DevSecOps Talks

Security Observability в Kubernetes: не логами едиными!

Всем привет!

Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.

Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.

Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.

В статье Автор рассматривает подход, который может это исправить.

За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.

Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.

В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.

Fatih Koç

Security Observability in Kubernetes Goes Beyond Logs

Build security observability in Kubernetes with audit logs, Falco runtime detection, and correlated security telemetry for faster incident response.

👍4❤1

www.tgoop.com/devsecops_weekly/1340

1.4K viewsOct 21 at 04:21

Security Observability в Kubernetes: не логами едиными!

Всем привет!

Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.

Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.

Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.

В статье Автор рассматривает подход, который может это исправить.

За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.

Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.

В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.

BY DevSecOps Talks