c
Да, процессинг
Тогда обосновано требование.
Я бы даже внедрил туда ГОСт шифрование и для вас отдельно аттестовал площадку
Я бы даже внедрил туда ГОСт шифрование и для вас отдельно аттестовал площадку
Size: a a a
2020 November 03
BK
Что значит "аттестовал площадку"?
c
Что значит "аттестовал площадку"?
У вас есть ТЗКИ ?
BK
Мммм, не знаю
BK
Скорее всего есть
PK
Тогда обосновано требование.
Я бы даже внедрил туда ГОСт шифрование и для вас отдельно аттестовал площадку
Я бы даже внедрил туда ГОСт шифрование и для вас отдельно аттестовал площадку
Между контейнерами гостом шифровать?
c
Между контейнерами гостом шифровать?
Ладно там между контейнерами - может еще и в апликухе придется внутри все по PCI DSS маркировать данные для передачи в БД.
c
Между контейнерами гостом шифровать?
Но кто то займется этим вопросом или Русбитех или Ростелек
PK
Но кто то займется этим вопросом или Русбитех или Ростелек
Да по всему выходит - нам заниматься. Вопрос скорее в актуальности. Может ли трафик между контейнерами передаваться по открытым каналам связи?
c
Каналы между ДЦ считаются открытыми 😉
PK
Так там большие криптошлюзы стоят
c
Да это понятно, просто PCI DSS требует на уровне отношений между компонентами процессинга шифрование. Я когда с 1 стандартом сталкивался лет 10 назад тогда проще было - во 2м уже требовалась защита от админа - чтобы чел посередине не перехватил данные процессинга. Сейчас тем более в 3-м тоже шифрование на уровне компонентов.
BK
ДЦ - дата центы - availability zone?
c
Скорее там где реплики БД
S
Коллеги, привет. Есть задача хранить ключи для сервисов в зашифрованном виде, чтоб они не попадали в конфиги и пиплайны в открытом виде, хочу для это использовать защищенное хранилище секретов, а вот как доставлять в это хранилище секреты, чтоб они так же не оседали в gitlab'е например?
c
Коллеги, привет. Есть задача хранить ключи для сервисов в зашифрованном виде, чтоб они не попадали в конфиги и пиплайны в открытом виде, хочу для это использовать защищенное хранилище секретов, а вот как доставлять в это хранилище секреты, чтоб они так же не оседали в gitlab'е например?
А чем configmaps не устраивает ? Храните хоть на зашифрованном диске доступном как том для кубера
https://kubectl.docs.kubernetes.io/pages/app_management/secrets_and_configmaps.html
https://kubectl.docs.kubernetes.io/pages/app_management/secrets_and_configmaps.html
S
А чем configmaps не устраивает ? Храните хоть на зашифрованном диске доступном как том для кубера
https://kubectl.docs.kubernetes.io/pages/app_management/secrets_and_configmaps.html
https://kubectl.docs.kubernetes.io/pages/app_management/secrets_and_configmaps.html
Ну в конфигмапах он же в открытом виде лежит и все кто имеет доступ в гилаб имеют доступ к конфиг мапу
c
Ну в конфигмапах он же в открытом виде лежит и все кто имеет доступ в гилаб имеют доступ к конфиг мапу
Во первых зачем тут вообще гитлаб нужен если конфигмап с секретами создавался как отдельное хранилище. Во вторых что страшного в открытых ключах пользователей ? Если вы токены храните то в Кубернетес их держать нужно или к valut прикрутить
c
Тут мы плавно переходим к IDM :-)
S
Девопсы помещают ключи сервисов в секреты кубера через git, а не руками заводят