Size: a a a

DevSecOps - русскоговорящее сообщество

2021 March 01

S

Slach in DevSecOps - русскоговорящее сообщество
если у вас есть у людей доступ к кластер
внутрь подов и в подах есть shell
то тогда это все хрень
да и просто если доступ в кластер есть. то всегда есть шанс что кластер не до конца секурный и дырка найдется чтобы переменные окружения посмотреть
источник

S

Slach in DevSecOps - русскоговорящее сообщество
то есть вы определитесь от кого шифруете? от своих?
источник

S

Slach in DevSecOps - русскоговорящее сообщество
а кластер у вас уже секурный? хотя бы kube bench от aquasec хоть раз запускали? а рекомендации оттуда все сделали?
источник

BK

Bogdan Kanivchenko in DevSecOps - русскоговорящее сообщество
kube-bench запускал, ничего критического не выбило
источник

S

Slach in DevSecOps - русскоговорящее сообщество
ок. шифруем от своих ? ок. люди могут shell внутри pod запустить? или весь деплоймент строго на ci/cd ?
источник

BK

Bogdan Kanivchenko in DevSecOps - русскоговорящее сообщество
Даже если только через ci/cd, они все равно могут прописать gitlab-ci с print env
источник

KG

Konstantin Grudnev in DevSecOps - русскоговорящее сообщество
Slach
ок. шифруем от своих ? ок. люди могут shell внутри pod запустить? или весь деплоймент строго на ci/cd ?
можно distroless попробовать использовать https://github.com/GoogleContainerTools/distroless
источник

S

Slach in DevSecOps - русскоговорящее сообщество
Bogdan Kanivchenko
Даже если только через ci/cd, они все равно могут прописать gitlab-ci с print env
если логирование правильно настроено то вроде как маски на секреты делаются... в gitlab вроде так...
источник

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Slach
если логирование правильно настроено то вроде как маски на секреты делаются... в gitlab вроде так...
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
источник

S

Slach in DevSecOps - русскоговорящее сообщество
его везде не прикрутишь
=)

на самом деле закручивая гайки по секурити, тупо разрабы потом не смогут дебажить ничего толком на проде, будет постоянный "подземный стук в полу"
либо будут "волшебники которые умеют гадать на кофейной гуще \ логах"
а какой нибудь kube flame или kube sniff уже толком не запустишь
источник

S

Slach in DevSecOps - русскоговорящее сообщество
Viacheslav Kaloshin
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
ну только если у вас логи ci/cd в сыром виде хранятся
и не маскируются

посмотрите как github actions секреты в выводе маскирует
источник

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Slach
ну только если у вас логи ci/cd в сыром виде хранятся
и не маскируются

посмотрите как github actions секреты в выводе маскирует
это если он знает, что это секреты 🙂
источник

S

Slach in DevSecOps - русскоговорящее сообщество
кстати да =) сделать python -c "import os; print(os.environ)"
источник

S

Slach in DevSecOps - русскоговорящее сообщество
в общем, часто я лично понимаю что если есть доступ к кластеру
то секреты по нормальному должны приложением из vault по протоколу браться
источник

S

Slach in DevSecOps - русскоговорящее сообщество
но кубер вообще пошел какой то дурной дорогой

и у нас вместо нормальных кросс языковых SDK в которых реализовано все что надо
появляются костыли которые из обычных приложений пытаются делать 12 факторные... типа service mesh и vault secrets
источник

KG

Konstantin Grudnev in DevSecOps - русскоговорящее сообщество
Slach
в общем, часто я лично понимаю что если есть доступ к кластеру
то секреты по нормальному должны приложением из vault по протоколу браться
По нормальному вообще HSM желательно иметь, но это мало кому интересно
источник

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Bogdan Kanivchenko
У меня стоит вопрос шифровать секреты куба, для того чтобы хранить их в git'e, нашел три инструмента: SealedSecrets, kamus, sops
Кто какие инструменты использует и что можете посоветовать?
А смысл изголяться, если секрет можно будет подставить тот же самый и приложение расшифрует его и примет как надо?
источник

AA

Artyom Abramovich in DevSecOps - русскоговорящее сообщество
Viacheslav Kaloshin
злобны разраб может просто прямо в шаг ci/сd вставить "выведи мне страшно секретный токен" и ничего этому не помешает
зачем разраб в CI ходит?
источник

VK

Viacheslav Kaloshin in DevSecOps - русскоговорящее сообщество
Artyom Abramovich
зачем разраб в CI ходит?
логи смотреть, чего сломалось или наоборот.
источник

AA

Artyom Abramovich in DevSecOps - русскоговорящее сообщество
ну и пусть смотрит, зачем ему писать туда?
источник