Migrace Kubernetes málem zabila náš startup. Kde jsme byli: - 8 Instance EC2 - Použitelné pro nasazení - Nudné, ale fungující - $1200/měsíc Účet AWS Proč jsme migrovali: - Nový investor chce "cloud-native" - Inženýři chtěli zkušenosti s K8s - Konkurence jej používala - Vypadalo to jako budoucnost O 6 měsíců později: - 3 inženýři tráví plný úvazek na K8s - Účet AWS za 4500 $/měsíc - Nasazení trvalo déle než dříve - Více výpadků, ne méně - Vývoj produktu se zastavil Vrátili jsme se zpět: - Přesunuto do ECS Fargate - 2 týdenní migrace - Zpět na 1800 $ měsíčně - Inženýři se vracejí k funkcím K8s je úžasný pro měřítko. Nebyli jsme ve velkém měřítku. Technologie by měla řešit problémy, které skutečně máte.

Přidána komprese gzip do našeho API. Velikost odezvy klesla o 85 %, latence klesla o 60 %. Před kompresí: - Průměrná odpověď: 240 KB - Doba přenosu: 400 ms - Náklady na šířku pásma: 220 $ / měsíc Po stlačení: - Průměrná odpověď: 36 KB - Doba přenosu: 48 ms - Náklady na šířku pásma: 70 $ / měsíc Přidán middleware pro kompresi Výsledky: - Doba načítání: o 88 % rychlejší - Šířka pásma: 68% snížení

Penetrační tester získal root přístup k našemu Kubernetes clusteru za 15 minut. Zde je to, co využili. Řetězec útoků: - Nalezen vystavený řídicí panel Kubernetes (náš špatný) - Dashboard měl účet služby pouze pro prohlížení (mysleli jsme si, že je to bezpečné) - Účet služby může vypsat tajné kódy ve všech oborech názvů - Nalezení přihlašovacích údajů AWS v tajném kódu - Použité přihlašovací údaje AWS pro přístup k profilu instance EC2 - Profil instance měl plnou správu Kubernetes prostřednictvím IAM - Použil kubectl k vytvoření privilegovaného podu - Escapováno do uzlu - Root přístup k celému clusteru Co jsme si mysleli, že jsme udělali správně: - Dashboard byl pouze pro čtení - Tajné kódy byly v klidovém stavu zašifrovány - Byly zavedeny síťové politiky - Pravidelné aktualizace zabezpečení Co jsme vynechali: - Dashboard by neměl být vůbec vystaven - Účty služeb potřebují princip nejnižších oprávnění - Tajné kódy by neměly obsahovat přihlašovací údaje AWS (místo toho použijte IRSA) - Zásady zabezpečení podů nebyly vynuceny - Přístup k uzlu nebyl posílen Oprava trvala 2 týdny: - Zcela odstraněn řídicí panel Kubernetes - Implementováno IRSA pro všechny pod AWS přístupy - Uplatňování přísných bezpečnostních standardů pro poskytovatele platebních služeb/pody - Auditovat všechna oprávnění RBAC - Pravidelné penetrační testování Cena: 24 tisíc dolarů za pentest Hodnota: Zabránilo se tomu, co mohlo být katastrofickým narušením