Есть множество вариантов предоставления доступа к Kubernetes API. Это могут быть x509 сертификаты или токены сервисных аккаунтов. Можно подключить OIDC провайдера или использовать внешний webhook аутентификации. Дальше полученная о пользователе информация привязывается к ролям или кластерным ролям. Все эти механизмы давно проверены и активно используются, но даже в них могут быть подводные камни. Заглянем чуть глубже, поговорим, какие могут быть проблемы и какие инструменты есть для их диагностики.

Рассмотрим легко ли следовать принципу наименьших привилегий в Kubernetes и контролировать это в процессе жизни кластера

Тонкая настройка Linux capabilities для микросервисов Kubernetes через PSP и Policy Engines Kyverno и OPA Gatekeeper (трейсинг и харденинг).

В этом докладе будет рассказано про преимущества контейнерных дистрибутивов — то, каким же способом они усложняют жизнь хакеру с одной стороны, и облегчают работу ops-инженерам с другой. Докладчик расскажет про опыт внедрения Flatcar в нескольких крупных организациях: с какими проблемами он столкнулся и какие бенефиты получил от перехода с классического подхода на контейнерный всегда и везде.

В рамках доклада рассмотрим создание и организацию сетевых ограничений на такие компоненты как DNS, Metrics, Logs, GitLab runners и другие компоненты, как на L3-L4 так и L7 уровнях.

Харденим разделяемый docker executor в multi-team/multi-tenancy CI/CD

Как? Зачем? Что дает?

В этом докладе вы узнаете, как лучше всего “приготовить” AppArmor профиль, с какими проблемами можно столкнуться при его использовании и как начать использовать AppArmor в Kubernetes кластере, чтобы улучшить безопасность вашего приложения.

Расскажем как:

• принудительно накатывать kyverno и его политики на новые кластеры
• нюансы настройки kyverno
• полезные use cases на которые необходимо реагировать
• поделимся custom политиками.

С учетом развития Kubernetes и его инструментов развертывания за последние 8 лет, вопрос безопасности и соответствия рекомендациям CIS Benchmark для конфигурации K8S кластеров становится все более актуальным. В докладе автор поделиться опытом использования связки Policy Engine и ресурсов Kubernetes для обеспечения безопасности при развертывании кластеров с помощью Cluster-API и аналогичных решений.

Расскажем о тонкостях процесса прохождения аудита PCI DSS для микросервисной архитектуры на базе Kubernetes.

Вспомним об имутабельных инфраструктурах. Поймем, что можно крутить гайки на полную, если у поддержки инфраструктуры есть на это время. Посмотрим на архитектуру ОС Talos Linux и чем она хороша, подсветим плюсы и минусы имутабельного подхода при использовании OC Talos в проде.