tg-me.com/k8security/181
Last Update:
В связи с нашумевшей атакой на SolarWinds
очень остро стал вопрос с атаками на цепочку поставок (supply chain
).
Давайте повернем это все в наш контекст - контекст приложений для Kubernetes
. Что мы имеем:
1) Open Source
код - а кто его сегодня не использует? Начиная от ваших собственных разработок, заканчивая инструментов/тулов что вы используете в готовом виде и коммерческих решений.
2) Образы контейнеров - тут сходу вспоминаются истории как на DockerHub залиты образы с backdoors
и вредоносным кодом.
3) k8s
ресурсы - такая своего рода обертка над контейнерами, которая также позволяет и внедрить что-то не очень заметно, так понизить уровень безопасности самого контейнера.
4) Helm
чарты - наверно вершина этой пирамиды, призванная максимально упростить процесс установки приложений в кластер. И часто вы их читаете полностью что там написано? И легко ли это вообще сделать? Скорее нет ;)
В ситуации с SolarWinds
был заражен их продукт Orion
(это кажется платформа мониторинга). Долгое время вредоносная активность от этого решения была не замечена, а все из-за того что никто и не знал как оно работает (что может делать, а что нет - считай черный ящик). А также относились к нему как к доверенному компоненту системы - а в наше время без ZeroTrust
подхода уже никуда.
В случае Kubernetes
инфраструктуры при правильном подходе такое можно было бы обнаружить без супер усилий. На помощь приходит и observability
, visibility
в контейнерах и иммутабильность образов контейнеров с NetworkPolicy
, PodSecurityPolicie
для ZeroTrust
.
BY k8s (in)security

Share with your friend now:
tg-me.com/k8security/181