Kubernetes-migratie heeft bijna onze startup gedood. Waar we waren: - 8 EC2-instanties - Ansible voor deploys - Saai maar werkend - $1200/maand AWS-rekening Waarom we migreerden: - Nieuwe investeerder wilde 'cloud-native' - Ingenieurs wilden K8s-ervaring - Concurrenten gebruikten het - Het leek de toekomst 6 maanden later: - 3 ingenieurs die fulltime aan K8s werken - AWS-rekening op $4500/maand - Deploys duurden langer dan voorheen - Meer uitval, niet minder - Productontwikkeling stilgelegd We hebben teruggedraaid: - Overgestapt naar ECS Fargate - 2 weken migratie - Terug naar $1800/maand - Ingenieurs weer bezig met functies K8s is geweldig voor schaal. We waren niet op schaal. Technologie moet problemen oplossen die je daadwerkelijk hebt.

Gzip-compressie toegevoegd aan onze API. De responsegrootte is met 85% gedaald, de latentie met 60%. Voor compressie: - Gemiddelde respons: 240 KB - Overdrachtstijd: 400ms - Bandwidth kosten: $220/maand Na compressie: - Gemiddelde respons: 36 KB - Overdrachtstijd: 48ms - Bandwidth kosten: $70/maand Compressiemiddleware toegevoegd Resultaten: - Laadtijd: 88% sneller - Bandwidth: 68% vermindering

Een penetratietester kreeg binnen 15 minuten roottoegang tot onze Kubernetes-cluster. Dit is wat ze hebben geëxploiteerd. De aanvalsketen: - Gevonden blootgestelde Kubernetes-dashboard (onze fout) - Dashboard had een alleen-lezen serviceaccount (we dachten dat dit veilig was) - Serviceaccount kon geheimen in alle namespaces opvragen - Gevonden AWS-gegevens in een geheim - Gebruikte AWS-gegevens om toegang te krijgen tot EC2-instanceprofiel - Instanceprofiel had volledige Kubernetes-admin via IAM - Gebruikte kubectl om een geprivilegieerde pod te maken - Ontsnapte naar node - Roottoegang tot de hele cluster Wat we dachten dat we goed deden: - Dashboard was alleen-lezen - Geheimen waren versleuteld in rust - Netwerkbeleid was ingesteld - Regelmatige beveiligingsupdates Wat we misten: - Dashboard mag helemaal niet blootgesteld worden - Serviceaccounts moeten het principe van de minste privilege volgen - Geheimen mogen geen AWS-gegevens bevatten (gebruik in plaats daarvan IRSA) - Pod Security Policies werden niet afgedwongen - Toegang tot nodes was niet verhard De oplossing duurde 2 weken: - Verwijderde het Kubernetes-dashboard volledig - Implementeerde IRSA voor alle pod AWS-toegang - Toegepaste strikte PSPs/Pod Security Standards - Audit van alle RBAC-machtigingen - Regelmatige penetratietests Kosten: $24K voor de pentest Waarde: Voorkomen wat een catastrofale inbreuk had kunnen zijn