
Koney: A Cyber Deception Orchestration Framework for Kubernetes
מחברים:
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)
Matteo Golinelli (University of Trento – matteo.golinelli@unitn.it)
Stefan Rass (Johannes Kepler University Linz – stefan.rass@jku.at)
במרחב הענן-הנטיבי המתפתח במהירות, הערמה (Cyber Deception) מהווה גישה מבטיחה לשיבוש תוקפים עוד לפני שנגרם נזק אמיתי. הערמה כוללת הצבה אסטרטגית של מלכודות, פתיונות (Decoys) או Honeytokens בתשתית, במטרה לזהות, לעכב ולנתח תוקפים פוטנציאליים. עם אימוץ פלטפורמות תזמור מכולות כגון Kubernetes, ניתן לשלב טכניקות אלו בצורה שקופה – ללא גישה לקוד המקור של האפליקציה וללא שינויו.
Koney היא מסגרת הערמה חדשה שנבנתה במיוחד עבור Kubernetes. באמצעות מודל פריסה מבוסס-Operator, Koney מאפשרת לצוותי-תפעול לקודד, לפרוס, לסבב, לנטר ולבסוף להסיר מגוון טכניקות הערמה כ-“Infrastructure as Code”. בפוסט זה נצלול למנגנונים הפנימיים של Koney, נדון בתכנון, יישום ושימושים בעולם האמיתי, כולל דוגמאות קוד ושורות פקודה (Bash ו-Python) המדגימות שילוב הערמה באשכולות Kubernetes.
בסיום הקריאה תבינו:
המדריך מיועד הן למתחילים והן למשתמשים מתקדמים המעוניינים לאמץ הערמה עננית.
למרות יתרונותיה המוכחים של הערמה בזיהוי מוקדם ובתגובת-נגד, ארגונים רבים מהססים ליישמה. הסיבות כוללות:
Koney משיבה על שני אתגרים מרכזיים:
המסגרת מנצלת טכנולוגיות ענן-נטיביות (לדוגמה Istio או eBPF) לשילוב שקוף של הערמה באפליקציות קיימות, במטרה לפשט תחזוקה, סקלאביליות וביצועים.
להבנת Koney יש להכיר מספר מושגים בסיסיים:
# ניטור תעבורה ברשת בתוך Pod
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn
Koney משתמשת ב-Sidecar וב-eBPF כדי להזריק הערמה בלי להפריע לאפליקציה.
מדיניות הערמה מגדירות תצורה והתנהגות של פתיונות ומלכודות. המדיניות מוגדרת כ-Code לצורך וורסיונינג וביקורת.
מלכודות קבצים כוללות Honeyfiles/Honeytokens/Honeydocs וספריות דמה, המדמות נכסים יקרי-ערך. כל גישה מופעלת לוג והתראה.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: honeytoken-policy
spec:
trapType: fileSystem
details:
fileName: "secrets.txt"
content: "username: admin\npassword: Pa$w0rd123"
triggerAlert: true
מלכודות HTTP: הזרקת Endpoints, שינוי כותרות או גוף-תגובה.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: web-deception-policy
spec:
trapType: webApplication
details:
endpoint: "/wp-admin"
responseType: fixed
responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
triggerAlert: true
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: target-specific-policy
spec:
trapType: fileSystem
selector:
matchLabels:
role: sensitive
details:
fileName: "credentials.log"
content: "dummy-credentials"
triggerAlert: true
מפעיל Koney מנהל את מחזור-החיים של הערמה: התקנה, סבב, התרעה ופירוק.
הרצת פקודות בתוך מכולה ליצירת Honeyfiles וכו׳.
kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy data' > /app/honeytoken.txt"
הזרקת קבצים ע״י צריבת ConfigMap כ-Volume.
volumeMounts:
- name: deception-volume
mountPath: /app/decoy-files
הסטת בקשות דרך VirtualService.
- match:
- uri:
exact: /wp-admin
route:
- destination:
host: decoy-service
eBPF לניטור קריאות מערכת.
def parse_tetragon_log(log_file): ...
Envoy Filter ללכידת תעבורה.
function envoy_on_request(request_handle) ...
אימות מדיניות, סבוב פתיונות, התרעות, ניקוי משאבים.
Koney מכסה Honeyfiles, תגובות HTTP מזויפות והזרקת Endpoints. בשדה נבדק >90% זיהוי.
תוספת צריכת-משאבים מזערית מול רווחי אבטחה; תוויות Pod מפחיתות חיוביות-שווא.
לופ ה-Reconcile מוסיף <100 ms השהיה; ניטור eBPF ו-Istio פועלים בקצב-קו.
העבודה מתבססת על מחקרי Honeytokens, Decoy Web, ו-Policies-as-Code, ומרחיבה אותם ל-Kubernetes סקלאבילי.
Koney מפשטת הערמה בענן באמצעות CRD ו-Operator, עם אסטרטגיות פתיון ולוכד יעילות.
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: filesystem-honeytoken
spec:
trapType: fileSystem
selector:
matchLabels:
app: sensitive-data
details:
fileName: "credentials.txt"
content: |
user: admin
password: L0ngR@nd0mP@ss
triggerAlert: true
rotationInterval: "24h"
apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
name: webapp-deception
spec:
trapType: webApplication
selector:
matchLabels:
app: my-web-app
details:
endpoint: "/admin"
responseType: fixed
responseContent: |
<html>
<body>
<h2>Decoy Admin Panel</h2>
<p>This page is a decoy. Any unauthorized access is logged.</p>
</body>
</html>
triggerAlert: true
rotationInterval: "12h"
kubectl apply -f filesystem-honeytoken.yaml
kubectl apply -f webapp-deception.yaml
# מעקב אחר התראות
kubectl logs -f deployment/koney-operator -n security
Happy Decepting!
מילות מפתח: הערמה קיברנטית, Kubernetes, Koney, Honeytokens, Istio, eBPF, DevSecOps
אם מצאתם את התוכן הזה בעל ערך, תארו לעצמכם מה תוכלו להשיג עם תוכנית ההכשרה המקיפה והאליטיסטית שלנו בת 47 שבועות. הצטרפו ליותר מ-1,200 סטודנטים ששינו את הקריירה שלהם בעזרת טכניקות יחידה 8200.