La migrazione a Kubernetes ha quasi ucciso la nostra startup. Dove eravamo: - 8 istanze EC2 - Ansible per i deploy - Noioso ma funzionante - $1200/mese di fattura AWS Perché abbiamo migrato: - Un nuovo investitore voleva 'cloud-native' - Gli ingegneri volevano esperienza con K8s - I concorrenti lo stavano usando - Sembrava il futuro 6 mesi dopo: - 3 ingegneri a tempo pieno su K8s - Fattura AWS a $4500/mese - I deploy richiedevano più tempo di prima - Più interruzioni, non meno - Sviluppo del prodotto bloccato Abbiamo fatto un rollback: - Siamo tornati a ECS Fargate - Migrazione di 2 settimane - Di nuovo a $1800/mese - Gli ingegneri di nuovo sulle funzionalità K8s è fantastico per la scalabilità. Noi non eravamo a scala. La tecnologia dovrebbe risolvere problemi che hai realmente.

Aggiunta la compressione gzip alla nostra API. La dimensione della risposta è diminuita dell'85%, la latenza è diminuita del 60%. Prima della compressione: - Risposta media: 240 KB - Tempo di trasferimento: 400ms - Costo della larghezza di banda: $220/mese Dopo la compressione: - Risposta media: 36 KB - Tempo di trasferimento: 48ms - Costo della larghezza di banda: $70/mese Aggiunto middleware di compressione Risultati: - Tempo di caricamento: 88% più veloce - Larghezza di banda: riduzione del 68%

Un penetration tester ha ottenuto accesso root al nostro cluster Kubernetes in 15 minuti. Ecco cosa hanno sfruttato. La catena di attacco: - Trovato il dashboard Kubernetes esposto (nostra colpa) - Il dashboard aveva un account di servizio in sola lettura (pensavamo fosse sicuro) - L'account di servizio poteva elencare i segreti in tutti i namespace - Trovate credenziali AWS in un segreto - Usate le credenziali AWS per accedere al profilo dell'istanza EC2 - Il profilo dell'istanza aveva pieno accesso amministrativo a Kubernetes tramite IAM - Usato kubectl per creare un pod privilegiato - Fuggito al nodo - Accesso root all'intero cluster Cosa pensavamo di aver fatto bene: - Il dashboard era in sola lettura - I segreti erano crittografati a riposo - Le politiche di rete erano in atto - Aggiornamenti di sicurezza regolari Cosa abbiamo trascurato: - Il dashboard non dovrebbe essere esposto affatto - Gli account di servizio devono seguire il principio del minimo privilegio - I segreti non dovrebbero contenere credenziali AWS (usare IRSA invece) - Le politiche di sicurezza dei pod non erano applicate - L'accesso al nodo non era rinforzato La soluzione ha richiesto 2 settimane: - Rimosso completamente il dashboard Kubernetes - Implementato IRSA per tutto l'accesso AWS dei pod - Applicate rigide PSP/Standard di Sicurezza dei Pod - Audit di tutti i permessi RBAC - Test di penetrazione regolari Costo: $24K per il pentest Valore: Prevenuto quello che avrebbe potuto essere una violazione catastrofica