Comments | xatkaru: Контейнеры и K8s - головная боль, с которой вам придется жить

xatkaru

Контейнеры и K8s - головная боль, с которой вам придется жить

Jan 24, 2022 19:42

После активного уикэнда на коньках, я решила весь день не вставать из гамака, а потому начну писать заметки на тему контейнеров - то, чем мне приходится активно интересоваться, несмотря на внутреннее старперское сопротивление ( Read more... )

security, k8s

Comments 11

metaller January 25 2022, 04:40:43 UTC

>>на четвертом десятке лет
В смысле только что 31 стукнуло ? ;)

xatkaru January 25 2022, 12:49:18 UTC

Нет, но и не 40 ещё :)

metaller January 25 2022, 18:55:29 UTC

Молодёжь !

maniaq January 27 2022, 07:30:35 UTC

А если мне 45, то уже всё, мешок с песком на жопу?

Thread 5

lyuden January 25 2022, 06:54:05 UTC

Спасибо. Я со стороны разработчика конечно про container drifting не знал. Типа загрузил в реестр а дальше оно там само вечно неизменяемо.

inetman January 25 2022, 08:10:27 UTC

Со стороны DevOps отмечу, что в реестр загружаются таки-образы (которые там могут быть подменены, кстати, поэтому как параноик отмечу необходимость сверки образов по imageID как минимум), а контейеры на их базе запускаются, и в уже запущенных контейнерах можно творить всё, что угодно. Если нет централизованного логгирования, то после прибивания контейнера даже следов деятельности не останется, рай для кулхацкера!

lyuden January 25 2022, 08:38:00 UTC

Ну как бы проверять хэш всего подряд это не паранойя ИМХО, а просто due diligence, но не везде делается да. Да и я сам не всегда заморачиваюсь, честно говоря.

В единственной конторе в которой я работал и процесс был поставлен более или нормально ( но я знаю что это не редкость), разрабы никакого доступа ни к продакшену ни даже к реестру не имели. Только к VCS. И насколько я понял devopsов к реестру имел доступ только билд система и собственно кубернетес. Т.е там собственно можно было только взлабмывать только сам контейнер по HTTP. У нас конечно никаких слишком больших данных не было и вообще все можно было микросервисами сделать и между собой общаться по http не везде это возможно.

Но я сильно сомневаюсь, что типичный кулхацкер смог бы там много натворить. Насколько я понял даже наши DevOps не могли выполнить exec на контейнере.

donz_ru January 26 2022, 00:22:25 UTC

Может посмотреть на контейнеризацию со всех сторон, а не только со своей небольшой колоколенки? Возможно тогда и не будет отношения, мол, понапридумывали всякой фигни, когда есть старые удобные виртуальные/железные/мейнфрейм сервера.

P.S. миллениалы - это люди, родившиеся с 1981 по 1996. Привет миллениалу от миллениала! :)

xatkaru January 26 2022, 13:32:54 UTC

Я не утверждала, что мэйнфреймы/виртуалки удобнее. Я только сказала, что подход к защите контейнеров во многом отличается от традиционного, и нужно переработать огромный пласт информации, чтобы быть в состоянии оценить или построить профиль безопасности для такой системы.
Не помогает и тот факт, что сейчас информационная безопасность стала куда более коммерческим направлением, чем 10-15 лет назад, и сюда сбежались "иффиктивные продаваны" со словесным поносом, в котором очень сложно найти крупицы нужного знания в условиях ограниченного времени.
Мне сказали, что ситуация с документацией на кубернетис лучше, чем 5 лет назад, но все ещё отстаёт от того, что успели понаписать за эти годы про виртуалки.

donz_ru January 27 2022, 23:45:48 UTC

Да не, понятно, что к другим технологиям нужен другой подход.

Я так, подтрунил над пренебрежительным отношениям к собратьям нашим-миллениалам :)