Migracja do Kubernetes prawie zabiła nasz startup. Gdzie byliśmy: - 8 instancji EC2 - Ansible do wdrożeń - Nudne, ale działające - Rachunek AWS na poziomie 1200 USD/miesiąc Dlaczego się migraliśmy: - Nowy inwestor chciał 'cloud-native' - Inżynierowie chcieli doświadczenia w K8s - Konkurenci to używali - Wydawało się, że to przyszłość 6 miesięcy później: - 3 inżynierów pracujących na pełen etat nad K8s - Rachunek AWS na poziomie 4500 USD/miesiąc - Wdrożenia trwały dłużej niż wcześniej - Więcej awarii, a nie mniej - Rozwój produktu wstrzymany Wróciliśmy: - Przeszliśmy na ECS Fargate - 2-tygodniowa migracja - Z powrotem do 1800 USD/miesiąc - Inżynierowie z powrotem przy funkcjach K8s jest niesamowity dla skali. Nie byliśmy w skali. Technologia powinna rozwiązywać problemy, które naprawdę masz.

Dodano kompresję gzip do naszego API. Rozmiar odpowiedzi spadł o 85%, a opóźnienie spadło o 60%. Przed kompresją: - Średnia odpowiedź: 240 KB - Czas transferu: 400ms - Koszt pasma: 220 USD/miesiąc Po kompresji: - Średnia odpowiedź: 36 KB - Czas transferu: 48ms - Koszt pasma: 70 USD/miesiąc Dodano middleware kompresji Wyniki: - Czas ładowania: 88% szybciej - Pasmo: redukcja o 68%

Tester penetracyjny uzyskał dostęp do naszego klastra Kubernetes w 15 minut. Oto co wykorzystali. Łańcuch ataku: - Znalazł wystawiony na zewnątrz pulpit nawigacyjny Kubernetes (nasza wina) - Pulpit miał konto serwisowe tylko do odczytu (myśleliśmy, że to bezpieczne) - Konto serwisowe mogło wylistować sekrety we wszystkich przestrzeniach nazw - Znalazł dane uwierzytelniające AWS w sekrecie - Użył danych uwierzytelniających AWS, aby uzyskać dostęp do profilu instancji EC2 - Profil instancji miał pełne uprawnienia administratora Kubernetes przez IAM - Użył kubectl do stworzenia uprzywilejowanego poda - Wydostał się na węzeł - Uzyskał dostęp root do całego klastra Co myśleliśmy, że zrobiliśmy dobrze: - Pulpit był tylko do odczytu - Sekrety były szyfrowane w spoczynku - Polityki sieciowe były wdrożone - Regularne aktualizacje zabezpieczeń Co przeoczyliśmy: - Pulpit nie powinien być w ogóle wystawiony - Konta serwisowe muszą mieć zasadę najmniejszych uprawnień - Sekrety nie powinny zawierać danych uwierzytelniających AWS (użyj IRSA zamiast) - Polityki bezpieczeństwa poda nie były egzekwowane - Dostęp do węzła nie był wzmocniony Naprawa zajęła 2 tygodnie: - Całkowicie usunięto pulpit nawigacyjny Kubernetes - Wdrożono IRSA dla całego dostępu do AWS przez pod - Zastosowano surowe PSP/Standardy bezpieczeństwa poda - Audyt wszystkich uprawnień RBAC - Regularne testy penetracyjne Koszt: 24 tys. dolarów za testy penetracyjne Wartość: Zapobiegło to temu, co mogłoby być katastrofalnym naruszeniem