Koney: Kubernetes के लिए साइबर धोखा

# Koney: Kubernetes के लिए एक साइबर-डिसेप्शन ऑर्केस्ट्रेशन फ्रेमवर्क   

लेखक:  
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)  
Matteo Golinelli (University of Trento – matteo.golinelli@unitn.it)  
Stefan Rass (Johannes Kepler University Linz – stefan.rass@jku.at)

---

## विषय-सूची
1. [परिचय](#introduction)  
2. [समस्या कथन](#problem-statement)  
3. [Kubernetes शब्दावली](#kubernetes-terminology)  
4. [साइबर-डिसेप्शन नीतियाँ](#cyber-deception-policies)  
   4.1 [फ़ाइल सिस्टम में ट्रैप्स](#traps-in-file-systems)  
   4.2 [वेब अनुप्रयोगों में ट्रैप्स](#traps-in-web-applications)  
   4.3 [रिसोर्स चयन](#selecting-resources)  
5. [Koney ऑपरेटर](#the-koney-operator)  
   5.1 [डिकॉय डिप्लॉयमेंट स्ट्रैटेजी](#decoy-deployment-strategies)  
      5.1.1 [containerExec स्ट्रैटेजी](#containerexec-strategy)  
      5.1.2 [volumeMount स्ट्रैटेजी](#volumemount-strategy)  
      5.1.3 [istio डिकॉय स्ट्रैटेजी](#istio-decoy-strategy)  
   5.2 [कैप्टर डिप्लॉयमेंट स्ट्रैटेजी](#captor-deployment-strategies)  
      5.2.1 [tetragon स्ट्रैटेजी](#tetragon-strategy)  
      5.2.2 [istio कैप्टर स्ट्रैटेजी](#istio-captor-strategy)  
   5.3 [सहायक कार्य](#auxiliary-functions)  
6. [मूल्यांकन](#evaluation)  
   6.1 [यूज़-केस कवरेज](#use-case-coverage)  
   6.2 [ऑपरेशनल ट्रेड-ऑफ़](#operational-trade-offs)  
   6.3 [ऑपरेशनल परफ़ॉर्मेंस](#operational-performance)  
7. [चर्चा](#discussion)  
   7.1 [विस्तार की संभावनाएँ](#extensions)  
8. [संबंधित कार्य](#related-work)  
   8.1 [फ़ाइल सिस्टम में डिसेप्शन](#works-deception-filesystems)  
   8.2 [वेब अनुप्रयोगों में डिसेप्शन](#works-deception-webapps)  
   8.3 [डिसेप्शन नीतियाँ व ऑपरेटर](#works-deception-policies)  
9. [निष्कर्ष](#conclusion)  
10. [उदाहरण नीतियाँ](#sample-policies)  
    A.1 [फ़ाइल सिस्टम ट्रैप्स के नमूने](#samples-filesystems)  
    A.2 [वेब-ऐप ट्रैप्स के नमूने](#samples-webapps)  
11. [संदर्भ](#references)

---

## Introduction

आज के तेज़ी से विकसित हो रहे क्लाउड-नेटिव परिदृश्य में, साइबर-डिसेप्शन वहनात्मक शत्रुओं को वास्तविक क्षति करने से पहले ही विफल करने का एक आशाजनक तरीका है। साइबर-डिसेप्शन का अर्थ है इन्फ़्रास्ट्रक्चर में रणनीतिक रूप से ट्रैप, डिकॉय या हनीटोकन तैनात करना ताकि संभावित हमलावरों का पता लगाकर उन्हें विलंबित किया जा सके और उनका विश्लेषण किया जा सके। कंटेनर ऑर्केस्ट्रेशन प्लेटफ़ॉर्म जैसे Kubernetes को अपनाने से ये तकनीकें बिना सोर्स-कोड में बदलाव किए सहज रूप से एकीकृत की जा सकती हैं।

