AWS Community Fest Peru 2025: De attacker a defender, Pentesting en Kubernetes con AWS Security Services

mario21ic 0 views 59 slides Oct 09, 2025

Slide 1 of 59

About This Presentation

Exploramos una travesía práctica que transforma al pentester en defensor: realizaremos ataques controlados a un clúster Kubernetes desplegado en AWS EKS y veremos en tiempo real los servicios como GuardDuty, Inspector, Detective, ECR y Security Hub detectan, alertan e incluso investigan vulnerabi...

Size: 10.19 MB

Language: es

Added: Oct 09, 2025

Slides: 59 pages

Slide Content

De Attacker a Defender: Pentesting en Kubernetes con AWS Security Services Mario Inga AWS C o mmunity Builder AWS Community Fest Perú 2025

¿ Quién Soy? Mario Inga Aws Community Builder DevOps Institute Ambassador Software Engineer Security fan Homelab Metal \m/ 🤓

AGENDA Anécdota Demo Preguntas 03 02 01

- Curso de Pentesting - Curso de K8s Security - Intro a Auditoría de Sistemas - Hardening de Servers - Cómo hackear FB, ni ninguna red social de tu ex / actual / tiniebla (o). Esta charla SI ES una anécdota . Disclaimer: esta charla NO es

1. Migrar un Project hacia Containers. Creamos un EKS cluster y todo funcionaba bien. Anécdota

2. SRE team sobre la complejidad de seguridad en K8s: - Cluster & Nodos - Network - Deploy Apps (Image & Configs) - Runtime de Apps - Identidad & Accesos (RBAC) - Data protection Anécdota

3. SRE team esperando que las Apps no tengan bugs de seguridad . Anécdota

1. La calidad depende “solo” de QA? 2. Y la seguridad “solo” del Security team? 🤔 Pero: Y si involucramos al equipo Dev? 🤓 Reflexión

4. Vulnerabilidades mas comunes , OWASP Web top ten Anécdota

4. Vulnerabilidades mas comunes , OWASP Kubernetes top ten Anécdota

5. Enseñamos lo básico , tipos de Pentesting Anécdota

5. Enseñamos lo básico , fases de Pentesting (attacker) Anécdota

Ya saben la teoría : 1. OWASP Web & Kubernetes Top Ten ✅ 2. Pentesting , tipos y fases ✅ Pero: - Será suficiente o necesitan donde practicar ? 🤔 Reflexión

Muro de la confusión

6. Un kubernetes vulnerable a propósito para practicar . Anécdota

Interactive Kubernetes Security Learning Playground 🚀 Kubernetes Goat

- Sensitive keys in codebases - DIND (docker-in-docker) exploitation - SSRF in the Kubernetes (K8S) world - Container escape to the host system - Docker CIS benchmarks analysis - Kubernetes CIS benchmarks analysis - Attacking private registry - NodePort exposed services - Analyzing crypto miner container - Kubernetes namespaces bypass - Gaining environment information - DoS the Memory/CPU resources Kubernetes Goat: escenarios - Hacker container preview - Hidden in layers - RBAC least privileges misconfiguration - KubeAudit - Audit Kubernetes clusters - Falco - Runtime security monitoring & detection - Popeye - A Kubernetes cluster sanitizer - Secure Network Boundaries using NSP - Cilium Tetragon - eBPF -based Security - Observability and Runtime Enforcement - Securing Kubernetes Clusters using Kyverno Policy Engine

Ya saben la teoría : 1. OWASP Web & Kubernetes Top Ten ✅ 2. Pentesting , tipos y fases ✅ 3. Practicar en entornos controlados ✅ Pero: - Y si mientras ellos practican , nosotros también aprendemos ? 🤔 Reflexión

7. Activar : GuarDuty + Detective + Inspector + Security Hub Anécdota

- Detección de amenazas , usa ML e inteligencia de amenazas ( ips maliciosas , dominios sospechosos , etc ) - Genera “findings” ( alertas de posible actividad sospechosa ) - Analiza logs: VPC flow, Cloudtrail , DNS logs, EKS audit logs, etc. Ejem : Un container con root level access fue lanzado en un EKS. AWS GuardDuty

AWS GuarDuty

- Análisis de incidentes . Datos correlacionados de fuentes como : Cloudtrail , GuardDuty (findings) e Inspector. - Investigar e identificar la “ root cause ”. - Genera grafo de relaciones entre: usuarios , roles, instancias , IPs y actividades . Ejem : el rol AppServerStg fue usado desde 2 Ips distintas , una en Rusia, lanzó 5 instancias ec2 y accedió a S3. AWS Detective

