Migrarea Kubernetes aproape că ne-a ucis startup-ul. Unde am fost: - 8 instanțe EC2 - Ansible pentru implementări - Plictisitor, dar funcțional - Factură AWS de 1200 USD/lună De ce am migrat: - Noul investitor a căutat "cloud-native" - Inginerii au vrut experiență K8 - Concurenții îl foloseau - Părea viitorul 6 luni mai târziu: - 3 ingineri care petrec normă întreagă pe K8 - Factură AWS la 4500 USD/lună - Implementările au durat mai mult decât înainte - Mai multe întreruperi, nu mai puține - Dezvoltarea produsului a stagnat Am revenit: - Mutat la ECS Fargate - Migrare de 2 săptămâni - Înapoi la 1800 USD/lună - Inginerii revin la caracteristici K8s este uimitor pentru scară. Nu eram la scară. Tehnologia ar trebui să rezolve problemele pe care le aveți de fapt.

S-a adăugat compresie gzip la API-ul nostru. Dimensiunea răspunsului a scăzut cu 85%, latența a scăzut cu 60%. Înainte de compresie: - Răspuns mediu: 240 KB - Timp de transfer: 400ms - Costul lățimii de bandă: 220 USD/lună După compresie: - Răspuns mediu: 36 KB - Timp de transfer: 48ms - Costul lățimii de bandă: 70 USD/lună Middleware de compresie adăugat Rezultatele: - Timp de încărcare: 88% mai rapid - Lățime de bandă: 68% reducere

Un tester de penetrare a obținut acces root la clusterul nostru Kubernetes în 15 minute. Iată ce au exploatat. Lanțul de atac: - S-a găsit tabloul de bord Kubernetes expus (răul nostru) - Tabloul de bord avea un cont de serviciu doar pentru vizualizare (am crezut că este sigur) - Contul de serviciu ar putea lista secrete în toate spațiile de nume - A găsit acreditările AWS într-un secret - A utilizat acreditările AWS pentru a accesa profilul instanței EC2 - Profilul instanței avea administrator Kubernetes complet prin IAM - A folosit kubectl pentru a crea pod privilegiat - A scăpat în nod - Acces root la întregul cluster Ce am crezut că am făcut bine: - Tabloul de bord a fost doar în citire - Secretele au fost criptate în repaus - Politicile de rețea erau în vigoare - Actualizări regulate de securitate Ce am ratat: - Tabloul de bord nu ar trebui să fie expus deloc - Conturile de serviciu au nevoie de principiul privilegiului minim - Secretele nu ar trebui să conțină acreditări AWS (utilizați în schimb IRSA) - Politicile de securitate ale podurilor nu au fost aplicate - Accesul la nod nu a fost întărit Remedierea a durat 2 săptămâni: - S-a eliminat complet tabloul de bord Kubernetes - Implementat IRSA pentru toate accesul AWS pod - S-au aplicat standarde stricte de securitate PSP-uri/Pod-uri - Auditați toate permisiunile RBAC - Teste de penetrare regulate Cost: 24K USD pentru pentest Valoare: A prevenit ceea ce ar fi putut fi o breșă catastrofală