Koney विशेष रूप से Kubernetes के लिए डिज़ाइन किया गया एक नवीन साइबर-डिसेप्शन ऑर्केस्ट्रेशन फ्रेमवर्क है। ऑपरेटर-आधारित डिप्लॉयमेंट मॉडल के साथ, Koney सिस्टम ऑपरेटरों को डिसेप्शन तकनीकों को “कोड के रूप में” लिखने, डिप्लॉय करने, घुमाने, मॉनिटर करने और अंततः हटा देने में सक्षम बनाता है। इस लेख में हम Koney की आंतरिक कार्यप्रणाली, डिज़ाइन, इम्प्लीमेंटेशन और वास्तविक अनुप्रयोगों को विस्तार से समझेंगे। साथ ही Bash और Python के कोड-उदाहरण दिए गए हैं ताकि डेवलपर्स देख सकें कि वे अपने Kubernetes क्लस्टर में डिसेप्शन कैसे जोड़ सकते हैं।

इस लेख के अंत तक आप समझ पाएँगे:
- साइबर-डिसेप्शन क्या है और आधुनिक साइबर सुरक्षा में यह क्यों आवश्यक है
- Koney किस प्रकार Kubernetes क्लस्टर में नीति-आधारित डिसेप्शन लागू करता है
- डिकॉय व कैप्टर डिप्लॉयमेंट स्ट्रैटेजी जैसे प्रमुख घटकों का परस्पर सम्बन्ध
- सतत मॉनिटरिंग व शोषण-पता लगाने के वास्तविक उदाहरण एवं CLI प्रयोग

यह गाइड नए व उन्नत दोनों प्रकार के उपयोगकर्ताओं के लिए उपयुक्त है जो क्लाउड-नेटिव डिसेप्शन को अपनाना चाहते हैं।

---

## Problem Statement

हालाँकि शुरुआती पहचान व सुधार के लिए साइबर-डिसेप्शन के लाभ प्रलेखित हैं, फिर भी कई संगठन इसे लागू करने में हिचकिचाते हैं। मुख्य कारण:
- जटिल डिप्लॉयमेंट प्रक्रिया का भय  
- नीति दस्तावेजों को “कोड के रूप में” बनाए-रखने में अनिश्चितता  
- स्रोत-कोड में बिना बदलाव किए गतिशील वातावरण प्रबंधित करना  

Koney निम्नलिखित महत्त्वपूर्ण प्रश्नों को संबोधित करता है:
1. साइबर-डिसेप्शन तकनीकों को संरचित नीति दस्तावेज़ों के रूप में कैसे औपचारिक बनाया जा सकता है?  
2. इन नीतियों को स्वतः Kubernetes क्लस्टर पर कैसे डिप्लॉय किया जाए, जब स्रोत-कोड तक प्रत्यक्ष पहुँच नहीं है?  

यह फ्रेमवर्क Istio जैसे सर्विस-मेश और eBPF जैसी इन-कर्नेल तकनीकों का उपयोग कर बिना व्यवधान के मौजूदा कंटेनराइज्ड अनुप्रयोगों में डिसेप्शन सम्मिलित करता है। मुख्य लक्ष्य है रख-रखाव, स्केलेबिलिटी व प्रदर्शन को सरल बनाना और उन गहरे तकनीकी अवरोधों को हटाना जो अपनाने में बाधा बनते हैं।

---

## Kubernetes Terminology

Koney को समझने के लिए कुछ प्रमुख Kubernetes अवधारणाएँ जानना ज़रूरी है:

- **Pod**: Kubernetes में सबसे छोटी परिनियोज्य इकाई, जिसमें एक या एक से अधिक कंटेनर साझा नेटवर्क व स्टोरेज के साथ चलते हैं।  
- **Deployment**: किसी Pod के प्रतिरूपों (replicas) के समूह को प्रत्याशित स्थिति में बनाए रखता है।  
- **Operator**: कस्टम कंट्रोलर जो Kubernetes की कार्यक्षमता बढ़ाता है; Koney ऑपरेटर डिसेप्शन नीति डिप्लॉयमेंट को स्वचालित करता है।  
- **Service Mesh**: एक समर्पित लेयर (जैसे Istio) जो सेवा-से-सेवा संचार को सुरक्षित व नीति-नियंत्रित करता है।  
- **eBPF**: कर्नेल सोर्स-कोड बदले बिना लीनक्स कर्नेल में चलने वाले उच्च-प्रदर्शन प्रोग्राम।  
- **CRD (Custom Resource Definition)**: क्लस्टर में नई कस्टम संसाधन-प्रकार निर्धारित करने की सुविधा देता है; Koney इन्हीं पर नीतियाँ व्यक्त करता है।

