Комплексная симуляция кибератак на инфраструктуру кластеров Kubernetes: выпускная квалификационная работа специалиста: направление 10.05.04 «Информационно-аналитические системы безопасности» ; образовательная программа 10.05.04_01 «Автоматизация информационно-аналитической деятельности»

Баськов, Константин Сергеевич

Details

Title	Комплексная симуляция кибератак на инфраструктуру кластеров Kubernetes: выпускная квалификационная работа специалиста: направление 10.05.04 «Информационно-аналитические системы безопасности» ; образовательная программа 10.05.04_01 «Автоматизация информационно-аналитической деятельности»
Creators	Баськов Константин Сергеевич
Scientific adviser	Жуковский Евгений Владимирович
Organization	Санкт-Петербургский политехнический университет Петра Великого. Институт компьютерных наук и кибербезопасности
Imprint	Санкт-Петербург, 2025
Collection	Выпускные квалификационные работы ; Общая коллекция
Subjects	kubernetes ; кластер ; mtkpi ; kubernetes-goat ; openbas ; microsoft threat matrix ; эксплойт ; cluster ; exploit
Document type	Specialist graduation qualification work
File type	PDF
Language	Russian
Level of education	Specialist
Speciality code (FGOS)	10.05.04
Speciality group (FGOS)	100000 - Информационная безопасность
DOI	10.18720/SPBPU/3/2025/vr/vr25-40
Rights	Доступ по паролю из сети Интернет (чтение, печать)
Additionally	New arrival
Record key	ru\spstu\vkr\34220
Record create date	2/27/2025

Allowed Actions

–

Action 'Read' will be available if you login or access site from another network

Group	Anonymous
Network	Internet

Целью работы является разработка методики анализа безопасности контейнерной инфраструктуры путем моделирования компьютерных атак с помощью утилиты MTKPI. Предметом исследования является методика анализа безопасности контейнерной инфраструктуры на основе анализа проведенных компьютерных атак. Задачи, решаемые в ходе исследования: 1. Анализ угроз безопасности инфраструктуры кластера Kubernetes. 2. Исследование средств моделирования компьютерных атак и анализ их применимости в контейнерной инфраструктуре. 3. Разработка методики анализа безопасности контейнерной инфраструктуры кластера Kubernetes путем моделирования компьютерных атак. 4. Разработка и тестирование программного средства, реализующего предложенную методику анализа безопасности. В ходе работы была исследована проблема обеспечения защиты кластеров Kubernetes от проводимых компьютерных атак. Были проанализированы существующие подходы к обеспечению безопасности кластера, а также методы воздействия на кластер. В результате работы было разработано средство для автоматизированного проведения атак на инфраструктуру кластеров Kubernetes, реализующее предложенную методику анализа безопасности контейнерной инфраструктуры. Полученные результаты могут быть применены для тестирования безопасности кластера Kubernetes и приведения его в соответствие стандартам безопасности.

The aim of the work is to develop a methodology for analyzing the security of container infrastructure by simulating computer attacks using the MTKPI utility. The subject of the study is a methodology for analyzing the security of container infrastructure based on the analysis of computer attacks. Problems solved during the study: 1. Analysis of threats to the security of the Kubernetes cluster infrastructure. 2. Study of tools for simulating computer attacks and analysis of their applicability in the container infrastructure. 3. Development of a methodology for analyzing the security of the container infrastructure of the Kubernetes cluster by simulating computer attacks. 4. Development and testing of a software tool that implements the proposed security analysis methodology. During the work, the problem of ensuring the protection of Kubernetes clusters from computer attacks was investigated. Existing approaches to ensuring cluster security were analyzed, as well as methods of influencing the cluster. As a result of the work, a tool for automated attacks on the infrastructure of Kubernetes clusters was developed, implementing the proposed methodology for analyzing the security of container infrastructure. The results obtained can be used to test the security of a Kubernetes cluster and bring it into compliance with security standards.

