DEVSECOPS_WEEKLY Telegram 1340
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1340
DevSecOps Talks
Security Observability в Kubernetes: не логами едиными!

Всем привет!

Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.

Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.

Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.

В статье Автор рассматривает подход, который может это исправить.

За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.

Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.

В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.
Fatih Koç
Security Observability in Kubernetes Goes Beyond Logs
Build security observability in Kubernetes with audit logs, Falco runtime detection, and correlated security telemetry for faster incident response.
👍41
www.tgoop.com/devsecops_weekly/1340
1.26K views



tgoop.com/devsecops_weekly/1340
Create:
Last Update:

Security Observability в Kubernetes: не логами едиными!

Всем привет!

Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.

Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.

Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.

В статье Автор рассматривает подход, который может это исправить.

За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.

Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.

В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1340

View MORE
Open in Telegram


Telegram News

Date: |

To edit your name or bio, click the Menu icon and select “Manage Channel.” Unlimited number of subscribers per channel 3How to create a Telegram channel? When choosing the right name for your Telegram channel, use the language of your target audience. The name must sum up the essence of your channel in 1-3 words. If you’re planning to expand your Telegram audience, it makes sense to incorporate keywords into your name. Telegram users themselves will be able to flag and report potentially false content.
from us


Security Observability в Kubernetes: не логами едиными!

 DevSecOps Talks TG
web: 1340
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American