Записи докладов с CNCF Minsk #5

First part: Cloud Security Posture Management - Aleksandr Slobodanyuk, Senior Security Systems Engineer.
• CSPM - general overview
• Overview of commercial and opensource tools
• How does it work?

Second part: Infrastructure as Code Security - Michael Yudin, Senior Security Systems Engineer & German Babenko, Senior Security Systems Engineer.
• Infrastructure as Code intro
• Security in IaC
• IaC security tools: AWS demo, GCP demo
• Verifying of Terraform code for AWS Cloud with integration of security code scanning tools in IaC pipeline.

https://www.youtube.com/playlist?list=PLwjWMHa5_FX88yf3fapksH9M1OIGM1aNi

Всем привет!
Кто-нибудь сталкивался с задачей настроить безопасность в кубе с плагином Calico?
Вы перевешивали порт 179 дефолтный на другой порт или настраивали для него фильтрацию?

Какого рода настройка? Вообще калико позволяет задать политики сети для каждого пода - кому куда ходить. Или речь о чем-то другом ?

у меня сообщения почему-то удаляются

я пишу и они удаляются в этом чате

я говорю про порты, которые перечислены в этом правиле

служебные порты самого калико, которые он не закрывает ни при каких политиках, а если ты сам закроешь их через конфиги феликса, то он перестанет работать

по карйней мере 179

то есть потенциально - это дыры, открытые порты, про которые все знают где они и на них нет какой-либо фильтраации

вот вопрос, кто-нибудь задавался задачей их перенести или хотя бы настроить фильтрацию?

Вероятно, бот лютует.

Не открывает. Ну, я думаю, что проблема закрытия этого порта на уровне проблемы закрытия других служебных компонентов кубернетеса. Зачем вывешивать ту же апишку на публичный интерфейс ? Ок, там весь трафик шифрован и идёт авторизация пользователя, а если будут баги в самой реализации ? И касательно 179 - у меня очень большое подозрение, что в нормальной ситуации полезная нагрузка (поды) не должны к нему иметь доступа изначально. А раз так - то от кого мы пытаемся обезопаситься ?

апишку, etcd, можно перевесить, тут ладно. 179 - полезной нагрузке не обязательно нужен к нему доступ, но самому калико нужен с разных подов, насколько я понимаю и перевесить его это не простая задача и нужно использовать форк (https://github.com/projectcalico/calico/issues/3086)

вот мне интересно, может кто сталкивался и как-то решил эту проблему
или это в принципе не считается проблемой

Кмк, не проблема. Если хочется более секурно - можно посмотреть в сторону других сетевых плагинов (weave ? Cillium?)

а они более продвинутые в этом плане?

Кмк, да. Ну, и по логике - разумная идея - кластер снаружи закрыть, в изолированный сегмент. Снаружи только доступ в ингресс. Весь служебный трафик только внутри. Это ок, если кластер локален для площадки. А делать кластер поверх публичной сети вообще та ещё боль

ну да, можно вообще пару прокси срверов поставить, которые будут проксировать кластер за VPN и не запрещать трафик извне в принципе...

Выложены доклады с двух конференция от NDC (глобальные конференции в нескольких городах, которые проводятся уже больше 10 лет).

Первая это NDC Security 2020.
Она, очевидно, про безопасность в различных её проявлениях: от построения процессов (DevSecOps) до AppSec и IoT

Доклады
https://www.youtube.com/playlist?list=PL03Lrmd9CiGeouMXSCXTdKf3HBIGyabZU

Программа
https://ndc-security.com/agenda/

Вторая это NDC London 2020.
Она больше про разработку. Но есть и просто интересные доклады не связанные с разработкой напрямую. Один из докладов за который зацепился взгляд это "An introduction to Machine Learning using LEGO". Ещё один "EVE Online: Defending our players from hackers and the evolution of account security".

Доклады
https://www.youtube.com/playlist?list=PL03Lrmd9CiGeteXRzmn27mnlHKgOEACi2

Программа
https://ndc-london.com/agenda/