La migración de Kubernetes casi mata a nuestra startup. Dónde estábamos: - 8 Instancias EC2 - Ansible para implementaciones - Aburrido pero funcionando - Factura de AWS de 1200 USD/mes Por qué migramos: - Se busca un nuevo inversor "nativo de la nube" - Los ingenieros querían experiencia en K8s - Los competidores lo estaban usando - Parecía el futuro 6 meses después: - 3 ingenieros que dedican tiempo completo a K8 - Factura de AWS a $ 4500 / mes - Los despliegues tardaron más que antes - Más interrupciones, no menos - Desarrollo de productos estancado Retrocedimos: - Trasladado a ECS Fargate - Migración de 2 semanas - Volver a $ 1800 / mes - Los ingenieros vuelven a las funciones K8s es increíble para la escala. No estábamos a escala. La tecnología debe resolver los problemas que realmente tienes.

Se agregó compresión gzip a nuestra API. El tamaño de la respuesta se redujo en un 85 % y la latencia en un 60 %. Antes de la compresión: - Respuesta media: 240 KB - Tiempo de transferencia: 400ms - Costo de ancho de banda: $ 220 / mes Después de la compresión: - Respuesta media: 36 KB - Tiempo de transferencia: 48ms - Costo de ancho de banda: $ 70 / mes Middleware de compresión agregado Resultados: - Tiempo de carga: 88% más rápido - Ancho de banda: reducción del 68%

Un probador de penetración obtuvo acceso raíz a nuestro clúster de Kubernetes en 15 minutos. Esto es lo que explotaron. La cadena de ataque: - Se encontró un panel de control de Kubernetes expuesto (nuestro error) - El panel tenía una cuenta de servicio de solo lectura (pensamos que era seguro) - La cuenta de servicio podría enumerar secretos en todos los espacios de nombres - Se encontraron las credenciales de AWS en un secreto - Credenciales de AWS utilizadas para acceder al perfil de instancia EC2 - El perfil de instancia tenía un administrador completo de Kubernetes a través de IAM - Se usó kubectl para crear pods privilegiados - Escapó al nodo - Acceso raíz a todo el clúster Lo que pensamos que hicimos bien: - El panel era de solo lectura - Los secretos se cifraron en reposo - Se implementaron políticas de red - Actualizaciones de seguridad periódicas Lo que nos perdimos: - El panel no debe estar expuesto en absoluto - Las cuentas de servicio necesitan el principio de privilegios mínimos - Los secretos no deben contener credenciales de AWS (use IRSA en su lugar) - No se aplicaron las políticas de seguridad de los pods - El acceso a los nodos no se ha reforzado La solución tardó 2 semanas: - Se eliminó por completo el panel de Kubernetes - Implementó IRSA para todos los accesos de AWS de pods - Aplicación de estrictos estándares de seguridad de PSP/Pod - Auditar todos los permisos RBAC - Pruebas de penetración periódicas Costo: $ 24K por el pentest Valor: Evitó lo que podría haber sido una violación catastrófica