Tim
security through obscurity != good practice
хоть и распространено для таких кейсов
Tim
еще 5% это обновления и работа с персоналом)
Maksim
еще 5% это обновления и работа с персоналом)
Работа с персоналом это 99.9% потому что Все взломы всегда из Inside
neb0t
ну каноник - это VPC и рулить тачками с мастера. А если у меня не виртуалка, а скажем 2 он-метала - тогда нужно квм юзать или обьединять по тунелю и строить как обычно?
G72K
Ничего не решает проблемы безопасности. Безопасность это про слои. Каждый слой пробиваем на практике при наличии времени
Tim
думаю если кто-то поставил цель взломать конкретную систему - это действительно лишь вопрос времени
Maksim
Ничего не решает проблемы безопасности. Безопасность это про слои. Каждый слой пробиваем на практике при наличии времени
Не существует не ломаемых систем, взлом люьбой системы это вопрос денег..и только денег-)
Tim
защититься по идее стоит от компрометации важных данных
Tim
и от ботов различных
Maksim
Стоимость взлома vs стоимоть результата
Tim
exactly
надо найти баланс
Tim
но я думаю в случае когда часть инфры прячут в private обусловлено как раз нецелесообразностью тратить деньги на работу с персоналом, обновления, fw - точнее на контроль всего этого, иначе пострадает то, что приносит основной доход
Tim
таков уж мир сейчас
G72K
защититься по идее стоит от компрометации важных данных
Equifax потеряла самые значимые данные 40% (точно не помню, но порядок такой) населения США: номера, адреса, даты рождения. Ничего с ними не стало, всем пофиг, не удивлюсь если даже бонусов не лишились :)
Tim
ну то что это им сейчас не аукнулось ничего не значит
может злоумышленник не продал еще)
к тому же один пример не показатель, есть полно случаев когда тупо бизнес закрылся из-за кражи данных
Tim
просто если рассуждать не в этом ключе, а в обратном - получается фиг с ней с безопасностью)
это дорого, это очень сложно, все равно сломают, кража данных никому не вредит особо
но это не так
G72K
просто если рассуждать не в этом ключе, а в обратном - получается фиг с ней с безопасностью)
это дорого, это очень сложно, все равно сломают, кража данных никому не вредит особо
но это не так
Так так и живут же, "фиг с ней" и все такое :) для галочки делают что-то, на практике не то что аудит кода и пентесты, просто патчат серевер через год. А уж что в контейнерах творится вообще никто не знает.
Tim
Расскажите
про криптовалюты слышали?)) в основном это касается различных платежных систем, посредников по транзакциям, теперь вот криптовалюты - отличная мишень
http://www.bbc.com/news/technology-42409815
Tim
понятно что пиццерию или отель не закроют
Tim
однако ж это бизнес
и однако ж он закрылся
G72K
В CI вообще обычно бардак, а там как раз больше всего внешнего неизвестного кода запускается и из CI руки до всех окружений дотянуться могут, часто даже напрямую в прод
Tim
ну это где как
G72K
Tim
ну здрасте
Tim
“Да́нные — зарегистрированная информация[1]:439; представление фактов, понятий или инструкций в форме, приемлемой для общения, интерпретации, или обработки человеком или с помощью автоматических средств (ISO/IEC/IEEE 24765-2010)”
Tim
Данные — формы представления информации, с которыми имеют дело информационные системы и их пользователи
Tim
цитирую википедию
Tim
где ж Ваши деньги-то) высечены в камне?)
Tim
деньги - самые что ни на есть данные, информация почти в чистом виде
sherzod
Кто-нить юзает helm?
G72K
ну это где как
Да веде. Сужу по себе конечно, но прям везде. На CI в разрезембезопасности никто не смотрит. Любой джуниор на испытательном сроке может создать/поменять билд который docker pull все свежие образы со всей организации на этой билл ноде. Там часто внутри много интересного найти можно.
