Міграція Kubernetes ледь не вбила наш стартап. Де ми були: - 8 екземплярів EC2 - Можливість розгортання - Нудно, але працює - $1200/місяць рахунок за AWS Чому ми мігрували: - Новий інвестор хотів бути «хмарним» - Інженери хотіли отримати досвід роботи з K8s - Цим користувалися конкуренти - Здавалося, що майбутнє Через 6 місяців: - 3 інженери, які працюють повний робочий день на K8 - Рахунок AWS від $4500/місяць - Розгортання тривало довше, ніж раніше - Більше відключень, а не менше - Розробка продукту застопорилася Ми відкотили назад: - Перейшов до ECS Fargate - 2 тижні міграції - Назад до $1800/місяць - Інженери повертаються до функцій K8s вражає масштабом. Ми не були в масштабі. Технології повинні вирішувати проблеми, які у вас насправді є.

Додано стиснення gzip до нашого API. Розмір відповіді впав на 85%, затримка знизилася на 60%. Перед стисненням: - Середня відповідь: 240 КБ - Час передачі: 400 мс - Вартість пропускної здатності: $220/місяць Після стиснення: - Середня відповідь: 36 КБ - Час передачі: 48 мс - Вартість пропускної здатності: $70/місяць Додано проміжне програмне забезпечення для стиснення Результатів: - Час завантаження: на 88% швидше - Пропускна здатність: зменшення на 68%

Тестувальник на проникнення отримав root-доступ до нашого кластера Kubernetes за 15 хвилин. Ось чим вони скористалися. Ланцюжок атаки: - Знайдено відкритою панеллю Kubernetes (наша погана) - На панелі приладів був сервісний обліковий запис лише для перегляду (ми думали, що це безпечно) - Сервісний обліковий запис може відображати секретні дані у всіх просторах імен - Знайдено облікові дані AWS у секреті - Використовувані облікові дані AWS для доступу до профілю екземпляра EC2 - Профіль екземпляра мав повний адміністратор Kubernetes через IAM - Використано kubectl для створення привілейованого pod - Втік до вузла - Root-доступ до всього кластера Що ми вважали правильним: - Панель приладів була доступна лише для читання - Таємниці були зашифровані в стані спокою - Були запроваджені мережеві політики - Регулярні оновлення безпеки Чого нам не вистачало: - Приладова панель взагалі не повинна бути виставлена - Сервісні облікові записи потребують принципу найменших привілеїв - Секрети не повинні містити облікові дані AWS (замість цього використовуйте IRSA) - Політики безпеки Pod не застосовувалися - Доступ до вузлів не був посилений Виправлення зайняло 2 тижні: - Повністю видалено панель Kubernetes - Реалізовано IRSA для всього доступу до pod AWS - Застосовані суворі стандарти безпеки PSP/Pod - Аудит усіх дозволів RBAC - Регулярне тестування на проникнення Вартість: $24 тис. за пентест Значення: запобіг тому, що могло б стати катастрофічним порушенням