Kubernetes-migraatio melkein tappoi startup-yrityksemme. Missä olimme: - 8 EC2-tapausta - Käytettävissä käyttöönottoon - Tylsää, mutta toimivaa - 1200 dollaria/kk AWS-lasku Miksi siirryimme: - Uusi sijoittaja haluttiin "pilvinatiiviksi" - Insinöörit halusivat K8s-kokemuksen - Kilpailijat käyttivät sitä - Näytti tulevaisuudelta 6 kuukautta myöhemmin: - 3 insinööriä viettää kokopäiväisesti K8-koneilla - AWS-lasku 4500 dollaria/kk - Käyttöönotot kestivät aiempaa pidempään - Enemmän katkoksia, ei vähemmän - Tuotekehitys pysähtyi Peruimme: - Siirretty ECS Fargateen - 2 viikon muutto - Takaisin 1800 dollariin/kk - Insinöörit palaavat ominaisuuksiin K8s on hämmästyttävä mittakaavassa. Emme olleet mittakaavassa. Teknologian pitäisi ratkaista ongelmat, joita sinulla todella on.

Lisätty gzip-pakkaus API:han. Vastauskoko laski 85 %, latenssi laski 60 %. Ennen puristusta: - Keskimääräinen vastaus: 240 kt - Siirtoaika: 400ms - Kaistanleveyden hinta: 220 dollaria/kk Puristuksen jälkeen: - Keskimääräinen vastaus: 36 kt - Siirtoaika: 48 ms - Kaistanleveyden hinta: 70 dollaria/kk Lisätty pakkausväliohjelmisto Tulokset: - Latausaika: 88 % nopeampi - Kaistanleveys: 68 % pienempi

Tunkeutumistestaaja sai pääkäyttäjän oikeudet Kubernetes-klusteriimme 15 minuutissa. Tässä on mitä he käyttivät hyväkseen. Hyökkäysketju: - Löytyi paljastunut Kubernetes-kojelauta (huono) - Kojelaudalla oli vain katselu -palvelutili (ajattelimme, että tämä oli turvallista) - Palvelutili voi luetella salaisuuksia kaikissa nimiavaruuksissa - Löysi AWS-tunnukset salaisuudesta - Käytin AWS-tunnuksia EC2-instanssiprofiilin käyttämiseen - Esiintymäprofiililla oli täysi Kubernetes-järjestelmänvalvoja IAM:n kautta - Käytti kubectl:ää etuoikeutetun podin luomiseen - Pakennut solmuun - Pääkäyttäjän oikeudet koko klusteriin Mitä luulimme tehneemme oikein: - Kojelauta oli vain luku -tilassa - Salaisuudet salattiin levossa - Verkkokäytännöt olivat käytössä - Säännölliset tietoturvapäivitykset Mitä meiltä jäi paitsi: - Kojelautaa ei pitäisi paljastaa ollenkaan - Palvelutilit tarvitsevat pienimmän oikeuden periaatteen - Salaisuudet eivät saa sisältää AWS-tunnistetietoja (käytä sen sijaan IRSA:ta) - Pod-suojauskäytäntöjä ei valvottu - Solmun käyttöä ei kovennettu Korjaus kesti 2 viikkoa: - Poistettu Kubernetes-kojelauta kokonaan - Toteutettu IRSA kaikille pod AWS -käyttöoikeuksille - Sovellettu tiukkoja PSP/Pod-turvallisuusstandardeja - Kaikkien RBAC-käyttöoikeuksien valvonta - Säännöllinen tunkeutumistestaus Hinta: 24 000 dollaria pentestistä Arvo: Esti katastrofaalisen tietomurron