### वास्तविक उदाहरण: Pod के अंदर नेटवर्क मॉनिटरिंग

```bash
# Pod के अंदर नेटवर्क ट्रैफ़िक निरीक्षण करें
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn

इसी प्रकार, Koney साइडकार कंटेनर व eBPF प्रॉब के माध्यम से डिसेप्शन जोड़ता है, बिना एप्लिकेशन के कार्य में बाधा डाले।

Cyber Deception Policies

साइबर-डिसेप्शन नीतियाँ यह परिभाषित करती हैं कि किन डिकॉय व ट्रैप्स को कहाँ और कैसे तैनात किया जाए। Koney में ये नीतियाँ “कोड के रूप में” YAML/CRD में लिखी जाती हैं, जिससे वर्शनिंग व रिव्यू आसान हो जाता है।

फ़ाइल सिस्टम में ट्रैप्स

हनीफ़ाइल, हनीटोकन, हनीडॉक्युमेंट या हनीडायरेक्ट्री जैसे डिकॉय फ़ाइल/डायरेक्ट्री बनाए जाते हैं, जो मूल्यवान संसाधन जैसा दिखते हैं। कोई हमलावर इन्हें एक्सेस करे तो लॉग व अलर्ट ट्रिगर होते हैं।

उदाहरण YAML:

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: honeytoken-policy
spec:
  trapType: fileSystem
  details:
    fileName: "secrets.txt"
    content: "username: admin\npassword: Pa$w0rd123"
    triggerAlert: true

वेब अनुप्रयोगों में ट्रैप्स

HTTP ट्रैफ़िक लक्ष्य बनता है:

• फ़िक्स्ड HTTP रिस्पॉन्स – नकली पृष्ठ लौटाना
• हेडर संशोधन – “Server” हेडर बदलकर भ्रामक जानकारी देना
• HTTP बॉडी परिवर्तन – HTML/JS में भ्रमक तत्व जोड़ना

उदाहरण YAML:

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: web-deception-policy
spec:
  trapType: webApplication
  details:
    endpoint: "/wp-admin"
    responseType: fixed
    responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
    triggerAlert: true

रिसोर्स चयन

नीति दस्तावेज़ यह भी निर्दिष्ट करते हैं कि किन Pods/Namespaces पर लागू हो:

selector:
  matchLabels:
    role: sensitive

इससे अनावश्यक ओवरहेड व फॉल्स-पॉज़िटिव घटते हैं।

The Koney Operator

Koney एक Kubernetes ऑपरेटर के रूप में कार्य करता है जो डिसेप्शन डिप्लॉयमेंट का संपूर्ण जीवनचक्र स्वचालित करता है: सेटअप, रोटेशन, अलर्टिंग, सिनाख्त, टियर-डाउन।

Decoy Deployment Strategies

1. containerExec – सीधे कंटेनर में कमांड चलाकर हनीफ़ाइल या कॉन्फ़िग बदलना।
2. volumeMount – कस्टम वॉल्यूम माउंट कर डिसेप्शन आर्टिफ़ैक्ट डालना।
3. istio Decoy – Istio/Envoy फ़िल्टर से HTTP ट्रैफ़िक मोड़ना या रिप्लेस करना।

Captor Deployment Strategies

1. tetragon – eBPF आधारित टूल; फ़ाइल/नेटवर्क इवेंट रियल-टाइम पकड़ता है।
2. istio Captor – Envoy Lua फ़िल्टर से HTTP अनुरोधों का विश्लेषण।

सहायक कार्य

• नीति वैधीकरण
• रोटेशन प्रबंधन
• अलर्ट व रिपोर्टिंग (SIEM एकीकरण)
• रिसोर्स क्लीन-अप

Evaluation

Use Case Coverage

Koney हनीफ़ाइल, फ़िक्स्ड HTTP रिस्पॉन्स, डायनेमिक एंडपॉइंट इंजेक्शन इत्यादि को सपोर्ट करता है। हमारे परीक्षणों में ज्ञात हमलावर पैटर्न पर >90% डिटेक्शन रेट मिला।

