В начале года мы уже писали на канале про инструмент seccomp-diff. И сейчас автор данного инструмента (широко известный в узких кругах Mark 'Antitree' Manning) сделал пост у себя в блоге под названием "Seccomp-Diff: Syscall Accountability Tool". И если кратко описать суть данной заметки, то его отлично описывает одна фраз из него: "Setting seccomp profiles is undeniably a great way to harden your container in principle, but in practice, it loads up two guns to shoot at your foot." =)

Действительно очень многие не понимают насколько вообще сложно сформировать полноценный custom seccomp profile и поддерживать его в актуальном состоянии для своего приложения. Что в конечном счете приводит к выстрелу себе в ногу ...

P.S. И напоминаем, что сегодня в 11:00 мы проведем вебинар "Предотвращение Runtime угроз в контейнерах и Kubernetes". Для всех участников мы подготовили очень полезный подарок ;)

В блоге разработчика CNI Calico вышла интересная статья "Calico Whisker & Staged Network Policies: Secure Kubernetes Workloads Without Downtime". Из данной статьи вы узнаете:

1) Про новый тип политик - Staged Network Policy, которые призваны облегчить тестирование сетевых политик, без поспешного использования enforce режима
2) Как компонент Whisker UI позволяет анализировать влияние сетевых политик на трафик
3) О режиме установке Calico for Policy, который позволяет в существующий кластер, на CNI отличном от Calico привнести чисто ее сетевые политики и работать с ними поверх чужого CNI!
4) Что перевод сетевой политики из такого отладочного режима в enforce это просто замена kind: StagedNetworkPolicy на kind: NetworkPolicy от Calico
5) О новом тестовом приложении yaobank (“yet-another-bank”), с которым можно развлекаться и проводить те или иные тесты

Всем хороших выходных!