가면서 각각의 컴포넌트나 환경구성을 잘못하였을 경우에 발생할 수 있는 위협들을 직접 찾아 경험해보고 연구해보는게 가장 좋은 방법일 텐데요.
이런 경험을 해볼 수 있는 사이트가 있어 공유를 한번 해보려 합니다.
K8SLANPARTY
k8slanparty 사이트는 네트워크 취약점 or 보안적으로 잘못 구성된 K8S 환경에서 해킹 트레이닝을 CTF 형식으로 할 수 있는 사이트입니다.
각각의 challenge 를 위한 타입을 가지고 있으며, 해당 타입별로 주어진 문제에 대해 CTF 형식으로 풀면서 k8s 보안에 대해 알아 갈 수 있도록 되어있습니다.
Challenge Type
- Recon
- 정보수집 관련
- Finding Neighbours
- 추가적 공격 대상 탐색 관련
- Data Leakage
- 민감데이터 유출 관련
- Bypassing Boundaries
- 보안조치 우회 관련
- Lateral Movement
- 공격 확장 관련
각각의 타입을 선택면 CTF 형식처럼 문제를 풀고 flag 를 찾아내면 포인트와 함께 다음 문제로 넘어가는 구조로 되어있습니다.
문제별로 주어지는 설명을 보고 페이지 아래에 주어지는 쉘을 이용하여 문제를 풀어나가면 됩니다.
Conclusions
웹 기반으로 쉽게 접근하여 CTF 형식으로 즐길 수 있으니 시간될때 한문제씩 보다보면 K8S 보안관련 지식도 쌓여가지 않을까 합니다.
시간 날때 각각의 풀이 관련한 내용들도 작성해보겠습니다.
Refs
- k8slanparty