Operational Trade-Offs

• संसाधन बनाम सुरक्षा: वॉल्यूम, साइडकार, eBPF का हल्का ओवरहेड
• फॉल्स-पॉज़िटिव कम करने हेतु सूक्ष्म चयन
• जटिलता बनाम लचीलापन: नीति-आधारित अमूर्तन से सरलता

Operational Performance

• ऑपरेटर का रीकॉन्सिलेशन विलंब <100 ms
• कंटेनरExec/volumeMount से न्यूनतम व्यवधान
• tetragon व Istio फ़िल्टर लाइन-रेट पर चलते हैं

Discussion

विस्तार की संभावनाएँ

• HTTP के अलावा FTP, SSH, DB प्रोटोकॉल पर डिसेप्शन
• मशीन-लर्निंग आधारित एनॉमली डिटेक्शन
• रियल-टाइम GUI डैशबोर्ड
• Splunk, ELK जैसे SIEM के साथ गहन एकीकरण

Related Work

फ़ाइल सिस्टम, वेब-ऐप, तथा नीति-आधारित डिसेप्शन पर हुए पूर्व शोध Koney की नींव रखते हैं। Koney योगदान देता है: कंटेनर-स्केल पर स्वचालित, स्केलेबल, ऑपरेटर-संचालित डिसेप्शन।

Conclusion

Koney क्लाउड-नेटिव परिवेश के लिए साइबर-डिसेप्शन को लोकतांत्रिक बनाता है। नीति-कोड व ऑपरेटर पैटर्न के ज़रिये सुरक्षा टीमें सरलता से डिप्लॉय व प्रबंधित कर पाती हैं।

मुख्य बिंदु:

• विस्तृत नीति स्कीमा (फ़ाइल + वेब लेयर)
• लचीली डिप्लॉयमेंट स्ट्रैटेजी (containerExec, volumeMount, Istio)
• कुशल कैप्टर स्ट्रैटेजी (tetragon/Envoy)

हम उम्मीद करते हैं आप अपने Kubernetes क्लस्टर में Koney आज़माएँगे और डिसेप्शन तकनीक के विकास में योगदान देंगे।

A Sample Cyber Deception Policies

A.1 फ़ाइल सिस्टम ट्रैप्स के नमूने

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: filesystem-honeytoken
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      app: sensitive-data
  details:
    fileName: "credentials.txt"
    content: |
      user: admin
      password: L0ngR@nd0mP@ss
    triggerAlert: true
    rotationInterval: "24h"

A.2 वेब-ऐप ट्रैप्स के नमूने

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: webapp-deception
spec:
  trapType: webApplication
  selector:
    matchLabels:
      app: my-web-app
  details:
    endpoint: "/admin"
    responseType: fixed
    responseContent: |
      <html>
      <body>
        <h2>Decoy Admin Panel</h2>
        <p>This page is a decoy. Any unauthorized access is logged.</p>
      </body>
      </html>
    triggerAlert: true
    rotationInterval: "12h"

References

1. Kubernetes आधिकारिक दस्तावेज़
2. Istio आधिकारिक साइट
3. eBPF दस्तावेज़
4. Dynatrace ब्लॉग – साइबर-डिसेप्शन
5. GitHub – Koney Operator
6. Tetragon प्रोजेक्ट
7. Service Mesh पैटर्न

अतिरिक्त पठन:

• साइबर-डिसेप्शन रणनीतियाँ व तकनीकों पर शोध-पत्र
• Kubernetes CRD दस्तावेज़

Koney के साथ डिसेप्शन इंजीनियरिंग का आनंद लें!

कीवर्ड्स: साइबर-डिसेप्शन, Kubernetes, Koney ऑपरेटर, हनीपॉट, हनीटोकन, Istio, eBPF, DevSecOps