[Перевод] Кроме настроек по умолчанию: оцениваем безопасность Kubernetes и облачных сред
Команда VK Cloud перевела конспект конференции InfoQ Live со специалистами мирового класса. В этот раз на ней говорили о безопасности в Kubernetes и облачных средах. Спикеры обсудили распространенные ошибки и передовые методы обеспечения безопасности кластеров Kubernetes, поговорили о том, как...
Тотальный запрет: опыт внедрения Default Deny на живом кластере
Deny-All-политики — один из базовых инструментов повышения безопасности кластеров Kubernetes. Но для многих они остаются «черным ящиком» — не все понимают, как их внедрять и настраивать, а также что делать после интеграции. Еще сложнее, если Default Deny надо внедрить на живом кластере. Читать...
Gatekeeper в production: полезные практики и шаги, которые не стоит допускать
Kubernetes, как и любая другая рабочая среда, не лишен уязвимостей. Поэтому наряду с развитием проектов в нем администраторы или DevOps-инженеры должны уделять внимание и безопасности использования кластеров. Для этого нужен надежный инструмент, который может работать с любыми политиками и...
С каким бэкграудом идти в SRE-инженеры: кейсы по внедрению и лайфхаки от специалистов
Задумывались ли вы о переходе из кодинга фич в сторону инфраструктурной разработки? Любопытство к SRE практикам растет, поскольку устойчивость и надежность приложений стали главными факторами успеха на рынке. В этом материале мы собрали для вас успешные карьерные кейсы действующих SRE-инженеров....
Kubernetes AppArmor
AppArmor — это модуль безопасности ядра Linux, который дополняет стандартные разрешения Linux для пользователей и групп, ограничивая программы набором ресурсов. AppArmor можно настроить для любого приложения, чтобы уменьшить потенциальную поверхность атаки и обеспечить более глубокую защиту. Он...
Безопасный k8s: Допуск безопасности пода (PSA)
Привет Хабр! Поговорим о безопасности в k8s, и начнем с безопасности подов, как базового строительного блока нашего кластера. Читать далее...
The Walking Pod: основные стратегии атак изнутри кластера
У Kubernetes много инструментов защиты поставляется прямо из коробки. Но все равно степень выстроенной защиты зависит от компетенции специалистов, которые ее настраивают, требований бизнеса и ресурсов, выделенных на безопасность. В итоге сложно гарантировать, что под видом «мирного и безобидного»...
БЕКОН — первая в России конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и время: 7 июня 2023 с 10:00 до 16:00 (МСК) Место: МЦК ЗИЛ, Москва 7 июня в Москве компания Luntry проведет первую конференцию «БеКон», посвященную безопасности контейнеров и контейнерных сред. Это событие призвано помочь компаниям перейти на новый уровень понимания контейнерной безопасности и...
[Перевод] Мультиарендность в Kubernetes
Могут ли несколько команд использовать один и тот же кластер Kubernetes? Можно ли безопасно запускать ненадежные рабочие нагрузки от ненадежных пользователей? Поддерживает ли Kubernetes мультиарендность? В этой статье рассмотрим проблемы запуска кластера с несколькими арендаторами. Читать далее...
Безопасность контейнеризированных приложений в рамках DevSecOps: какие практики использовать и с чего начать
Привет! Меня зовут Михаил Черешнев, я работаю в компании Swordfish Security, где плотно занимаюсь вопросами внедрения DevSecOps. В этой статье мы рассмотрим процесс безопасной разработки контейнеризированных приложений от IaC манифестов до Runtime. А также попробуем определить самые простые и...
Стандарты безопасности в Kubernetes (обзор и видео доклада)
В этом докладе я расскажу о стандартах безопасности в Kubernetes. Мы рассмотрим, какие правила безопасности действительно необходимы, а также разберем пять шагов, которые помогают решить проблему с безопасностью. Читать далее...
[Перевод] Как взломать Kubernetes (и как его защитить)
Kubernetes — ценный ресурс и ведущая система управления контейнерами в конвейерах разработки по всему миру, но это не освобождает её от вредоносных атак. Использование Kubernetes требует глубокого понимания среды, включая разные уязвимости, с которыми можно столкнуться при создании, развертывании...
Как в банке внедрить облачные технологии так, чтобы это было удобно, безопасно, быстро и дёшево
Или как в банке внедрить облачные технологии так, чтобы это было удобно, безопасно, быстро и дёшево. Об этом поговорили 22 марта в офисе Альфы на Alfa Cloud Day – митапе об облачной инфраструктуре и технологиях. А ещё о том, почему cloud-инфраструктура не сильно дешевле и как при этом продать...
Обзор Teleport: организация безопасного доступа для кластеров Kubernetes
Платформа Kubernetes является одной из самых популярных систем для оркестрации контейнеров. Со временем многие организации полностью переводят свою инфраструктуру и проекты на «рельсы» Kubernetes. Однако здесь возникают вопросы безопасности, связанные с необходимостью контроля – кто и как сможет...
Хакнуть k8s: разбор пэйлоадов и способов защиты
Привет, меня зовут Лев Хакимов, я — DevOps-инженер. Одно время работал над проектом Госуслуг, а сейчас в брокерской платформе в Сбере. Уже больше двух лет играю в CTF команде ONO, которая даже как-то вошла в ТОП-10 по России, а ещё я — один из организаторов VrnCTF, Воронежского CTF для школьников и...
Я разработал свой keyless продукт для удостоверения Docker образов — DIA
Идея подписи и проверки образов Docker крутилась у меня давно. Неоднократно исследовались различные решения от Notary до Cosign. Так или иначе все эти продукты были сложны для использования, требовали отдельного хранилища для криптографической информации + на клиентах также нужно было где то...
Немного о безопасности Kubernetes
Сегодняшняя статья будет посвящена обеспечению безопасности Kubernetes. Мы рассмотрим специфику защиты Kubernetes, и начнем мы с рассмотрения вопросов безопасности контейнеров. Читать далее...
Устанавливаем Kubernetes-платформу Deckhouse в закрытом окружении. Пошаговая инструкция
Продолжаем серию статей про установку Deckhouse в разные окружения. Мы уже рассказывали про развертывание в Yandex Cloud. Эта статья посвящена установке платформы в закрытое окружение, когда у машин, на которых разворачивается кластер, нет доступа в Интернет. Читать далее...
Назад