Network	User group	Action
ILC SPbPU Local Network	All
Internet	Authorized users SPbPU
Internet	Anonymous

РЕФЕРАТ
ABSTRACT
Содержание
Определения, обозначения и сокращения
Введение
1 Анализ угроз безопасности инфраструктуры кластера kubernetes
- 1.1 Архитектура Kubernetes
Kubernetes является платформой для оркестрации контейнеров, разработанную при поддержке Cloud Native Computing Foundation и созданную на основе Borg. Выпуск Kubernetes состоялся в 2014 году, и на сегодняшний день он остается лидером среди инструментов...
Архитектура Kubernetes построена на принципе клиент-серверного взаимодействия, разделяя функционал на две основные плоскости: плоскость управления и плоскость данных. Плоскость управления отвечает за такие операции, как планирование, распределение рес...
На рисунке 1.1 представлена общая схема архитектуры Kubernetes.
Рисунок 1.1 – Архитектура Kubernetes
Мастер-узлы зависят от компонентов управляющей плоскости, тогда как рабочие узлы функционируют на основе компонентов, связанных с данными. Основой взаимодействия этих компонентов является API-сервер Kubernetes — важнейший элемент управляющей плоскости...
- 1.1.1 Master-ноды Kubernetes
  - 1.1.1.1 etcd
  - 1.1.1.2 Планировщик (kube-scheduler)
  - 1.1.1.3 Диспетчер контроллеров (kube-controller-manager)
  - 1.1.1.4 Cloud Controller Manager
- 1.1.2 Рабочие узлы
  - 1.1.2.1 Kubelet
  - 1.1.2.2 Среда выполнения контейнера
  - 1.1.2.3 Kube-proxy
- 1.1.3 Расширение функциональности Kubernetes
  - 1.1.3.1 Расширения
  - 1.1.3.2 Развертывания и ReplicaSets
  - 1.1.3.3 Пространства имен
  - 1.1.3.4 Службы и Ingress
  - 1.1.3.5 Тома
  - 1.1.3.6 Секреты и ConfigMaps
- 1.2 Угрозы безопасности кластера Kubernetes
  - 1.2.1 Неправильная конфигурация
    - 1.2.1.1 Открытые порты
    - 1.2.1.2 Отсутствие мониторинга
    - 1.2.1.3 Запуск нескольких приложений в одном пространстве имен
    - 1.2.1.4 Неаутентифицированный доступ к etcd
    - 1.2.1.5 Неправильно защищенный доступ к серверу API
    - 1.2.1.6 Отсутствие или неправильное использование политик контроля доступа
    - 1.2.1.7 Неправильное управление секретами
    - 1.2.1.8 Недостаточная проверка манифестов Kubernetes
  - 1.2.2 Уязвимые образы контейнеров
  - 1.2.3 Уязвимости приложений
  - 1.2.4 Уязвимости Kubernetes
  - 1.2.5 Обзор угроз безопасности на 2024 год
  - 1.2.6 Виды нарушителей и общие вектора атак
    - 1.2.6.1 Внешний нарушитель
    - 1.2.6.2 Внутренний нарушитель
      - 1.2.6.2.1 Нарушитель, находящийся внутри пода
      - 1.2.6.2.2 Нарушитель, находящийся на ноде
    - 1.2.6.3 Скомпрометированный разработчик
- 1.3 Выводы
2 Исследование средств моделирования компьютерных атак и анализ их применимости в контейнерной инфраструктуре
- 2.1 OpenBAS
  - 2.1.1 Архитектура OpenBAS
  - 2.1.2 Развертывание OpenBAS
- 2.2 MTKPI
- 2.3 Kubernetes-goat
- 2.4 Выводы
3 Разработка методики анализа безопасности контейнерной инфраструктуры кластера kubernetes путем моделирования компьютерных атак
- 3.1 Стандартная методика проведения тестирования на проникновение
- 3.2 Разработанная методика проведения тестирования
  - 3.2.1 Предложенная модель оценки
- 3.3 Выводы
4 Разработка и тестирование программного средства, реализующего предложенную методику анализа безопасности
- 4.1 Развертывание изначального образа MTKPI и Kubernetes-goat
- 4.2 Проведенная настройка Kubernetes-goat
- 4.3 Проведенная настройка MTKPI
- 4.4 Перечень используемых инструментов
- 4.5 Проведение тестирования и оценка результатов
- 4.6 Выводы
Заключение
Список использованных источников
Приложение 1. Скрипт комбинированного запуска
Приложение 2. Скрипт проверки доступа к API Kubelet
Приложение 3. Скрипт проверки доступа к kubernetes api
Приложение 4. Скрипт проведения проверок доступа к учетным данным
Приложение 5. Скрипт для проведения разведки сети
Приложение 6. Скрипт эксплуатации через peirates
Приложение 7. Скрипт эксплуатации через CDK

Access count: 1
Last 30 days: 1

Detailed usage statistics