Tim
у нас смотрят - мы весь CI гоняем в AWS CodeBuild
Tim
весь CI управляется не руками
Tim
это полный IaC, с пуллреквестами, ревью и все такое
Tim
никуда за периметр AWS-аккаунта ничего не выходит
Tim
все secrets и прочая лабуда также там хранится
Tim
аккаунт скомпрометировать тоже особо не получится - для каждой активности свой юзер с ролью и тп
Tim
я уверен что ровно то же самое можно построить и в частном облаке
sherzod
Helm
Интересно, как оно для production-а?
У меня use case такой: есть куб и надо его периодически деплоить на gcloud, но и запускать локально на minikube
G72K
у нас смотрят - мы весь CI гоняем в AWS CodeBuild
С code build не работал. Там произвольные shell скрипты запускать можно? IAM policy прям на каждый пайплайн настраиваете или лепите один общий на все?
G72K
sherzod
ну да.. написать скриптик это конечно лучше чем ещё одну сущность вводить
но вдруг helm ну ващеее
sherzod
крутой и весь такой удобный
sherzod
хотел дать ему шанс
G72K
G72K
Удобный - ksonnet. Эдакий jq на стероидах с готовыми объектами под все сущности кубернетеса. От всей души советовать не могу, т.к. пока сам шишки набиваю, но выглядит хорошо
Tim
С code build не работал. Там произвольные shell скрипты запускать можно? IAM policy прям на каждый пайплайн настраиваете или лепите один общий на все?
полиси - зависит от окружения, но не проблема нагенерить под каждый пл свой
в кодбилд камтомные образы грузятся, хоть дженкинс в него кладите, хоть бсд с cibot хоть маленький баш на скретче
образы сами собираем
sherzod
Удобный - ksonnet. Эдакий jq на стероидах с готовыми объектами под все сущности кубернетеса. От всей души советовать не могу, т.к. пока сам шишки набиваю, но выглядит хорошо
Спасибо, гляну. а он gcloud умеет или там двухшагово получается?
Tim
кастомные* ))
G72K
Не проблема то не проблема. Вангую, что у вас на практике никто не заморачивается, билдят все под одной IAM role , откуда есть доступ ко всему kms и проч.
Tim
верно вангуете
но я туда призван это выпилить и выпиливаю)
не все так быстро, но конечная цель то о чем Вы говорите
Tim
и жто реализуемо
G72K
Спасибо, гляну. а он gcloud умеет или там двухшагово получается?
Он умеет в Kubernetes API , но я все равно его '| kubectl apply -f -' для надежности, т.к. наелся с хелмом уже
sherzod
Понял, спасибо
Anonymous
уууу
Anonymous
▫️Какой у вас проект или где работаете?
сервис автоматизации интернет рекламы
▫️В чём вы специалист?
linux, configuration management, containers, ci, monitoring
▫️Чем можете быть интересны или полезны сообществу ?
обмен опытом, обсуждение проблем и путей их решения
▫️Чем интересно сообщество вам?
обмен опытом, обсуждение проблем и путей их решения, новости
▫️Откуда вы?
Москва
▫️Как узнали про группу?
от коллеги
#whois
Logan
Anonymous
не понял вопрос
Anonymous
от кого работаете? от Сухаря?
Anonymous
куда я попал ? выпустите !
Anonymous
спасибо, мил человек
Aleksey
А вы дружелюбные
Etki
ребят, может снизим градус оффтопа?
Mike
кстати, господа. А на какой оси крутите кубер в баре-метал?
Anonymous
кстати, господа. А на какой оси крутите кубер в баре-метал?
я еще не кручу, но собираюсь раскрутить на coreOS
Anonymous
ubuntu 16.04
Mike
у нас в проде, с убунтой что-то не срослось даже с LTS
Anonymous
нет дефолтный
Mikhail [azalio]
cent0s
Anonymous
а на что перелезли с убунты ?
Mike
сначала debian 8
Mike
теперь 9
Anonymous
и в чём были проблемы ?
Mike
на 8 c кубером и докером ваще швах