в конце концов, и статейки почитать не зазорно научные, если что-то не понятно. А тупо надеяться на специалиста просто потому что на нём так написано - ну фиг знает

Не совсем про правильность лечения, скорее про качество и безопасность - одно время каждый раз когда приходил в новую стоматологию вежливо просил журнал по дезрежиму - реакции обычно были такие: 1) вы кто такой, а вам зачем - ничего вам не покажем; 2) смотрите, но вы все равно не поймете

понимать в журнале по дезрежиму досточно только формат даты в самой свежей записи :)) хотя в принципе все остальное там тоже более менее понятно

Проблема доверия к эксперту - это фундаментальная проблема управления. Тут как бы рецепты давно известны.

Так это и с кубер и без так

Да) Я к тому, что проблемность без контекста смысла обсуждать особо нету, с моей точки зрения.

Ну и "безопасность" - это вообще не только про эксплоиты.

Отсутствие всего - всегда безопаснее, чего бы то ни было.
Но на практике, обычно альтернатива Кубернетесу не отсутствие всего, а "сами такое же на питоне и баше нахуевертили"

Я к тому, что критические процессы должны быть закрыты доверенной экспертизой.

А уж как сформировать такую экспертизу - это другой вопрос.

ИБ например - критический процесс.
Поэтому там должен быть доверенный со всех сторон эксперт.

Если нету - ну тут проблема выбора между "сделай сам" и "ахусим, полетит"

Ну собственно я надеялся, что у кого-то здесь контекст есть. И он может им поделиться. А может даже какое-то более глобальное исследование есть

А кубер это только про install-time? На runtime он вообще никак не влияет?

Ещё как влияет. Но иногда даже в лучшую сторону :)

По крайней мере Monzo, HSBC, Starling, Capital One, и ING так считают.

Я имел в виду безопасность в runtime.

Если у вас Кубернетес поверх докера, то всё что относится к docker runtime security - имеет место быть.

Угу. А своего к этому кубер не добавляет? Он только про installtime

Ну нет же. На ноде бежит kubelet, это как и любой новый процесс, тем более с доступом по сети - дополнительные векторы угроз.

Ну и если скомпрометировать сам кубер, то это "ключи от дворца" - можно сделать с нодами примерно что угодно

А уж если речь не про исполнение вредоносного кода, а про банальный DDOS - тут вообще раздолье. Из коробки, в k8s весьма хрупкая сетевая часть.

Спасибо