Forwarded from k8s (in)security (D1g1)
Консультируя, время от времени встречаю вопросы о различных стандартах в сфере Kubernetes. Прям стандартов нет, но есть два хороших документа, которые могут служить заменой/подменой таковым:
- CIS Kubernetes Benchmark (271 стр) - step-by-step checklist для Kubernetes.
Состоит из рекомендаций для: Control Plane Components (Master Node Configuration Files, API Server, Controller manager, Scheduler), etcd, Control Plane Configuration, Worker Nodes (Worker Node Configuration Files, Kubelet), Policies (RBAC and Service Accounts, Pod Security Policies, Network Policies and CNI, Secrets Management, Extensible Admission Control, General Policies).
- NIST Special Publication 800-190 "Application Container Security Guide" (63 стр) - руководство о контейнерных угрозах, рисках и то ка ким можно противодействовать без привязки к системе оркестрации.
Основные разделы: Introduction to Application Containers, Major Risks for Core Components of Containers Technologies, Countermeasure for Major Risks, Container Threat Scenario Examples, Container Technology Life Cycle Security Considerations.
Есть еще и CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0 и CIS Google Kubernetes Engine (GKE) Benchmark v1.0.0. Также у CIS в разделе Cloud Providers можно найти документы по: Amazon Web Services, Google Cloud Computing Platform, Microsoft Azure и Oracle Cloud Infrastructure.
Стоит отметить с какой скоростью в Kubernetes вносятся изменения и улучшения, данные документы лишь ориентир, так как они не обновляются так часто.
P.S.
NIST - National Institute of Standarts and Technology
CIS - Centre of Internet Security
- CIS Kubernetes Benchmark (271 стр) - step-by-step checklist для Kubernetes.
Состоит из рекомендаций для: Control Plane Components (Master Node Configuration Files, API Server, Controller manager, Scheduler), etcd, Control Plane Configuration, Worker Nodes (Worker Node Configuration Files, Kubelet), Policies (RBAC and Service Accounts, Pod Security Policies, Network Policies and CNI, Secrets Management, Extensible Admission Control, General Policies).
- NIST Special Publication 800-190 "Application Container Security Guide" (63 стр) - руководство о контейнерных угрозах, рисках и то ка ким можно противодействовать без привязки к системе оркестрации.
Основные разделы: Introduction to Application Containers, Major Risks for Core Components of Containers Technologies, Countermeasure for Major Risks, Container Threat Scenario Examples, Container Technology Life Cycle Security Considerations.
Есть еще и CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0 и CIS Google Kubernetes Engine (GKE) Benchmark v1.0.0. Также у CIS в разделе Cloud Providers можно найти документы по: Amazon Web Services, Google Cloud Computing Platform, Microsoft Azure и Oracle Cloud Infrastructure.
Стоит отметить с какой скоростью в Kubernetes вносятся изменения и улучшения, данные документы лишь ориентир, так как они не обновляются так часто.
P.S.
NIST - National Institute of Standarts and Technology
CIS - Centre of Internet Security
CIS
CIS Kubernetes Benchmarks
Download our step-by-step checklist to secure your platform: An objective, consensus-driven security guideline for Kubernetes.
Forwarded from DevOps&SRE Library
https://www.youtube.com/watch?v=oGauLtFravk
https://www.youtube.com/watch?v=JEk8P663c_Q
#youtube #osint
https://www.youtube.com/watch?v=JEk8P663c_Q
#youtube #osint
YouTube
🇷🇺 ПАЛАНТИР ОТ КИБЕРДЕДА ЗА $1 МИЛЛИАРД? | Андрей Масалович | @KiberDed | ЧАСТЬ 1 | RUSSIAN OSINT
В гостях Андрей Игоревич Масалович - эксперт и профессионал с Большой буквы по конкурентной разведке, президент консорциума "Инфорус", кандидат физико-математических наук, бывший подполковник ФАПСИ в отставке. Автор более 100 печатных работ, неоднократно…
Forwarded from Sysadmin Tools 🇺🇦
YouTube
Разбираем автоскейлинг в Kubernetes (Кирилл Кузнецов, Злые Марсиане)
Благодаря Kubernetes у нас появились все условия и инструменты, чтобы заняться автоскейлингом приложений на публичных облаках. Вместе с Кириллом разберемся, как устроено горизонтальное масштабирование приложений в Kubernetes, какие метрики можно использовать…
Forwarded from linkmeup
А если вы любитель самостоятельно строить свою шифровальную крепость, то вот неплохой такой вариант с WireGuard и DNSCrypt. Ибо негожа DNS запросы гонять в открытом виде.
Сетап настолько подробно расписан, что аж про fail2ban и iptables не забыли.
https://github.com/BetterWayElectronics/secure-wireguard-implementation
Сетап настолько подробно расписан, что аж про fail2ban и iptables не забыли.
https://github.com/BetterWayElectronics/secure-wireguard-implementation
GitHub
GitHub - BetterWayElectronics/secure-wireguard-implementation: A guide on implementing a secure Wireguard server on OVH (or any…
A guide on implementing a secure Wireguard server on OVH (or any other Debian VPS) with DNSCrypt, Port Knocking & an SSH-Honeypot - BetterWayElectronics/secure-wireguard-implementation
Deep dive into docker overlay networks
- https://blog.revolve.team/2017/04/25/deep-dive-into-docker-overlay-networks-part-1/
- https://blog.revolve.team/2017/05/09/deep-dive-into-docker-overlay-networks-part-2/
- https://blog.revolve.team/2017/08/20/deep-dive-3-into-docker-overlay-networks-part-3/
#docker #overlay #network #networking
- https://blog.revolve.team/2017/04/25/deep-dive-into-docker-overlay-networks-part-1/
- https://blog.revolve.team/2017/05/09/deep-dive-into-docker-overlay-networks-part-2/
- https://blog.revolve.team/2017/08/20/deep-dive-3-into-docker-overlay-networks-part-3/
#docker #overlay #network #networking
Blog Devoteam Rebirth
Deep dive into Docker Overlay Networks : Part 1
Introduction At D2SI, we have been using Docker since its very beginning and have been helping many projects go into production. We believe that
Forwarded from Находки в опенсорсе
A terminal-based presentation tool with colors and effects.
Present your stuff without leaving your terminal!
Personal opinion: this might be a really cool thing for live-coding sessions for people using vim/emacs. The context switch would be minimal.
https://github.com/vinayak-mehta/present
#python
Present your stuff without leaving your terminal!
Personal opinion: this might be a really cool thing for live-coding sessions for people using vim/emacs. The context switch would be minimal.
https://github.com/vinayak-mehta/present
#python
https://www.philipp-doblhofer.at/en/blog/gitlab-automatic-releases-with-ci-cd-pipelines/
#gitlab #autotag #tag #git
#gitlab #autotag #tag #git
Philipp Doblhofer
GitLab: Automatic releases with CI/CD Pipelines - Philipp Doblhofer
GitLab allows it, to execute commands after repository commits. With that, it’s possible to do automated software tests for code in the repository. A few weeks ago, a private project required automatic releases on GitLab at given dates – for example monthly.…
Forwarded from CatOps
Ещё один "Production Readiness Checklist for your K8s" на этот раз с прицелом в application development & deploy
#kubernetes
#kubernetes
Learnk8s
Kubernetes production best practices
This document highlights and consolidates best practices for building, deploying and scaling apps on Kubernetes in production.