Аудит безопасности контейнеризированных приложений в Linux с помощью Tetragon
Программный комитет ещё не принял решения по этому докладу
Целевая аудитория
Тезисы
Мастер-класс дает возможность расширить понимание устройства Linux-сред, используемых для запуска контейнеризированных приложений и получить практические навыки по улучшению безопасности приложений. Для этого мы вместе:
— рассмотрим особенности низкоуровневого мониторинга в ядре Linux с помощью eBPF;
— составим политику для Tetragon с целью получения событий аудита безопасности от ядра;
— проанализируем полученные события безопасности при помощи open-source инструмента Runtime Radar и реализуем детект на эти события.
Для работы потребуется x86-ноутбук с VirtualBox или другой системой виртуализации виртуализации. Также мы ожидаем от участников базовое знание командной строки ОС Linux (умения открыть консоль и знание базовых команд, например, whoami, base64, id, ls и telnet) и базовые представления о k8s (знание о сущностях k8s - pod, deployment, service, ingress и базовое умение пользоваться любым менеджером для управления кластером kubectl/k9s/lens для вывода списка подов, проваливания в шелл выбранного пода).
14 лет в ИТ, 6 из них в ИБ, занимался администрированием Linux-систем в телекоме.
В PT участвовал в работе над Linux-экспертизой в продуктах Max Patrol 8 и Max Patrol 10 (VM, HCC, SIEM), в данный момент занимаюсь экспертизой продукта PT Container Security и OSS-решения Runtime Radar.
Видео
Другие доклады секции
Безопасность высоконагруженных систем
