В официальном блоге CNCF вышла статья с интригующим названием "Applying RBAC to databases on Kubernetes: Practical, real-world examples" .

Я правда рассчитывал там увидеть как они создали кастомные ресурсы, кастомные глаголы и т.д. в классических кубовых Roles и ClusterRoles, но нет ...

30 октября в 11:00 наша команда Luntry проведет вебинар "Kubernetes Audit Log на страже безопасности кластеров".

Kubernetes Audit Log является чрезвычайно важным источником данных о происходящем в кластере. И если вы его не используете и данные от него не анализируете, то вы много теряете (да и не знаете).

Целью данного вебинара является раскрыть все аспекты, касающиеся этого механизма. И также мы покажем, как Luntry помогает работать с Kubernetes Audit Log.

Как всегда, после вебинара всех участников ждут все материалы, включая специальный подарок - на этот раз это "Шпаргалку по Kubernetes Audit Log".

Зарегистрироваться на вебинар можно тут.

Сегодня хотим поделиться интересным проектом – k7. Он позволяет поднимать инфру на легковесных виртуальных машинах.

Под капотом:

- Kubernetes
- Kata
- Firecracker
- Devmapper Snapshotter

Также авторы запилили API и Python SDK для взаимодействия.

С точки зрения безопасности – дроп капабилити по умолчанию, allow_privilege_escalation в false и seccomp профиль в RuntimeDefault. Обещают в следующих релизах завести еще больше безопасных фич, включая интеграцию с AppArmor.

В заключении недели мы хотим поделиться нашей последней презентацией "1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях" с CyberCamp 2025. Видео на сайте будет доступно позже, но уже сейчас можно найти выступление в трансляции мероприятия.

В презентации рассматривается 8 способов избавления от уязвимостей:
1) Честный патчинг ручками
2) Обфускация
3) Автоматизация с помощью AI
4) Золотой образ
5) Дополнительный слой образа
6) Минификация
7) Перегенерация / транспайлинг кода
8) Превентивный / проактивный подход

В комментариях расскажите как у вас обстоят дела с уязвимостями в образах и какие из этих способов вы используете (а можете даже предложите еще свой способ).

Сегодняшнюю неделю хотим начать со знакомства с проектом urunc – low level container runtime, который стремится стать runc для unikernels.

Концепция unikerls следующая – связать приложение с необходимыми библиотеками операционной системы и скомпилировать их в один бинарный файл. После этот бинарнь можно использовать для загрузки системы. Такой подход дает возможность специализировать функциональность ОС под нужды конкретного приложения.

Основное отличие urunc от других container runtime заключается в том, что вместо запуска простого процесса он использует Virtual Machine Monitor (VMM) или sandbox monitor для запуска unikernel. Важно отметить, что urunc не требует какого-либо специального ПО, работающего параллельно с пользовательским приложением внутри или вне Unikernel. Благодаря этому urunc может поддерживать любой фреймворк Unikernel или аналогичные технологии, обеспечивая при этом максимально низкие накладные расходы.

Возможно вы еще не в курсе, но в России появилась некоммерческая организация «Ассоциации облачно-ориентированных технологий». И под ее эгидой в скором времени пройдет конференция Kuber Conf, которая впервые пройдет 4 декабря !

Сейчас идет приём заявок на выступление (CFP). Присылайте ваши любые доклады, связанные с Kubernetes и разработкой микросервисов, но будем особенно рады темам про:
— Новые инструменты и подходы при работе с K8s
— Безопасность в K8s
— Реальные примеры использования Gateway API
— K8s и AI/ML (большие модели на больших кластерах, MCP, GPU, распределение ресурсов)
— Мультитенатность (Capsule, vCluster, K8s в K8s)
— Мультикластеры
— Виртуальные машины в K8s
— Нетривиальные проблемы и ошибки в K8s, способы их решения
— Управление внешними ресурсами (Cluster API, федерация, Crossplane)
— Автоматизация дата-центра (Metal3, Tinkerbell)
— Kubernetes-ориентированные операционные системы (Talos, Flatcar, Bottlerocket)
— Сети: Multus, OVN, Telco, SR-IOV
— Системы хранения в Kubernetes (SDS)
— Оптимизация производительности
— Наблюдаемость и обнаружение аномалий

Наша команда входит в программный комитет и готова помочь с вопросом подачи, если у вас есть какие-то сомнения ;)
Заявки принимаются до 10 ноября 2025!

В рамках конференции KCD San Francisco 2025 был представлен доклад "Network Policy Nirvana: Automating Security & Delivering Self-Service with Policy-as-Code" (видео, слайды, статья, репозиторий с кодом).

В докладе нет каких новых откровений, но он в очередной раз отлично подсвечивает гигантское преимущество использование декларативного подхода (Policy-as-Code).

В данном случае и Policy Engine использует политики в виде YAMLs, и подсистема сетевой безопасности на базе NetworkPolicy в виде специальных YAMLs.

