DevOps Pro Moscow 2018

Наталья Сугако

Kublr, Россия

Биография

Сугако Наталья — специалист по информационной безопасности компании kublr. Занимается исследованием методов реализации безопасных контейнезированных сред, оценкой безопасности собственных контейнезированных приложений и используемых в kublr параметров конфигурации k8s / docker. Эксперт по информационной безопасности c 15-летним опытом работы. До kublr занималась разработкой систем безопасности для государственных организаций, оценкой защищенности и проектированием «с нуля» локальных сетей для госучереждений России.

Доклад

Безопасность в k8s: от контейнеров до сетевых политик и RBAC

Ряд практических советов и решений по использованию механизмов, реализованных в docker / k8s и которые применяются в kublr для обеспечения изоляции контейнеров друг от друга и изоляции контейнеров и ОС. Безопасность в контейнезированной среде зависит от нескольких факторов: уязвимостей ОС, используемых модулей (демона докер, компонент k8s, уязвимостей контейнезированных приложений) и применяемых политик безопасности. k8s и docker включают механизмы сегментирования и фильтрации сетевого трафика. Также k8s включает механизмы ограничения доступа к файловым системам, к объектам типа «configmap», пространствам имен («namespace») и объектам в пространствах имен, а также объектов типа «секрет». С помощью PodSecurityPolicy в k8s можно ограничить запуск контейнеров в привилегированном режиме, ограничить использование «linux capabilities» и перечислить доступные для контейнера sysctl. Один из наиболее острых вопросов возникающих при переходе в контейнезированную среду — это вопрос о доверенном контейнере.
Рассматриваются используемые в kublr решения оценки безопасности распространяемых контейнеров, а также используемые в репозиториях средства проверки загружаемых образов для защиты от MiTM атак и подмены контейнеров в процессе передачи. Акцент доклада сделан на использовании встроенных в k8s и docker механизмах, а также на использовании свободно распространяемых систем и приложений для реализации безопасной контейнезированной среды и методах оценки защищенности распространяемых контейнезированных приложений.