docs(day1): Added talk and first lesson learned
This commit is contained in:
parent
5eb7104d3f
commit
cada98e724
77
content/day1/03_grundschutz.md
Normal file
77
content/day1/03_grundschutz.md
Normal file
@ -0,0 +1,77 @@
|
|||||||
|
---
|
||||||
|
title: IT-Grundschutz trifft Kubernetes: Praxisnahe Umsetzung sicherheitsrelevanter Anforderungen
|
||||||
|
weight: 3
|
||||||
|
tags:
|
||||||
|
- security
|
||||||
|
- compliance
|
||||||
|
---
|
||||||
|
|
||||||
|
> The talk is in german, so the notes will be a fun™ mix of german and english.
|
||||||
|
|
||||||
|
<!-- {{% button href="https://youtu.be/rkteV6Mzjfs" style="warning" icon="video" %}}Watch talk on YouTube{{% /button %}} -->
|
||||||
|
<!-- {{% button href="https://docs.google.com/presentation/d/1nEK0CVC_yQgIDqwsdh-PRihB6dc9RyT-" style="tip" icon="person-chalkboard" %}}Slides{{% /button %}} -->
|
||||||
|
|
||||||
|
Intro statement: "Ich weis nicht, ob wir hier gleich die Therapiegruppe eröffnen sollen"
|
||||||
|
Mantra: "Papier ist belastbar"
|
||||||
|
Von der HPA: Hamburg Port Authority
|
||||||
|
|
||||||
|
## Grundschutz Kompakt
|
||||||
|
|
||||||
|
- Warum:
|
||||||
|
- Weil wir kritische Infra sind (oder so ähnlich)
|
||||||
|
- Weil wir Zulieferer für kritische Infa sind
|
||||||
|
- Wie: Naja les halt einfach mal die BSI Anforderungen
|
||||||
|
|
||||||
|
## Herausforderungen
|
||||||
|
|
||||||
|
- Das liest sich alles immer echt träge
|
||||||
|
- APP4.4 für diesen Talk: Planung der Automatisierung mit CI/CD (Wenn du CI/CD Machtst darf das nur nach Planung erfolgen inkl Lifecycle und Teardown)
|
||||||
|
|
||||||
|
## Theorie -> Praxis
|
||||||
|
|
||||||
|
### Lösungsvorschlag für TODO:
|
||||||
|
|
||||||
|
1. IaC + CI
|
||||||
|
2. K8S als Orchestrator mit Hosted Control Plane (Cluster of Clusters)
|
||||||
|
3. Service Katalog (Helm Charts)
|
||||||
|
4. Rollout von neuen Clustern mit Argo und Helm
|
||||||
|
5. Externer Vault für Secrets, States und Certs
|
||||||
|
|
||||||
|
Multiple Node Types pro Cluster:
|
||||||
|
|
||||||
|
- Infra-Nodes: Zentral ausgerollte Services
|
||||||
|
- App-Nodes: Kundenanwendungen
|
||||||
|
|
||||||
|
TODO: Lösungsvorschlag Slide klauen
|
||||||
|
|
||||||
|
### Lösungsvorschlag für APP 4.4.A.7 Separierung der Netze
|
||||||
|
|
||||||
|
- Netztypen
|
||||||
|
- Physich
|
||||||
|
- Interne Overlay Netze: Pod, Service
|
||||||
|
- Idee: Netowrk Policies nutzen (Also außer flannel)
|
||||||
|
- Macht immer security happy: Deny all policy -> Enforcement: Kyverno
|
||||||
|
- Herausforderung: Projekte haben verschiedene Backends/Dienste und dann wird die DX eher so mittel
|
||||||
|
- Anderer Ansatz: Otterize zum generieren von Policies
|
||||||
|
- Hat einen Network-Mapper, der automatisch alle Verbindungen erkennt
|
||||||
|
- Generiert Intents aus dem beobachteten traffic
|
||||||
|
- Generiert Policies aus den intents
|
||||||
|
- Cool: Intents können auf DNS gehen und otterize löst dann für die policy die ips auf
|
||||||
|
|
||||||
|
### Lösungsvorschlag 4.4.A21 Regelmäßiger Neustart von Pods
|
||||||
|
|
||||||
|
> Kein Pod sollte länger als 24h laufen
|
||||||
|
> Die verfügbarkeit der Pods sollte sichergestellt werden
|
||||||
|
|
||||||
|
- Idee: Eigener Operator oder CronJob
|
||||||
|
- Aber: Kyverno kann das auch über ne annotation an namespace und/oder deployment
|
||||||
|
|
||||||
|
## Fazit
|
||||||
|
|
||||||
|
- IT-Grundschutz ist kein selbstzweck, sondern soll sicherheit im cluster sichtbar und messbar machen
|
||||||
|
- Die CNCF hat Projekte, die uns da weiterhelfen können
|
||||||
|
|
||||||
|
## Sonstiges
|
||||||
|
|
||||||
|
- Alles nicht security relevante is open source wegen öffentliche anstalt und so
|
||||||
|
- Die Freunde haben einen blog und veröffentlichen da schritt für schritt lösungsvorschläge
|
||||||
@ -4,4 +4,6 @@ title: Lessons Learned
|
|||||||
weight: 3
|
weight: 3
|
||||||
---
|
---
|
||||||
|
|
||||||
TODO:
|
## Mal anschauen
|
||||||
|
|
||||||
|
- Otterize für Netzwrok policies
|
||||||
Loading…
x
Reference in New Issue
Block a user