P.S. Никакого ClickOps ;)

Кто не знал, MinIO в середине этого года выпилили поддержку GUI, а с недавнего времени прекратили поддержку docker release. Кроме того, была обнаружена новая уязвимость CVE-2025-62506, и разработчики отказались исправлять сборку контейнеров MinIO для её исправления.

Инженеры из Chainguard подсуетились и сделали бесплатные distroless образы для minio (cgr.dev/chainguard/minio) и minio-client (cgr.dev/chainguard/minio-client) абсолютно для всех.

С 2023 году я вхожу в программный комитет конференции DevOpsConf и сейчас мы активно готовимся к DevOpsConf 2026!

Ключевые темы предстоящей конференции:
- Эксплуатация LLM
- AI-Driven Engineering: практики, риски и трансформация разработки
- Как сократить косты на инфраструктуру?
- Цифровые иммунные системы и инженерия надёжности (это SRE и новый термин оттуда)
- Про разработку для системных инженеров
- Требования регуляторов на простом русском
- Базовые практики работы и про то, почему они по-прежнему важны

Я как всегда буду рад помочь с заявками связанными с ИБ ;)

Прием заявок на CFP идет до 24 ноября!

Это утро мы начнем с публикации материалов нашего вебинара "Безопасность контейнеров и Kubernetes для DevSecOps специалистов": слайды и видео.

MUST HAVE для изучения для всех специалистов кто занимается безопасностью образов контейнеров, починяет и настраивает pipeline безопасности, внедряет Security/Quality Gates и вообще ратует за развитие DevSecOps в компании.

P.S. А сегодня в 11:00 уже вебинар "Kubernetes Audit Log на страже безопасности кластеров" =)

Сегодня делимся с вами очередным проектом. SOPS – оператор для управления секретами в Kubernetes, созданными на основе пользовательских CRD SopsSecrets, вдохновленный Bitnami SealedSecrets и sops.

Он использует CRD SopsSecret, превращая зашифрованные данные (например, через age) в обычные Kubernetes Secrets без риска утечки чувствительной информации. Решение идеально вписывается в привычный GitOps процесс, сохраняя удобство CI/CD и повышая безопасность инфраструктуры. Отличный вариант (и альтернатива) для тех, кто хочет защитить свои секреты, не усложняя рабочий процесс.

kubectl-ai - ассистент для Kubernetes на базе AI.

Этот инструмент работает как интеллектуальный интерфейс, переводящий намерения пользователя в точные запросы к Kubernetes, что делает управление более эффективным простым и понижает порог входа для новичков.

Поддерживает следующие AI модели:
- gemini
- vertexai
- azopenai
- openai
- grok
- bedrock
- локальные LLM (ollama, llama.cpp)

В общем, инструмент если захотите по душам поговорить с кластером Kubernetes в консоли. Только распознавания речи не хватает ....

Начинаем эту короткую рабочую неделю со статьи "Upgrading Kubernetes versions just got safer with minor version rollback" от инженеров из Google Cloud.

Статья рассказывает о том, что в Kubernetes 1.33 вводится долгожданная возможность отката минорной версии: теперь Control Plane можно безопасно вернуть к предыдущему состоянию, если при апгрейде возникнут проблемы. Первая часть обновления (бинарей) выполняется отдельно от включения новых API и форматов данных — это даёт окно на проверку состояния кластера и безопасный откат, прежде чем полностью закончить апгрейд.

Функция интегрирована в Kubernetes 1.33 и будет доступна в Google Kubernetes Engine (GKE) 1.33.

Наш недавний пост про ассистента для Kubernetes на базе AI получил множество комментариев и реакций (при этом противоречивых).

А давайте попробуем порассуждать и пообсуждать, а где и для чего в Kubernetes на ваш взгляд было бы применение AI к месту, полезно и эффективно.

НО усложним задачу тем, что это обязательно должно быть Kubernetes специфичным. То есть все что связано с анализом логов, метрик, трейсов и т. д. оставляем за скобками, так как это не имеет никакой контейнерной специфики (или имеет?).

Скорее всего тут что-то должно крутиться вокруг декларативной природы Kubernetes, операторов, что реализуют control loop (а может и нет).

P.S. Свои мысли мы также оставим в комментариях в конце дня ;)

20 ноября в 15:30 в рамках SOC Forum 2025 наша команда Luntry в лице Дмитрия Евдокимова и Максим Жевнерев (те, кто в теме SOC его хорошо знают) из ГК Солар выступят с совместным докладом "Подключение Kubernetes к SOC: подводные камни".

В результате мы поделимся опытом как со стороны вендора решения, участника взаимодействия с внутренними SOC и представителя внешнего SOC. И все это с упором на Kubernetes.

