Producao Segura de Containers com Kubernetes e CoreOS - QCONSP 2017
Transferir como PPTX, PDF0 gostou297 visualizações
O documento aborda a produção segura de containers com Kubernetes e CoreOS, destacando problemas como lentidão na infraestrutura e um aumento na complexidade e diversidade das plataformas. Apresenta soluções para segurança, segregação de projetos e controle de recursos, ressaltando a importância de auditoria e rastreabilidade. Também discute desafios na segregação de rede e propõe mecanismos de controle de acesso e comunicação entre containers.
Producao Segura de Containers com Kubernetes e CoreOS - QCONSP 2017
- 1. Produção segura de Containers com Kubernetes e CoreOS
- 2. Os problemas originais ● Lentidão na criação de Infraestrutura ● Lentidão na resolução de problemas ● Diversidade de plataformas cada vez maior ● Soluções cada vez mais complexas ● Falta de um padrão de produção de serviços ● Crescimento exponencial de servidores
- 5. Os novos problemas - Segurança Novas soluções trazem novos problemas :(
- 6. Os novos problemas - Segurança 1) Infraestrutura segura para produção de Containers 2) Novos poderes para o desenvolvimento a) Desenvolvimento define recursos b) Nova mentalidade: Viabilizar e auditar ao invés de restringir e embarreirar 3) Projetos de clientes distintos coexistindo na mesma infraestrutura física 4) O fim das redes lógicas (e da segmentação física)
- 8. Problema 1 - Infra para produção de Containers CoreOS Container Linux - Sistema minimalista para execução de Containers Fonte: https://coreos.com/products/container-linux-subscription/
- 9. Problema 1 - Infra para produção de Containers Container Linux - Atualização Fonte: https://infoslack.com/devops/coreos-first-impressions
- 10. Problema 2 - Grandes poderes, grandes responsabilidades
- 11. Problema 2 - Grandes poderes, grandes responsabilidades
- 12. Problema 2 - Grandes poderes, grandes responsabilidades ● Para cada acesso à API do Kubernetes uma entrada de auditoria é gerada, com as seguintes informações: ○ ID da requisição ○ Quando ○ Quem (usuário e IP) ○ Onde (namespace e objeto do Kubernetes) ○ Conseguiu? - Essa auditoria é uma linha à parte, com o mesmo ID da requisição e o Return Code da transação ● Demo time
- 13. Problema 3 - Segregação de projetos e papéis
- 14. Problema 3 - Segregação de papéis e projetos ● Cada um no seu quadrado ○ Desenvolvedor ○ Gerente de Projeto ○ Administrador do ambiente ● Controle de recursos - Quotas e limites. ○ Pay per Use - Mas sem acabar com os recursos do ambiente ○ CPU e memória, quantidade de PODs, Containers, objetos, etc ● Demo Time
- 15. Problema 4 - Segregação de rede ● A maior preocupação das equipes de Segurança ○ Uma aplicação chamando outra indevidamente ○ Uma aplicação chamando o ambiente tradicional indevidamente ○ Uma aplicação indo na Internet indevidamente (Facebook, Wikipedia..) ○ Falta de rastreabilidade de rede (quem chamou e quando?) ○ Normas federais, Sindicâncias, auditorias, Polícia Federal :)
- 16. Problema 4 - Segregação de rede
- 17. Problema 4 - Segregação de rede ● Containers não tem IP fixo ○ Regras aplicadas por ‘labels’ ○ Regras com origem de uma label (namespace, deployment) e com destino a outra label e porta ○ Saída para Internet controlada por proxy autenticado - WIP ○ “Segmentação” da rede de Containers - Homologação e Produção ○ Saída para rede tradicional controlada por Firewall Lógico ○ Subsistema de rede: Calico ● Demo time
- 18. Dúvidas? Agradeço pela atenção. Ricardo Pchevuzinske Katz ricardo.katz@serpro.gov.br ricardo.katz@gmail.com @katzsp