Наконец руки дошли ознакомиться со статьей "Building a Kubernetes purple teaming lab". Тема кажется очень интересной и горячей, тем более что обещается и практическая часть с лабой.

Но изучив материал я был сильно разочарован ... В большей части это такая реклама инструмента от авторов статьи (хорошо что можно тут бесплатно с ним поиграться). Но ладно, подумал я. Может сами примеры/кейсы/ситуации будут сами по себе очень полезными и поучительными?! Но .... и тут разочарование. Авторы нам предлагают детектировать действия атакующего по тому что он вводил в команду kubectl там же где мы и поставили minikube и средство защиты - занавес. И по мне это жизнеспособно только в 1 случае, если вы используете minikube и рядом с ним и вводите эти команды как в статье.

В статье ни слова про:
- Kubernetes Audit Log (1,2)
- PAM (1,2)

И других средствах защиты, что было правильнее и эффективнее использовать. Очень плохо, что авторы сознательно или без сознательно эти аспекты не освещают в своей статье.

Схема от Rory McCune, отражающая то, как можно подойти к безопасности Kubernetes со всех сторон и на разных уровнях.

Нельзя не отметить, что тут не учитывается важный момент – Container Runtime Security. То, что происходит внутри контейнера несомненно должно контролироваться. Да и сама по себе схема достаточно верхнеуровневая, без какой-либо конкретики. Нет ничего про управление ресурсами (ResourceQuota, LimitRange), patch management самого Kubernetes, image security и hardening.

Также сам автор отмечает, что эта схема не учитывает Cloud Security и безопасность самих приложений, работающих в кластере – а это SAST/DAST/IAST/сбор SBOM/управление уязвимостями.

Подготовка к нашей конференции "БЕКОН" идет полным ходом, остались небольшие моменты и все. Я уже посмотрел и послушал все доклады - мне все понравилось) Уверен и вам это должно зайти.

На сайте уже можно посмотреть полное расписание со временем.

P.S. Вся наша команда в большом предвкушении =)

Cегодня в фокусе нашего внимания проект Kyverno Playground, который представляет из себя web-страничку на которой можно учиться, тестировать, разбираться с политиками для Policy Engine - Kyverno. подробнее о проекте можно узнать из статьи "Let's Play Kyverno".

Основной гигантский плюс всего этого - теперь не нужно разворачивать k8s, чтобы поработать с Kyverno! Достаточно в одном окне ввести политику, а в другом пример k8s ресурса, который по этой политике будет проверяться.

Могу сказать, что на одном из мероприятий в Екатеренбурге (анонсируем позже) наши специалисты (Luntry) при рассказе про Kyverno будут использовать данный проект для знакомства и обучения азам Kyverno.

Парочку важных моментов перед нашей завтрашней конференцией:
1) Гайд посетителя - тут собрана вся необходимая информация, для тех кто будет на площадке.
2) Данный телеграмм канал будет полностью освещать мероприятие и тут будет непривычно много сообщений. На пример, почти одновременно с началом доклада тут будут выкладываться слайды! В комментариях, можно будет задать автору вопросы и мы попросим всех авторов потом заглянуть в комментарии.

Увидимся завтра =)

Всем, доброе утро!
Мы начинаем БЕКОН!
И по счастливой случайности (это правда) так получилось, что сегодня празднует День Рождение Kubernetes!

В этот день 7 июня 9 лет назад был initial release Kubernetes ;)

Всем хорошего дня!!!

"Kubernetes, ответь мне, кто я для тебя", Константин Аксенов, Флант

"Не такой очевидный RBAC Kubernetes", Дмитрий Евдокимов, Luntry

"Как приручить Linux capabilities в Kubernetes", Николай Панченко, Тинькофф

"Контейнерная ОС Flatcar: как обмазаться докерами и забыть про пакеты", Александр Кондратьев, BI.ZONE

"NetworkPolicy для системных и инфраструктурных компонент", Александр Кожемякин, VK

"OPA с shared Docker executor", Павел Сорокин, OZON

"Distroless своими руками", Антон Мокин, Тинькофф

"AppArmor и Kubernetes: настройка проактивной защиты для безопасности приложений", Сергей Канибор, Luntry

"Как правильно готовить Kyverno и работать с его алертами", Алексей Миртов, Яндекс Облако

"Концепция Cluster API или как разворачивать безопасные кластера", Дмитрий Путилин, VK

"K8s в PCI DSS", Александр Маркелов, Райффайзен Банк

"ОС Talos Linux - путь к "тому самому" харденингу инфраструктуры для k8s", Николай Панченко, Тинькофф

Первая конференция БЕКОН близится к завершению. И очень круто видеть на последнем докладе в 17 часу полный зал)

Спасибо всем что пришли, задавали классные вопросы!