В ожидании нового доклада, рекомендуем освежить в памяти наши прошлые доклады с SOC Forum:
- "Kubernetes Audit Log в арсенале SOC", 2024 год
- "SOC в контейнерах", 2023 год
- "EDR vs Containers: актуальные проблемы", 2023 год

Заканчиваем эту короткую рабочую неделю небольшой статьей – "Safely managing Cilium network policies in Kubernetes: Testing and simulation techniques".

В новой статье от Cilium и Kubernetes рассказывается, как безопасно управлять сетевыми политиками: применяя режим аудита, экспериментируя с default-deny и моделируя изменения перед тем, как включить блокировку трафика.

Особое внимание уделено двум сценариям — внедрение первой политики с default-deny и изменение существующих правил, — и даны практические техники, такие как режим аудита на уровне endpoint и «разрешить всё» на уровне L7.

Начнем неделю с обучающего материала с нашего вебинара "Kubernetes Audit Log на страже безопасности кластеров": слайды и видео.

MUST HAVE для изучения для всех специалистов SOC, платформенных команд и вообще всех тех, кто не хочет чтобы его кластер был проходным двором и одной большой слепой зоной!

С 10 по 13 ноября проходит конференция KubeCon + CloudNativeCon North America 2025. Традиционно, помимо очередных крутых докладов (их мы рассмотрим в следующих постах), на конференции релизят обновления или вовсе новые инструменты.

Так например, (с момента выхода 3-ей версии прошло 6 лет) нас ожидает крупное обновление Helm до 4-ой версии. Изменений достаточно, вот лишь некоторые из них:

- переход на Server-Side Apply вместо three-way merge — теперь ресурсы обновляются точнее и предсказуемее;
- новая система плагинов на WebAssembly;
- улучшенный контроль состояния ресурсов через kstatus;
- подписывание чартов.

С полным changelog можно ознакомиться тут. Уже сейчас доступен RC 1, а совсем скоро 4-ая версия выйдет в полноценный релиз.

vimp это CLI утилита, написанная на Go, которая предназначенна для сравнения данных, полученных от множества сканеров уязвимостей, для формирования более полного представления о потенциальных рисках (potential exposures).

Этот инструмент создавался с целью устранить проблему, связанную с тем, что разные сканеры могут по-разному оценивать одни и те же уязвимости.

Vimp выполняет три основные группы функций: импорт и сканирование, хранение данных, и запросы/анализ.
1. Импорт и сканирование данных
• Поддержка сканеров: grype, snyk и trivy
• Автоматическое сканирование:
• Импорт отчетов: Пользователь может вручную импортировать готовые отчеты (например, JSON-файлы), полученные от поддерживаемых сканеров.
• Сбор данных: При импорте инструмент собирает данные об обнаруженных уникальных уязвимостях.

2. Хранение данных (Data Store)
Vimp предлагает гибкие возможности для сохранения импортированных данных:
• Встроенное хранилище: SQLite
• Поддержка баз данных: BigQuery и Postgres
• Локальный вывод: локальный файл (в формате JSON или CVS) или на стандартный вывод (stdout).
• Схема данных: image, digest, source, cve, package, version, severity и score.

3. Анализ и запросы данных (vimp query)
После импорта данных можно выполнять запросы для анализа информации:
• Сводные данные: Запрос по умолчанию (vimp query) предоставляет сводку всех данных в хранилище, включая количество обнаруженных рисков, количество источников, пакетов и наивысшую оценку для версии образа.
• Детальный просмотр: Можно запросить список всех уязвимостей, найденных для конкретного образа и его дайджеста.
• Сравнение оценок: При детальном просмотре результаты показывают различия в степени серьезности и оценке, о которых сообщают разные сканеры для одной и той же уязвимости.
• Отображение различий (--diff): Для возврата только тех данных, где степень серьезности и оценки не совпадают по всем источникам.
• Просмотр пакетов (--exposure): Позволяет углубиться в пакеты, затронутые конкретной уязвимостью, показывая, какой сканер, какую версию пакета и с какой оценкой обнаружил.

Продолжаем рассказывать про различные технологии с KubeCon + CloudNativeCon North America 2025.

На канале мы не раз рассказывали про distroless образы, и многие знакомы с такими образами от Google и Chainguard. Инженеры из Bellsoft решили выпустить и зарелизили на конференции свои distroless образы в свободный доступ!

Преимущественно, это образы под Java приложения, но также есть:

- glibc, musl
- go
- gcc
- python

Ознакомиться с образами можно в Dockerhub.

Совсем недавно вышел отчет Security Audit для проекта KubeVirt.

В рамках данного аудита рассматривалась версия 1.5 и было найдено 15 уязвимостей (1 высокая, 7 средних, 4 низких, 3 информационных). Единственная найденная высокая это CVE-2025-64324 и приводит она к Arbitrary Host File Read and Write!

Особое внимание заслуживает раздел Threat Model, где есть информация про:
- Roles and Actors
- Assets
- Threat Actors
- Scenarios
- Attack surface