SlideShare uma empresa Scribd logo

K8s cluster segurança políticas

Transferir como PPTX, PDF
Talita Bernardes Pereira
Talita Bernardes Pereira

Segurança e uso de containers.

Tecnologia
1 de 26
Deixando seu cluster k8s em quarentena: Sobre políticas e controle de acesso
WHOAMI Github: https://github.com/Talits Linkedin: https://www.linkedin.com/in/talits Twitter: https://twitter.com/talits_bp Whoami: ● Trabalho na Loggi; ● Sou mãe; ● Adoro essas paradas de contar história; ● Amo ler coisas aleatórias e amo café.
K8S AO INFINITO E ALÉM
K8s ao infinito e além ● 84% usam containers em produção; ● 78% rodam Kubernetes em produção; ● 19% possuem > 5000 containers rodando em produção. https://www.cncf.io/wp-content/uploads/2020/03/CNCF_Survey_Report.pdf
K8s ao infinito e além ● E por fim percebemos que em segundo lugar vemos que as mudanças refletem em segurança usando/deployando containers (40%).
Criando um Cluster Seguro
PROBLEMA VS. SOLUÇÕES Temos muitas (nativas, corps, de provedores cloud e etc.) Soluções Um cluster de kubernetes default ou mal configurado gera problemas como vulnerabilidades de segurança, problemas de rede, falhas de infraestrutura entre outros. Problema
Alguns Exemplos ● RBAC ● ABAC ● Vault ● IAM Authenticator ● Networking Policies ● Service Mesh ● Webhook
“Define um paradigma de controle de acesso pelo qual os direitos de acesso são concedidos aos usuários por meio do uso de políticas que combinam atributos.” ABAC (Attribute-based access control) Detalharemos alguns
Detalharemos alguns RBAC (Role-based access control) “É um método de regular o acesso a recursos de computador ou rede com base nas funções de usuários individuais em uma empresa. Nesse contexto, o acesso é a capacidade de um usuário individual de executar uma tarefa específica, como exibir, criar ou modificar um arquivo.”
Detalharemos alguns Networking Policies Por default os pods não são isolados, podemos isolá-los em políticas de rede, que podem ser do tipo: ● Ingress : Entrada ● Egress : Saída
Service Mesh
Service Mesh
Virtual Service: Define um conjunto de regras de roteamento de tráfego a serem aplicadas quando um host é endereçado. Cada regra de roteamento define critérios de correspondência para o tráfego de um protocolo específico. Se o tráfego for correspondido, ele será enviado para um serviço de destino nomeado. Destination Rule: Define políticas que se aplicam ao tráfego destinado a um serviço após o roteamento.
Gateway: Descreve um balanceador de carga que opera na borda da malha, recebendo conexões HTTP / TCP de entrada ou saída. A especificação descreve um conjunto de portas que devem ser expostas, o tipo de protocolo a ser usado, etc. Service Entry: Permite adicionar entradas adicionais ao registro de serviço interno do Istio, para que os serviços descobertos automaticamente na malha possam acessar / rotear para esses serviços especificados manualmente. Uma entrada de serviço descreve as propriedades de um serviço (nome DNS, portas, protocolos, endpoints, etc)
Demo
Deixar seu cluster em “quarentena”, faz com que ele permaneça saudável.
Dicas ● Devops Nativo de Nuvem com Kubernetes ● Kubernetes up and running ● Kubernetes Doc ● Istio Doc
Dúvidas, anseios, desabafos?
Thanks! Github: https://github.com/Talits Linkedin: https://www.linkedin.com/in/talits Twitter: https://twitter.com/talits_bp

Recomendados

Elastic Meetup Florianópolis - Apresentação Thiago Diniz
Elastic Meetup Florianópolis - Apresentação Thiago DinizElastic Meetup Florianópolis - Apresentação Thiago Diniz
Elastic Meetup Florianópolis - Apresentação Thiago DinizThiago Murilo Diniz
 
Sql SAT #147 Problemas de Fragmentção com TLog
Sql SAT #147 Problemas de Fragmentção com TLogSql SAT #147 Problemas de Fragmentção com TLog
Sql SAT #147 Problemas de Fragmentção com TLogMarcus Bittencourt
 
Open Vpn
Open VpnOpen Vpn
Open VpnHudson Augusto
 
pfSense - Configuração do proxy
pfSense - Configuração do proxypfSense - Configuração do proxy
pfSense - Configuração do proxyCavalcante Treinamentos
 
Modelo ozil camada de transporte
Modelo ozil camada de transporteModelo ozil camada de transporte
Modelo ozil camada de transporte2lindos
 
pfSense - VPN do tipo site-to-site
pfSense - VPN do tipo site-to-sitepfSense - VPN do tipo site-to-site
pfSense - VPN do tipo site-to-siteCavalcante Treinamentos
 
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?tdc-globalcode
 
pfSense - VPN do tipo Remote Acess
pfSense - VPN do tipo Remote AcesspfSense - VPN do tipo Remote Acess
pfSense - VPN do tipo Remote AcessCavalcante Treinamentos
 

Recomendados

Elastic Meetup Florianópolis - Apresentação Thiago Diniz
Elastic Meetup Florianópolis - Apresentação Thiago DinizElastic Meetup Florianópolis - Apresentação Thiago Diniz
Elastic Meetup Florianópolis - Apresentação Thiago DinizThiago Murilo Diniz
 
Sql SAT #147 Problemas de Fragmentção com TLog
Sql SAT #147 Problemas de Fragmentção com TLogSql SAT #147 Problemas de Fragmentção com TLog
Sql SAT #147 Problemas de Fragmentção com TLogMarcus Bittencourt
 
Open Vpn
Open VpnOpen Vpn
Open VpnHudson Augusto
 
pfSense - Configuração do proxy
pfSense - Configuração do proxypfSense - Configuração do proxy
pfSense - Configuração do proxyCavalcante Treinamentos
 
Modelo ozil camada de transporte
Modelo ozil camada de transporteModelo ozil camada de transporte
Modelo ozil camada de transporte2lindos
 
pfSense - VPN do tipo site-to-site
pfSense - VPN do tipo site-to-sitepfSense - VPN do tipo site-to-site
pfSense - VPN do tipo site-to-siteCavalcante Treinamentos
 
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?
TDC2018FLN | Trilha Ruby - "Ainda Ruby?" - como assim?tdc-globalcode
 
pfSense - VPN do tipo Remote Acess
pfSense - VPN do tipo Remote AcesspfSense - VPN do tipo Remote Acess
pfSense - VPN do tipo Remote AcessCavalcante Treinamentos
 
Monolith - An epic journey
Monolith - An epic journeyMonolith - An epic journey
Monolith - An epic journeyFabricio Goncalves
 
Istio service mesh
Istio service meshIstio service mesh
Istio service meshHumberto Streb
 
Blockchain Day RJ
Blockchain Day RJBlockchain Day RJ
Blockchain Day RJJonathan Baraldi
 
Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017Rodrigo Stefani Domingues
 
Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6Jeff Prestes
 
JBoss Clustering
JBoss ClusteringJBoss Clustering
JBoss ClusteringMarcio Marinho
 
Docker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na KonkerDocker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na KonkerAndré Rocha
 
Comet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - ResumoComet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - ResumoHanderson Frota
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Do Microservice ao Service Mesh
Do Microservice ao Service MeshDo Microservice ao Service Mesh
Do Microservice ao Service MeshAndré Rocha
 
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...Kelver Merlotti
 
Livro cisco
Livro ciscoLivro cisco
Livro ciscoJose Ronildo Franceschini
 
Delphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTIDelphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTIMario Guedes
 
São Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom PolicesSão Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom PolicesGuilherme Pereira Silva
 
QoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxQoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxJuvenal Silva
 
Como um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenhoComo um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenhoDavid Robert Camargo de Campos
 
ASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis PaulinoASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis PaulinoComunidade NetPonto
 
Ntop
NtopNtop
NtopComandos Linux
 
aula-13-revisc3a3o.pdf
aula-13-revisc3a3o.pdfaula-13-revisc3a3o.pdf
aula-13-revisc3a3o.pdfAlexandreMarchioride1
 
Ambiente e Infraestrutura
Ambiente e InfraestruturaAmbiente e Infraestrutura
Ambiente e InfraestruturaFrederico de Figueiredo Siena
 
Linuxtips - a saideira
Linuxtips - a saideiraLinuxtips - a saideira
Linuxtips - a saideiraTalita Bernardes Pereira
 
7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momento7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momentoTalita Bernardes Pereira
 

Mais conteúdo relacionado

Semelhante a K8s cluster segurança políticas

Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017Rodrigo Stefani Domingues
 
Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6Jeff Prestes
 
Docker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na KonkerDocker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na KonkerAndré Rocha
 
Comet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - ResumoComet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - ResumoHanderson Frota
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Do Microservice ao Service Mesh
Do Microservice ao Service MeshDo Microservice ao Service Mesh
Do Microservice ao Service MeshAndré Rocha
 
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...Kelver Merlotti
 
Delphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTIDelphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTIMario Guedes
 
São Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom PolicesSão Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom PolicesGuilherme Pereira Silva
 
QoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxQoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxJuvenal Silva
 
Como um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenhoComo um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenhoDavid Robert Camargo de Campos
 
ASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis PaulinoASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis PaulinoComunidade NetPonto
 

Semelhante a K8s cluster segurança políticas (20)

Monolith - An epic journey
Monolith - An epic journeyMonolith - An epic journey
Monolith - An epic journey
 
Istio service mesh
Istio service meshIstio service mesh
Istio service mesh
 
Blockchain Day RJ
Blockchain Day RJBlockchain Day RJ
Blockchain Day RJ
 
Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017Quebrando o monolito com microserviços - TDC 2017
Quebrando o monolito com microserviços - TDC 2017
 
Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6Começando com Quorum - versão 2.6
Começando com Quorum - versão 2.6
 
JBoss Clustering
JBoss ClusteringJBoss Clustering
JBoss Clustering
 
Docker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na KonkerDocker SP - Orquestrando docker via Marathon e Mesos na Konker
Docker SP - Orquestrando docker via Marathon e Mesos na Konker
 
Comet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - ResumoComet - ReverseAjax com DWR - Resumo
Comet - ReverseAjax com DWR - Resumo
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
 
Do Microservice ao Service Mesh
Do Microservice ao Service MeshDo Microservice ao Service Mesh
Do Microservice ao Service Mesh
 
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
Datasnap avançado - Respostas para um sistema robusto - Embarcadero Conferenc...
 
Livro cisco
Livro ciscoLivro cisco
Livro cisco
 
Delphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTIDelphi Conference 2012 - Programação Baseado em Regras com RTTI
Delphi Conference 2012 - Programação Baseado em Regras com RTTI
 
São Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom PolicesSão Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
São Paulo MuleSoft Meetup - Unwired API Led & Custom Polices
 
QoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando LinuxQoS e serviços diferenciados usando Linux
QoS e serviços diferenciados usando Linux
 
Como um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenhoComo um grande sistema REST funciona - arquitetura e desempenho
Como um grande sistema REST funciona - arquitetura e desempenho
 
ASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis PaulinoASP.Net Performance – A pragmatic approach - Luis Paulino
ASP.Net Performance – A pragmatic approach - Luis Paulino
 
Ntop
NtopNtop
Ntop
 
aula-13-revisc3a3o.pdf
aula-13-revisc3a3o.pdfaula-13-revisc3a3o.pdf
aula-13-revisc3a3o.pdf
 
Ambiente e Infraestrutura
Ambiente e InfraestruturaAmbiente e Infraestrutura
Ambiente e Infraestrutura
 

Mais de Talita Bernardes Pereira

7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momento7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momentoTalita Bernardes Pereira
 
Nem só de cultura vive o DevOps - Campus Party
Nem só de cultura vive o DevOps - Campus PartyNem só de cultura vive o DevOps - Campus Party
Nem só de cultura vive o DevOps - Campus PartyTalita Bernardes Pereira
 

Mais de Talita Bernardes Pereira (6)

Linuxtips - a saideira
Linuxtips - a saideiraLinuxtips - a saideira
Linuxtips - a saideira
 
7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momento7 masters - Containers o novo in do momento
7 masters - Containers o novo in do momento
 
Entendendo os Porquês do seu servidor
Entendendo os Porquês do seu servidorEntendendo os Porquês do seu servidor
Entendendo os Porquês do seu servidor
 
Nem só de cultura vive o DevOps - Campus Party
Nem só de cultura vive o DevOps - Campus PartyNem só de cultura vive o DevOps - Campus Party
Nem só de cultura vive o DevOps - Campus Party
 
Desafios e Produtividade com Containers
Desafios e Produtividade com ContainersDesafios e Produtividade com Containers
Desafios e Produtividade com Containers
 
Workshop kubernetes+kops
Workshop kubernetes+kopsWorkshop kubernetes+kops
Workshop kubernetes+kops
 

K8s cluster segurança políticas

  • 1. Deixando seu cluster k8s em quarentena: Sobre políticas e controle de acesso
  • 2. WHOAMI Github: https://github.com/Talits Linkedin: https://www.linkedin.com/in/talits Twitter: https://twitter.com/talits_bp Whoami: ● Trabalho na Loggi; ● Sou mãe; ● Adoro essas paradas de contar história; ● Amo ler coisas aleatórias e amo café.
  • 3. K8S AO INFINITO E ALÉM
  • 4. K8s ao infinito e além ● 84% usam containers em produção; ● 78% rodam Kubernetes em produção; ● 19% possuem > 5000 containers rodando em produção. https://www.cncf.io/wp-content/uploads/2020/03/CNCF_Survey_Report.pdf
  • 5. K8s ao infinito e além ● E por fim percebemos que em segundo lugar vemos que as mudanças refletem em segurança usando/deployando containers (40%).
  • 7.
  • 8. PROBLEMA VS. SOLUÇÕES Temos muitas (nativas, corps, de provedores cloud e etc.) Soluções Um cluster de kubernetes default ou mal configurado gera problemas como vulnerabilidades de segurança, problemas de rede, falhas de infraestrutura entre outros. Problema
  • 9. Alguns Exemplos ● RBAC ● ABAC ● Vault ● IAM Authenticator ● Networking Policies ● Service Mesh ● Webhook
  • 10. “Define um paradigma de controle de acesso pelo qual os direitos de acesso são concedidos aos usuários por meio do uso de políticas que combinam atributos.” ABAC (Attribute-based access control) Detalharemos alguns
  • 11. Detalharemos alguns RBAC (Role-based access control) “É um método de regular o acesso a recursos de computador ou rede com base nas funções de usuários individuais em uma empresa. Nesse contexto, o acesso é a capacidade de um usuário individual de executar uma tarefa específica, como exibir, criar ou modificar um arquivo.”
  • 12.
  • 13. Detalharemos alguns Networking Policies Por default os pods não são isolados, podemos isolá-los em políticas de rede, que podem ser do tipo: ● Ingress : Entrada ● Egress : Saída
  • 14.
  • 16.
  • 18. Virtual Service: Define um conjunto de regras de roteamento de tráfego a serem aplicadas quando um host é endereçado. Cada regra de roteamento define critérios de correspondência para o tráfego de um protocolo específico. Se o tráfego for correspondido, ele será enviado para um serviço de destino nomeado. Destination Rule: Define políticas que se aplicam ao tráfego destinado a um serviço após o roteamento.
  • 19. Gateway: Descreve um balanceador de carga que opera na borda da malha, recebendo conexões HTTP / TCP de entrada ou saída. A especificação descreve um conjunto de portas que devem ser expostas, o tipo de protocolo a ser usado, etc. Service Entry: Permite adicionar entradas adicionais ao registro de serviço interno do Istio, para que os serviços descobertos automaticamente na malha possam acessar / rotear para esses serviços especificados manualmente. Uma entrada de serviço descreve as propriedades de um serviço (nome DNS, portas, protocolos, endpoints, etc)
  • 20.
  • 21.
  • 22. Demo
  • 23. Deixar seu cluster em “quarentena”, faz com que ele permaneça saudável.
  • 24. Dicas ● Devops Nativo de Nuvem com Kubernetes ● Kubernetes up and running ● Kubernetes Doc ● Istio Doc