Серьёзный разговор про контроль целостности в Kubernetes

Безопасность высоконагруженных систем

DevOps / Кубер

Безопасность

Безопасность инфраструктуры

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Кубернетес - как конструктор, каждый может собрать по-разному. Но проблематика с контролем целостности будет в любой конфигурации. Доклад поможет тем, кто хочет всерьез решить проблему целостности кластера, и заодно пройти соотвествующие сертификации от ФСТЭК.

Целевая аудитория

Этот доклад будет интересен инженерам инфраструктуры, DevOps-специалистам и инженерам по безопасности, которые уже используют Kubernetes в продакшене или планируют это делать. Также он будет полезен тем, кто хочет глубже разобраться в вопросах защиты supply chain, внедрении доверенных политик запуска и интеграции механизмов проверки подписей на всех уровнях — от containerd до control plane в Kubernetes.

Тезисы

Всё больше компаний стремятся построить доверенную инфраструктуру вокруг Kubernetes. Одного контроля доступа недостаточно: в современных кластерах существует множество потенциальных векторов атак — от подмены контейнеров и эксплуатации уязвимостей райнтайма до выполнения неподписанного кода внутри пода. Чтобы действительно понимать, что именно запускается в кластере, и быть уверенным в целостности всех компонентов, нужны гораздо более строгие механизмы контроля.

В рамках подготовки к получению сертификата ФСТЭК России по 118-му приказу мы столкнулись с реальными ограничениями существующих решений. Многие доступные инструменты решают лишь отдельные задачи: кто-то фокусируется на образах, кто-то — на манифестах, а кто-то — на стадии запуска.

В этом докладе я поделюсь тем, как мы встраивали надёжность на каждом уровне — от CI до рантайма, на какие компромиссы приходилось идти и как можно подойти к построению сквозной системы верификации без потери гибкости и совместимости. Этот опыт будет полезен командам, которым важно управлять безопасностью Kubernetes в условиях реальных угроз, а также тем, кто стремится к соответствию требованиям регуляторов и хочет внедрить практики доверенного исполнения в своих кластерах.

Максим Набоких

Флант

Максим Набоких — инженер-программист с более чем 10-летним опытом в разработке программного обеспечения. С 2020 года руководит разработкой Deckhouse Kubernetes Platform в компании «Флант», выступая в роли архитектора и технического лидера.
С 2021 года Максим активно вносит вклад в экосистему Kubernetes, в том числе участвует в работе специальной группы SIG Auth, занимающейся вопросами безопасности. Также он является мейнтейнером проекта Dex — CNCF Sandbox-проекта, сфокусированного на решениях в области идентификации и аутентификации. Максим — давний энтузиаст Open Source и сторонник прозрачной, открытой разработки.