Migrasi Kubernetes hampir membunuh startup kami. Di mana kami berada: - 8 Contoh EC2 - Ansible untuk penyebaran - Membosankan tapi berhasil - Tagihan AWS $1200/bulan Mengapa kami bermigrasi: - Investor baru menginginkan 'cloud-native' - Insinyur menginginkan pengalaman K8 - Pesaing menggunakannya - Sepertinya masa depan 6 bulan kemudian: - 3 insinyur menghabiskan penuh waktu di K8 - Tagihan AWS sebesar $4500/bulan - Penerapan membutuhkan waktu lebih lama dari sebelumnya - Lebih banyak pemadaman, tidak lebih sedikit - Pengembangan produk terhenti Kami berguling kembali: - Dipindahkan ke ECS Fargate - Migrasi 2 minggu - Kembali ke $1800/bulan - Insinyur kembali pada fitur K8s luar biasa untuk skala. Kami tidak dalam skala besar. Teknologi harus memecahkan masalah yang sebenarnya Anda miliki.

Menambahkan kompresi gzip ke API kami. Ukuran respons turun 85%, latensi turun 60%. Sebelum kompresi: - Respons rata-rata: 240 KB - Waktu transfer: 400ms - Biaya bandwidth: $ 220 / bulan Setelah kompresi: - Respons rata-rata: 36 KB - Waktu transfer: 48ms - Biaya bandwidth: $ 70 / bulan Menambahkan middleware kompresi Hasil: - Waktu muat: 88% lebih cepat - Bandwidth: pengurangan 68%

Penguji penetrasi mendapatkan akses root ke klaster Kubernetes kami dalam 15 menit. Inilah yang mereka eksploitasi. Rantai serangan: - Menemukan dasbor Kubernetes yang terekspos (buruk kami) - Dasbor memiliki akun layanan hanya-lihat (kami pikir ini aman) - Akun layanan dapat mencantumkan rahasia di semua namespace - Menemukan kredensial AWS dalam rahasia - Menggunakan kredensial AWS untuk mengakses profil instans EC2 - Profil instans memiliki admin Kubernetes lengkap melalui IAM - Menggunakan kubectl untuk membuat pod istimewa - Lolos ke node - Akses root ke seluruh kluster Apa yang kami pikir kami lakukan dengan benar: - Dasbor hanya baca - Rahasia dienkripsi saat tidak aktif - Kebijakan jaringan telah diterapkan - Pembaruan keamanan rutin Apa yang kami lewatkan: - Dasbor tidak boleh diekspos sama sekali - Akun layanan membutuhkan prinsip hak istimewa paling sedikit - Rahasia tidak boleh berisi kredensial AWS (gunakan IRSA sebagai gantinya) - Kebijakan Keamanan Pod tidak diterapkan - Akses simpul tidak diperkuat Perbaikannya memakan waktu 2 minggu: - Menghapus dasbor Kubernetes sepenuhnya - Menerapkan IRSA untuk semua akses AWS pod - Menerapkan Standar Keamanan PSP/Pod yang ketat - Audit semua izin RBAC - Pengujian penetrasi rutin Biaya: $24K untuk tes pena Nilai: Mencegah apa yang bisa menjadi pelanggaran bencana