How GitOps Improves the Security of Your Development Pipelines

Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:

- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security

Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:

- Securing GitOps Pipeline

В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.

Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:

- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)

Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.

UPD. Книгу можно взять здесь. Спасибо подписчикам <3

#ops #k8s #literature

Security Wine (бывший - DevSecOps Wine)

How GitOps Improves the Security of Your Development Pipelines

Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:

- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security

Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:

- Securing GitOps Pipeline

В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.

Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:

- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)

Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.

UPD. Книгу можно взять здесь. Спасибо подписчикам <3

#ops #k8s #literature

hottg.com/sec_devops/406

7.36K viewsDenis Yakimov, edited  Jan 6, 2021 at 07:37