AWS Detective

$ git clone https:// github.com /mario21ic/ aws - kubernetes -attacker-defender Demo

Demo: Escape to Host

- Nunca ejecutar un privileged Container - Evitar user root en Containers - No dejar información sensible en Container - Siempre cifrar los datos ( reposo , tránsito y uso ). Y cómo nos ayuda AWS? 🤔 Demo: Lecciones aprendidas

AWS GuarDuty

1. Runtime: root level access 1. Detecta si se despliega un Container con dicho privilegio

AWS GuardDuty - detail

AWS GuardDuty + Detective 1. Container con root level access

2. Runtime: binario nuevo 2. Detecta si ejecuto un binario que no existía en el Container

AWS GuardDuty 2. Container ejecutó un binario nuevo

AWS GuardDuty

AWS GuardDuty + Detective

3. Runtime: escanero de red 3. Detecta si trato de escanear la red en busqueda de Pods

AWS GuardDuty 3. Intento de escaneo de red con nmap

AWS GuardDuty

AWS GuardDuty + Detective

4. Images: vulnerabilities Container images y sus vulnerabilities libcurl

AWS ECR

- Administración automatizada de Vulnerabilidades . - Analiza en workloads, containers images, ec2, etc - SBOM (Software Bill Of Materials) - Soporte para CIS (Center for Internet Security) Benchmark assessments AWS Inspector

AWS ECR + Inspector

AWS ECR & Inspector

AWS ECR + Inspector libcurl

AWS Security Hub Centraliza findings de Inspector y GuardDuty en un único panel. Aplica estándares de compliance ( ej . CIS, PCI DSS, NIST) para marcar controles incumplidos . Envía findings críticos a remediación automatizada ( ej . con AWS Systems Manager Automation o un playbook en SOAR).

AWS Security Hub

1. Inspector → Detecta vulnerabilidad en Dockerimage 2. GuardDuty → Actividad maliciosa del pod comprometido en EKS 3. Security Hub → Centraliza , correlaciona y aplica compliance 4. Detective → Investiga en detalle la cadena de ataque . 5. Remediación → Automatización ( ej . Systems Manager) Defender: flujo integrado

1. OWASP Web & Kubernetes Top Ten ✅ 2. Pentesting , tipos y fases ✅ 3. Practicar en entornos controlados ✅ 4. Usar AWS Security Services ✅ - Guarduty + Detective - ECR + Inspector - Security Hub Reflexión final

- La “ seguridad ” es “ responsabilidad de todos ”. - No existe “la bala de plata ”. - Siempre hay un trade-off. - De ser posible hacer una PoC (Proof of concept). Lecciones aprendidas

Ver como se hace algo, NO nos hace expertos . Requiere “ práctica ”. Levels: 1. Teoría 2. Implementación 3. DIY from scratch Lecciones aprendidas

- Identify and Access Management - Network and App Protection - Data Protection - Detection and Response - Governance and Compliance Mas info https:// docs.aws.amazon.com /whitepapers/latest/ aws -overview/security- services.html Next steps

Contacto: Email: [email protected] LinkedIn/Twitter: https:// linkedin.com /in/mario21ic https:// x.com /mario21ic Preguntas y Contacto

AWS Community Fest Peru 2025: De attacker a defender, Pentesting en Kubernetes con AWS Security Services

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

AWS Community Fest Peru 2025: De attacker a defender, Pentesting en Kubernetes con AWS Security Services

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 4

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Slide 11

Slide 12

Slide 13

Slide 14

Slide 15

Slide 16

Slide 17

Slide 18

Slide 19

Slide 20

Slide 21

Slide 22

Slide 23

Slide 24

Slide 25

Slide 26

Slide 27

Slide 28

Slide 29

Slide 30

Slide 31

Slide 32

Slide 33

Slide 34

Slide 35

Slide 36

Slide 37

Slide 38

Slide 39

Slide 40

Slide 41

Slide 42

Slide 43

Slide 44

Slide 45

Slide 46

Slide 47

Slide 48

Slide 49

Slide 50

Slide 51

Slide 52

Slide 53

Slide 54

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

8-top-ai-courses-for-customer-support-representatives-in-2025.pptx

7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx

25-essential-ai-courses-for-user-support-specialists-in-2025.pptx

8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx

Know for Certain

PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx