4. K8s ao infinito e além
● 84% usam containers em
produção;
● 78% rodam Kubernetes em
produção;
● 19% possuem > 5000
containers rodando em
produção.
https://www.cncf.io/wp-content/uploads/2020/03/CNCF_Survey_Report.pdf
5. K8s ao infinito e além
● E por fim percebemos que
em segundo lugar vemos
que as mudanças refletem
em segurança
usando/deployando
containers (40%).
8. PROBLEMA VS. SOLUÇÕES
Temos muitas (nativas, corps,
de provedores cloud e etc.)
Soluções
Um cluster de kubernetes
default ou mal configurado
gera problemas como
vulnerabilidades de
segurança, problemas de
rede, falhas de infraestrutura
entre outros.
Problema
9. Alguns Exemplos
● RBAC
● ABAC
● Vault
● IAM Authenticator
● Networking Policies
● Service Mesh
● Webhook
10. “Define um paradigma de controle de acesso pelo qual os direitos de acesso são concedidos aos
usuários por meio do uso de políticas que combinam atributos.”
ABAC (Attribute-based access control)
Detalharemos alguns
11. Detalharemos alguns
RBAC (Role-based access control)
“É um método de regular o acesso a recursos de computador ou rede com base nas funções de
usuários individuais em uma empresa. Nesse contexto, o acesso é a capacidade de um usuário
individual de executar uma tarefa específica, como exibir, criar ou modificar um arquivo.”
12.
13. Detalharemos alguns
Networking Policies
Por default os pods não são isolados, podemos isolá-los em políticas de rede, que
podem ser do tipo:
● Ingress : Entrada
● Egress : Saída
18. Virtual Service: Define um conjunto de regras de roteamento de tráfego a serem aplicadas
quando um host é endereçado. Cada regra de roteamento define critérios de correspondência
para o tráfego de um protocolo específico. Se o tráfego for correspondido, ele será enviado para
um serviço de destino nomeado.
Destination Rule: Define políticas que se aplicam ao tráfego destinado a um serviço após o
roteamento.
19. Gateway: Descreve um balanceador de carga que opera na borda da malha, recebendo
conexões HTTP / TCP de entrada ou saída. A especificação descreve um conjunto de
portas que devem ser expostas, o tipo de protocolo a ser usado, etc.
Service Entry: Permite adicionar entradas adicionais ao registro de serviço interno do
Istio, para que os serviços descobertos automaticamente na malha possam acessar /
rotear para esses serviços especificados manualmente. Uma entrada de serviço descreve
as propriedades de um serviço (nome DNS, portas, protocolos, endpoints, etc)