קוני

# Koney: מסגרת תזמור הערמה (Cyber Deception) עבור Kubernetes
**Koney: A Cyber Deception Orchestration Framework for Kubernetes**

מחברים:  
Mario Kahlhofer ‏(Dynatrace Research – mario.kahlhofer@dynatrace.com)  
Matteo Golinelli ‏(University of Trento – matteo.golinelli@unitn.it)  
Stefan Rass ‏(Johannes Kepler University Linz – stefan.rass@jku.at)

---

## תוכן העניינים
1. [מבוא](#introduction)  
2. [הגדרת הבעיה](#problem-statement)  
3. [מונחי-יסוד ב-Kubernetes](#kubernetes-terminology)  
4. [מדיניות הערמה קיברנטית](#cyber-deception-policies)  
   4.1 [מלכודות במערכות קבצים](#traps-in-file-systems)  
   4.2 [מלכודות ביישומי-ווב](#traps-in-web-applications)  
   4.3 [בחירת משאבים](#selecting-resources)  
5. [מפעיל Koney](#the-koney-operator)  
   5.1 [אסטרטגיות פריסת פתיונות (Decoys)](#decoy-deployment-strategies)  
      5.1.1 [containerExec](#containerexec-strategy)  
      5.1.2 [volumeMount](#volumemount-strategy)  
      5.1.3 [istio Decoy](#istio-decoy-strategy)  
   5.2 [אסטרטגיות פריסת לוכדים (Captors)](#captor-deployment-strategies)  
      5.2.1 [tetragon](#tetragon-strategy)  
      5.2.2 [istio Captor](#istio-captor-strategy)  
   5.3 [פונקציות מסייעות](#auxiliary-functions)  
6. [הערכה](#evaluation)  
   6.1 [כיסוי מקרי-שימוש](#use-case-coverage)  
   6.2 [איזונים תפעוליים](#operational-trade-offs)  
   6.3 [ביצועים תפעוליים](#operational-performance)  
7. [דיון](#discussion)  
   7.1 [הרחבות עתידיות](#extensions)  
8. [עבודות קשורות](#related-work)  
   8.1 [הערמה במערכות קבצים](#works-deception-filesystems)  
   8.2 [הערמה ביישומי-ווב](#works-deception-webapps)  
   8.3 [מדיניות ומפעילי הערמה](#works-deception-policies)  
9. [סיכום](#conclusion)  
10. [דוגמאות למדיניות הערמה](#sample-policies)  
     A.1 [דוגמאות למלכודות במערכות קבצים](#samples-filesystems)  
     A.2 [דוגמאות למלכודות ביישומי-ווב](#samples-webapps)  
11. [מקורות](#references)

---

## Introduction
במרחב הענן-הנטיבי המתפתח במהירות, הערמה (Cyber Deception) מהווה גישה מבטיחה לשיבוש תוקפים עוד לפני שנגרם נזק אמיתי. הערמה כוללת הצבה אסטרטגית של מלכודות, פתיונות (Decoys) או Honeytokens בתשתית, במטרה לזהות, לעכב ולנתח תוקפים פוטנציאליים. עם אימוץ פלטפורמות תזמור מכולות כגון Kubernetes, ניתן לשלב טכניקות אלו בצורה שקופה – ללא גישה לקוד המקור של האפליקציה וללא שינויו.

Koney היא מסגרת הערמה חדשה שנבנתה במיוחד עבור Kubernetes. באמצעות מודל פריסה מבוסס-Operator, Koney מאפשרת לצוותי-תפעול לקודד, לפרוס, לסבב, לנטר ולבסוף להסיר מגוון טכניקות הערמה כ-“Infrastructure as Code”. בפוסט זה נצלול למנגנונים הפנימיים של Koney, נדון בתכנון, יישום ושימושים בעולם האמיתי, כולל דוגמאות קוד ושורות פקודה (Bash ו-Python) המדגימות שילוב הערמה באשכולות Kubernetes.

בסיום הקריאה תבינו:
- מהי הערמה קיברנטית ולמה היא קריטית באבטחת-מידע מודרנית  
- כיצד Koney מיישמת מדיניות הערמה כקוד ב-Kubernetes  
- את האינטראקציה בין רכיבי-המפתח: אסטרטגיות פתיון ולוכד  
- דוגמאות מעשיות וכלי שורת-פקודה לניטור מתמשך וזיהוי ניצול  

המדריך מיועד הן למתחילים והן למשתמשים מתקדמים המעוניינים לאמץ הערמה עננית.

---

## Problem Statement
למרות יתרונותיה המוכחים של הערמה בזיהוי מוקדם ובתגובת-נגד, ארגונים רבים מהססים ליישמה. הסיבות כוללות:
- חשש מתהליכי פריסה מורכבים  
- חוסר ודאות בהגדרה ותחזוקת מדיניות כ-Code  
- סביבות דינמיות ללא גישה לקוד המקור  

Koney משיבה על שני אתגרים מרכזיים:  
1. איך לנסח טכניקות הערמה במסמכי מדיניות מובְנים?  
2. איך לפרוס אוטומטית מדיניות אלו באשכול Kubernetes, גם כשאין גישה לקוד האפליקציה?  

המסגרת מנצלת טכנולוגיות ענן-נטיביות (לדוגמה Istio או eBPF) לשילוב שקוף של הערמה באפליקציות קיימות, במטרה לפשט תחזוקה, סקלאביליות וביצועים.

