La migration vers Kubernetes a presque tué notre startup. Où nous en étions : - 8 instances EC2 - Ansible pour les déploiements - Ennuyeux mais fonctionnel - Facture AWS de 1200 $/mois Pourquoi nous avons migré : - Un nouvel investisseur voulait du 'cloud-native' - Les ingénieurs voulaient de l'expérience avec K8s - Les concurrents l'utilisaient - Cela semblait être l'avenir 6 mois plus tard : - 3 ingénieurs passant à plein temps sur K8s - Facture AWS à 4500 $/mois - Les déploiements prenaient plus de temps qu'avant - Plus de pannes, pas moins - Le développement du produit était à l'arrêt Nous avons fait marche arrière : - Passé à ECS Fargate - Migration de 2 semaines - Retour à 1800 $/mois - Les ingénieurs de retour sur les fonctionnalités K8s est incroyable pour l'échelle. Nous n'étions pas à l'échelle. La technologie doit résoudre des problèmes que vous avez réellement.

Ajout de la compression gzip à notre API. La taille de la réponse a diminué de 85 %, la latence a diminué de 60 %. Avant compression : - Réponse moyenne : 240 Ko - Temps de transfert : 400 ms - Coût de la bande passante : 220 $/mois Après compression : - Réponse moyenne : 36 Ko - Temps de transfert : 48 ms - Coût de la bande passante : 70 $/mois Ajout d'un middleware de compression Résultats : - Temps de chargement : 88 % plus rapide - Bande passante : réduction de 68 %

Un testeur de pénétration a obtenu un accès root à notre cluster Kubernetes en 15 minutes. Voici ce qu'il a exploité. La chaîne d'attaque : - A trouvé le tableau de bord Kubernetes exposé (notre faute) - Le tableau de bord avait un compte de service en lecture seule (nous pensions que c'était sûr) - Le compte de service pouvait lister les secrets dans tous les espaces de noms - A trouvé des identifiants AWS dans un secret - A utilisé les identifiants AWS pour accéder au profil d'instance EC2 - Le profil d'instance avait un accès complet à Kubernetes via IAM - A utilisé kubectl pour créer un pod privilégié - A échappé au nœud - Accès root à l'ensemble du cluster Ce que nous pensions avoir bien fait : - Le tableau de bord était en lecture seule - Les secrets étaient chiffrés au repos - Des politiques réseau étaient en place - Mises à jour de sécurité régulières Ce que nous avons manqué : - Le tableau de bord ne devrait pas être exposé du tout - Les comptes de service doivent respecter le principe du moindre privilège - Les secrets ne devraient pas contenir d'identifiants AWS (utiliser IRSA à la place) - Les politiques de sécurité des pods n'étaient pas appliquées - L'accès au nœud n'était pas durci La correction a pris 2 semaines : - Suppression complète du tableau de bord Kubernetes - Mise en œuvre d'IRSA pour tous les accès AWS des pods - Application de PSP strictes/Normes de sécurité des pods - Audit de toutes les autorisations RBAC - Tests de pénétration réguliers Coût : 24K $ pour le test de pénétration Valeur : A empêché ce qui aurait pu être une violation catastrophique.