Рейтинг@Mail.ru

BeyondCorp: модель DevOps-безопасности без регистрации и VPNDevOps и эксплуатация

Доклад принят в программу конференции
Глеб Лесников
Додо Пицца

Работает в инфраструктурной команде Dodo IS - информационной системы компании Додо Пицца.

g.lesnikov@dodopizza.com
Тезисы

Вместе с ростом команды и нагрузки постоянно растет количество серверов и появляется куча разных сервисов, к которым нужен доступ. Например, системы мониторинга, базы данных, различные админки и прочие утилиты. Причем доступ к ним нужно иметь не только из офиса, так как есть распределенные команды, работа из дома или в командировке. Также начинает напрягать менеджмент паролей, basic-авторизации, сертификатов, а на некоторые сервисы ты забиваешь и просто без авторизации выставляешь в дев или прод сети.

Мы много раз пытались внедрять у себя VPN, но никогда не получалось обеспечить должный уровень защиты. Затем мы открыли для себя подход и идеи BeyondCorp и осознали, как сделать безопасную разработку и обслуживание нашей системы, абсолютно не используя VPN, файерволы и древние технологии вроде AD/Kerberos/LDAP.

В докладе я расскажу:
* что даст вам BeyondCorp;
* как выпилить VPN- и SSH-ключи из компании с помощью временных (ephemeral) SSH-сертификатов и аудита (Netflix BLESS, ScaleFT, Gravitational Teleport);
* как сделать доступ к базам данных с помощью бастионов и SSH-проксирования;
* как сделать доступ к тестовым стендам: утилиты для proxy_command;
* как сделать доступ к HTTP-сервисам, и как Kubernetes нам в этом помогает;
* почему oauth2_proxy - это полумера и не выход (спойлер: нужны контролируемые девайсы!);
* почему нельзя доверять доступ всем устройствам и MDM подряд;
* почему мы внедряем FIDO/U2F-ключи как второй фактор аутентификации.

После доклада вы научитесь не волноваться и спокойно раздавать пароль от офисного вай-фая кому угодно.

Менеджмент в эксплуатации
,
Сетевое администрирование
,
Devops / другое

Другие доклады секции DevOps и эксплуатация

Rambler's Top100