niggl/cnsmunich25
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
cnsmunich25/content/day1/03_grundschutz.md

2.7 KiB
Raw Blame History

title, weight, tags
title weight tags
IT-Grundschutz trifft Kubernetes: Praxisnahe Umsetzung sicherheitsrelevanter Anforderungen 3
security
compliance

The talk is in german, so the notes will be a fun™ mix of german and english.

Intro statement: "Ich weis nicht, ob wir hier gleich die Therapiegruppe eröffnen sollen" Mantra: "Papier ist belastbar" Von der HPA: Hamburg Port Authority

Grundschutz Kompakt

  • Warum:
    • Weil wir kritische Infra sind (oder so ähnlich)
    • Weil wir Zulieferer für kritische Infa sind
  • Wie: Naja les halt einfach mal die BSI Anforderungen

Herausforderungen

  • Das liest sich alles immer echt träge
  • APP4.4 für diesen Talk: Planung der Automatisierung mit CI/CD (Wenn du CI/CD Machtst darf das nur nach Planung erfolgen inkl Lifecycle und Teardown)

Theorie -> Praxis

Lösungsvorschlag für TODO:

  1. IaC + CI
  2. K8S als Orchestrator mit Hosted Control Plane (Cluster of Clusters)
  3. Service Katalog (Helm Charts)
  4. Rollout von neuen Clustern mit Argo und Helm
  5. Externer Vault für Secrets, States und Certs

Multiple Node Types pro Cluster:

  • Infra-Nodes: Zentral ausgerollte Services
  • App-Nodes: Kundenanwendungen

TODO: Lösungsvorschlag Slide klauen

Lösungsvorschlag für APP 4.4.A.7 Separierung der Netze

  • Netztypen
    • Physich
    • Interne Overlay Netze: Pod, Service
  • Idee: Netowrk Policies nutzen (Also außer flannel)
  • Macht immer security happy: Deny all policy -> Enforcement: Kyverno
  • Herausforderung: Projekte haben verschiedene Backends/Dienste und dann wird die DX eher so mittel
  • Anderer Ansatz: Otterize zum generieren von Policies
    • Hat einen Network-Mapper, der automatisch alle Verbindungen erkennt
    • Generiert Intents aus dem beobachteten traffic
    • Generiert Policies aus den intents
    • Cool: Intents können auf DNS gehen und otterize löst dann für die policy die ips auf

Lösungsvorschlag 4.4.A21 Regelmäßiger Neustart von Pods

Kein Pod sollte länger als 24h laufen Die verfügbarkeit der Pods sollte sichergestellt werden

  • Idee: Eigener Operator oder CronJob
  • Aber: Kyverno kann das auch über ne annotation an namespace und/oder deployment

Fazit

  • IT-Grundschutz ist kein selbstzweck, sondern soll sicherheit im cluster sichtbar und messbar machen
  • Die CNCF hat Projekte, die uns da weiterhelfen können

Sonstiges

  • Alles nicht security relevante is open source wegen öffentliche anstalt und so
  • Die Freunde haben einen blog und veröffentlichen da schritt für schritt lösungsvorschläge