---

## Kubernetes Terminology
להבנת Koney יש להכיר מספר מושגים בסיסיים:

- **Pod** – יחידת הפריסה הבסיסית ב-Kubernetes, המכילה מכולה/ות החולקות רשת ואחסון.  
- **Deployment** – מופקד על תצורת שכפול Pod ושמירה על Desired State.  
- **Operator** – בקר מותאם אישית המרחיב את Kubernetes ומקודד ידע תפעולי; מפעיל Koney אחראי לאוטומציה של מדיניות הערמה.  
- **Service Mesh** – שכבת-תשתית (כגון Istio) המאפשרת תקשורת מאובטחת בין שירותים דרך Sidecars.  
- **eBPF** – טכנולוגיה להרצת תוכניות בתוך קרנל-לינוקס ללא שינוי הקוד, לניטור וביטחון עתיר-ביצועים.  
- **CRD** – משאב מותאם-אישית המגדיר ישויות חדשות ב-Kubernetes; דרכו Koney מבטאת מדיניות הערמה.

### דוגמה מעשית: ניטור Pod עם eBPF
```bash
# ניטור תעבורה ברשת בתוך Pod
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn

Koney משתמשת ב-Sidecar וב-eBPF כדי להזריק הערמה בלי להפריע לאפליקציה.

Cyber Deception Policies

מדיניות הערמה מגדירות תצורה והתנהגות של פתיונות ומלכודות. המדיניות מוגדרת כ-Code לצורך וורסיונינג וביקורת.

Traps in File Systems

מלכודות קבצים כוללות Honeyfiles/Honeytokens/Honeydocs וספריות דמה, המדמות נכסים יקרי-ערך. כל גישה מופעלת לוג והתראה.

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: honeytoken-policy
spec:
  trapType: fileSystem
  details:
    fileName: "secrets.txt"
    content: "username: admin\npassword: Pa$w0rd123"
    triggerAlert: true

Traps in Web Applications

מלכודות HTTP: הזרקת Endpoints, שינוי כותרות או גוף-תגובה.

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: web-deception-policy
spec:
  trapType: webApplication
  details:
    endpoint: "/wp-admin"
    responseType: fixed
    responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
    triggerAlert: true

Selecting Resources

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: target-specific-policy
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      role: sensitive
  details:
    fileName: "credentials.log"
    content: "dummy-credentials"
    triggerAlert: true

The Koney Operator

מפעיל Koney מנהל את מחזור-החיים של הערמה: התקנה, סבב, התרעה ופירוק.

Decoy Deployment Strategies

containerExec

הרצת פקודות בתוך מכולה ליצירת Honeyfiles וכו׳.

kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy data' > /app/honeytoken.txt"

volumeMount

הזרקת קבצים ע״י צריבת ConfigMap כ-Volume.

volumeMounts:
- name: deception-volume
  mountPath: /app/decoy-files

istio Decoy

הסטת בקשות דרך VirtualService.

- match:
    - uri:
        exact: /wp-admin
  route:
    - destination:
        host: decoy-service

Captor Deployment Strategies

tetragon

eBPF לניטור קריאות מערכת.

def parse_tetragon_log(log_file): ...

istio Captor

Envoy Filter ללכידת תעבורה.

function envoy_on_request(request_handle) ...

Auxiliary Functions

אימות מדיניות, סבוב פתיונות, התרעות, ניקוי משאבים.

Evaluation

Use Case Coverage

Koney מכסה Honeyfiles, תגובות HTTP מזויפות והזרקת Endpoints. בשדה נבדק >90% זיהוי.

Operational Trade-Offs

תוספת צריכת-משאבים מזערית מול רווחי אבטחה; תוויות Pod מפחיתות חיוביות-שווא.

Operational Performance

לופ ה-Reconcile מוסיף <100 ms השהיה; ניטור eBPF ו-Istio פועלים בקצב-קו.

Discussion

Extensions

תמיכה בפרוטוקולים לא-HTTP
שילוב לימוד-מכונה להפחתת False Positives
UI מתקדם
אינטגרציה SIEM נוספת

העבודה מתבססת על מחקרי Honeytokens, Decoy Web, ו-Policies-as-Code, ומרחיבה אותם ל-Kubernetes סקלאבילי.

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: filesystem-honeytoken
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      app: sensitive-data
  details:
    fileName: "credentials.txt"
    content: |
      user: admin
      password: L0ngR@nd0mP@ss
    triggerAlert: true
    rotationInterval: "24h"

A.2 דוגמה – מלכודת Web

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: webapp-deception
spec:
  trapType: webApplication
  selector:
    matchLabels:
      app: my-web-app
  details:
    endpoint: "/admin"
    responseType: fixed
    responseContent: |
      <html>
      <body>
        <h2>Decoy Admin Panel</h2>
        <p>This page is a decoy. Any unauthorized access is logged.</p>
      </body>
      </html>
    triggerAlert: true
    rotationInterval: "12h"

Evaluation: דוגמה אינטגרציה מעשית

kubectl apply -f filesystem-honeytoken.yaml
kubectl apply -f webapp-deception.yaml

# מעקב אחר התראות
kubectl logs -f deployment/koney-operator -n security

References

Happy Decepting!
מילות מפתח: הערמה קיברנטית, Kubernetes, Koney, Honeytokens, Istio, eBPF, DevSecOps