Строим Security Сenter для Kubernetes-платформы Безопасность

Доклад принят в программу конференции
Нарек Татевосян
Яндекс

Enterprise Architect team lead в компании Яндекс.
Помогает клиентам Yandex.Cloud в построении масштабируемых и отказоустойчивых архитектур. Также занимается развитием сервиса Managed Service for Kubernetes.

Тезисы

Очень вероятно, вы уже используете Kubernetes в разработке и даже продакшне. Т.е. система становится ценной для вашего бизнеса и ее надо защищать.

Традиционный подход — давайте обложим Kubernetes файерволлом — тут уже не работает. Kubernetes — это целый мир, платформа в платформе и защищать его необходимо, исходя из ее особенностей. И подходов к защите Kubernetes много и нужно все их учитывать.

Рассмотрим, что доступно для обеспечения безопасности в Kubernenetes:
- нативные функции Kubernetes — RBAC, AuditLog;
- политики — OPA Gatekeeper, Kyverno;
- сканирование уязвимостей — Clair, Trivy;
- аудит — Kyverno policy-reporter, Compliance-operator;
- Runtime Security — Falco, Clamav;
- сеть — Calico (enterprise), Cilium (enterprise);
- Risc and analysis — Sysdig, Snyk, Aquasecurity.

...и еще много чего, конечно же, но все никто в один заход не покроет разом, поэтому данный доклад будет о первых шагах в безопасности Kubernetes

Но уже на этом масштабе становится понятно, что инструментов много и нет одного, который покроет все. Поэтому нам надо интегрировать в какое-то единое хранилище данных.

В докладе мы рассмотрим двухэтапный подход к такому хранилищу, когда слой сырых данных мы отправляем в промежуточное объектное хранилище, а потом перекладываем в SIEM-систему. Практически у себя мы реализовали первый слой в виде S3-хранилища, а в качестве SIEM-системы использовали Elastic.

В итоге вы поймете, как интегрировать множество opensource и вендорских инструментов анализа состояния Kuberntes-инфраструктуры в свою SIEM-систему. Также я расскажу, как воспользоваться terraform-модулями, которые уже внедряют описанный нами подход и как их можно адаптировать для своей iaas-инфрасруктуры.

Другие доклады секции Безопасность