Die Kubernetes-Migration hat fast unser Startup umgebracht. Wo wir waren: - 8 EC2-Instanzen - Ansible für Deployments - Langweilig, aber funktionierend - $1200/Monat AWS-Rechnung Warum wir migriert sind: - Neuer Investor wollte 'cloud-native' - Ingenieure wollten K8s-Erfahrung - Wettbewerber haben es verwendet - Schien wie die Zukunft 6 Monate später: - 3 Ingenieure, die Vollzeit an K8s arbeiten - AWS-Rechnung bei $4500/Monat - Deployments dauerten länger als zuvor - Mehr Ausfälle, nicht weniger - Produktentwicklung gestoppt Wir haben zurückgerollt: - Umstieg auf ECS Fargate - 2-wöchige Migration - Zurück zu $1800/Monat - Ingenieure wieder an Features K8s ist großartig für Skalierung. Wir waren nicht in der Skalierung. Technologie sollte Probleme lösen, die man tatsächlich hat.

Gzip-Kompression zu unserer API hinzugefügt. Die Antwortgröße ist um 85 % gesunken, die Latenz um 60 %. Vor der Kompression: - Durchschnittliche Antwort: 240 KB - Übertragungszeit: 400 ms - Bandbreitenkosten: 220 $/Monat Nach der Kompression: - Durchschnittliche Antwort: 36 KB - Übertragungszeit: 48 ms - Bandbreitenkosten: 70 $/Monat Kompressions-Middleware hinzugefügt Ergebnisse: - Ladezeit: 88 % schneller - Bandbreite: 68 % Reduzierung

Ein Penetrationstester erhielt in 15 Minuten Root-Zugriff auf unseren Kubernetes-Cluster. Hier ist, was sie ausgenutzt haben. Die Angriffsfolge: - Gefundene exponierte Kubernetes-Dashboard (unser Fehler) - Dashboard hatte ein nur lesendes Service-Konto (wir dachten, das sei sicher) - Service-Konto konnte Geheimnisse in allen Namespaces auflisten - Fand AWS-Anmeldeinformationen in einem Geheimnis - Nutzte AWS-Anmeldeinformationen, um auf das EC2-Instanzprofil zuzugreifen - Instanzprofil hatte vollständigen Kubernetes-Admin-Zugriff über IAM - Nutzte kubectl, um ein privilegiertes Pod zu erstellen - Entkam zum Knoten - Root-Zugriff auf den gesamten Cluster Was wir dachten, dass wir richtig gemacht haben: - Dashboard war schreibgeschützt - Geheimnisse waren im Ruhezustand verschlüsselt - Netzwerkrichtlinien waren vorhanden - Regelmäßige Sicherheitsupdates Was wir verpasst haben: - Dashboard sollte überhaupt nicht exponiert sein - Service-Konten benötigen das Prinzip der minimalen Berechtigung - Geheimnisse sollten keine AWS-Anmeldeinformationen enthalten (verwenden Sie stattdessen IRSA) - Pod-Sicherheitsrichtlinien wurden nicht durchgesetzt - Knoten-Zugriff war nicht gehärtet Die Behebung dauerte 2 Wochen: - Kubernetes-Dashboard vollständig entfernt - IRSA für den gesamten Pod-AWS-Zugriff implementiert - Strenge PSPs/Pod-Sicherheitsstandards angewendet - Alle RBAC-Berechtigungen überprüft - Regelmäßige Penetrationstests Kosten: 24.000 $ für den Pentest Wert: Verhindert, was eine katastrophale Sicherheitsverletzung hätte sein können.