В 2019 году на конференции KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio".

Как оказалось подход DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:

1) Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.
2) Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.
3) Service Mesh - покрывает все для контроля и распределения всего east-west трафика.
4) Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.

И еще там многое всего другого интересного: IaC/CaC, GitOps, SOAR и т.д.

Все это впечатляет конечно!

k8s (in)security

В 2019 году на конференции KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio".

Как оказалось подход DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:

1) Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.
2) Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.
3) Service Mesh - покрывает все для контроля и распределения всего east-west трафика.
4) Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.

И еще там многое всего другого интересного: IaC/CaC, GitOps, SOAR и т.д.

Все это впечатляет конечно!

YouTube

How the Department of Defense Moved to Kubernetes and Istio - Nicolas Chaillan

Join us for Kubernetes Forums Seoul, Sydney, Bengaluru and Delhi - learn more at kubecon.io

Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…

hottg.com/k8security/347

3.59K viewsD1g1, edited  Jul 20, 2021 at 07:36