3. Облачный подход захватывает мир 3
4. Kubernetes 4
8. ГОСТ по облачным вычислениям 8 Вступает в силу 01.06.2021 года
7. Управление угрозами NIST Cyber Security Framework 7
12. Как с нами связаться: +7 (495) 223 - 07 - 86 luntry.ru
1. Kubernetes: Незнание системы — злейший враг Дмитрий Евдокимов, Технический директор Luntry
11. Заключение Понимайте технологии, с которыми работаете • Окружение без слепых зон • You Can’t Secure What You Can’t See Понимайте процессы, с которыми работаете • Встраивание в процесс разработки Понимайте людей, с которыми работаете • Работа рука об руку с разработкой и поддержкой • Единый взгляд на систему и процессы 11
5. Зона ответственности Рабочая нагрузка : • Системные сервисы • Сервисы ОС • Сервисы Kubernetes • Собственные сервисы • Ваши приложения, выполняющие бизнес логику • Сторонние сервисы • CI \ CD, хранилища исходного кода, хранилища образов контейнеров, системы мониторинга и логирования и т.д. 5
9. Что такое хорошо и что такое плохо ? • Атакующий на шаг впереди, потому что : • Для достижения цели он может глубоко изучить систему в поисках даже 1 недостатка • Строит план атаки на знаниях, которыми не владеет защищающийся • Часто защита строится на текущих знаниях об атакующем, а не на возможных • Для симметричного ответа необходимо : • Всегда знать и понимать свой периметр • Инвентаризация активов / ресурсов • Отсутствие слепых зон в окружении • Детектировать аномальное поведение • Никаких правил, сигнатур и т.д. • Полезно как для безопасности, так и для надежности системы 9
6. Проблемы • Окружение становится все сложнее • "Complexity is the worst enemy of security, and our systems are getting more complex all the time." , Bruce Schneier • "The only thing that ever yielded real security gains was controlling complexity.“ , Thomas Dullien /“ Halvar Flake” • Разработка стремительно развивается • Старые подходы к безопасности не работают • Департаменты разработки, поддержки и безопасности должны работать вместе • Уникальные модели нарушителя, модель угроз и поверхность атаки • Атакующий по - прежнему на шаг впереди • 0 - days, backdoors, APTs и т.д. 6
2. Обо мне • CTO, исследователь безопасности • Соорганизатор конференций ZeroNights , DEFCON Russia (#7812) • Бывший редактор рубрик в журнале " XAKEP" • Создатель проекта " Python Arsenal for Reverse Engineering" • Автор telegram - канала " k8s (in)security“ • Автор тренинга “ Безопасность Cloud Native приложений в Kubernetes - based инфраструктурах ” • Докладчик: BlackHat , HITB, ZeroNights , HackInParis , Confidence, SAS, PHDays , ... 2
10. На примере атаки на SolarWinds В контексте Kubernetes , злоумышленник может внедриться в : • Код компании • OpenSource - код • Образы контейнеров • Ресурсы Kubernetes YAML • Helm - чарты Kubernetes и контейнеры предоставляют : • Возможность высокой наблюдаемости ( observability ) и наглядность ( visibility ) происходящего • Подход Zero Trust • Подход Shift Left security • Подход Infrastructure - as - Code/Policy - as - Code/Security - as - Code 10