Un nuovo sistema di monitoraggio per attacchi cyber in ambiente Kubernetes

L’utilizzo di tecnologie basate su container ha assunto un ruolo sempre più dominante nei servizi che utilizziamo costantemente. Con questo, dato l’alto numero di microservizi che potrebbero essere necessari, si sono fatte strada anche quelle tecnologie che gestiscono in maniera automatica alcuni aspetti cruciali della vita di un’applicazione basata su container, quali il riavvio in caso di fallimento, il deployment di nuovi microservizi e così via. Inevitabilmente, anche l’interesse degli attaccanti malevoli segue le tecnologie maggiormente in voga, rendendo pertanto necessario trasferire le conoscenze in ambito security anche verso questi nuovi ambienti. Per il presente lavoro di tesi si è deciso di realizzare un sistema di monitoraggio per applicazioni eseguite utilizzando Kubernetes come orchestratore, pensate quindi per un mondo altamente distribuito. L’applicativo è composto da due parti: una per l’analisi del traffico interno e quello verso l’esterno del cluster, e una per gestire la cosiddetta runtime security. Compito dell’elaborato sarà quello di definire i servizi e gli strumenti utilizzati e soddisfare gli esigenti requisiti in un ambito estremamente dinamico come quello delle minacce informatiche, primo fra tutti il bisogno di fornire regole sempre aggiornate per intercettare anche le minacce più recenti. In particolare, per la parte di analisi del traffico è stato utilizzato Suricata, celebre strumento open-source. Per la parte di runtime security è stato invece impiegato Falco, utile per generare alert per eventi potenzialmente pericolosi che abbiano come sorgente le systemcall e le chiamate alle API di Kubernetes stesso - queste ultime intercettate grazie all’utilizzo dei cosiddetti Kubernetes Audit Logs.