таких

а про что ?

1. https://www.youtube.com/watch?v=oyrzLfu7ZPE

2. https://www.youtube.com/watch?v=j9I4oeEXBO8

я про второй. Годный. Первый - тупо параллельно кодил. чтоб время не терять

короче, жопа.

Хороший доклад еще был от ЕПАМ про тестирование ансибль ролей

еще два доклада я видел на DevOps митапе в Москве по безопасности

это 3.Страх и ненависть DevSecOps_Юрий Шабалин (Swordfish Security) и 4.Управление секретами при помощи Hashicorp Vault в Авито_Сергей Носков (Avito)

3-говно. Продают свою платформу для интеграции разных тулов SAST-DAST. ХЗ хорошая ли. Но вряд ли

4. - хороший доклад, правда, но я его уже видел

короче, ОЧЕНЬ смешанные чувства

Хороший доклад еще был от ЕПАМ про тестирование ансибль ролей

Это там уже года полтора я к той молекуле тоже руки прикладывал )

я вот до сих пор не понимаю - как продают секреты в докерах ведь так или иначе - пароль для psql нужно передать в env.

я вот до сих пор не понимаю - как продают секреты в докерах ведь так или иначе - пароль для psql нужно передать в env.

у тебя внутри vault agent

секрет в env не передается

т.е. СНАРУЖИ докера его не хапнуть.

внутри - ну, да, жопа, но тут вообще все плохо, т.к. сам разработчик знает секрет и может его слить хоть на весь интернет

секрет в env не передается

Я видел как в енв суют рут токен от волта

истинная проблема курицы и яйца

1. https://www.youtube.com/watch?v=oyrzLfu7ZPE

доклад прям зашёл)

доклад прям зашёл)

альфабанковский????

альфабанковский????

да, я вот сам удивлён. но рассказывает хорошо. на нашу микрокоманду есть что применить.

он плохо рассказывает. Меня это и расстроило

но коли доклад зашел.. ну, ладно. здорово, что он хоть кому-то понравился

возможно, у меня просто слишком завышенные ожидания от реальности

он плохо рассказывает. Меня это и расстроило

разберем ? Что плохо-то ? Что дев должен при деплое лидировать ? Дак пусть лидирует хоть тапок, лишь бы факапов не было.

Мне важно не только ЧТО рассказывают, но и КАК

А К.О. все могут...

Мне важно не только ЧТО рассказывают, но и КАК

КО нужны - хороший источник набора ключевых фраз и образов для представления аудитории. То есть чисто практики презентации.

Даже спорить не буду

внутри - ну, да, жопа, но тут вообще все плохо, т.к. сам разработчик знает секрет и может его слить хоть на весь интернет

и профит в чём ? у нас ENV не в контейнере, а в процессе или как ?

и профит в чём ? у нас ENV не в контейнере, а в процессе или как ?

Максимально инкапсулировать получение секрета

Максимально инкапсулировать получение секрета

толку-то ? запроси на хостовой машине env процесса и читай в своё удовольствие.

толку-то ? запроси на хостовой машине env процесса и читай в своё удовольствие.

нет прямого доступа к хостовой машине. Это вообще ноды кубера. В отдельном периметре

с такими рассуждениями можно вообще ничего не безопасить

а тупо в репы класть ключи доступа. Да?

доклад можно здесь посмотреть https://www.youtube.com/watch?v=klC4ssaPHZY

нет прямого доступа к хостовой машине. Это вообще ноды кубера. В отдельном периметре

что от чего защищаем ? с контейнера внутрь хоста или с хоста ввнутрь контейнера ?

что от чего защищаем ? с контейнера внутрь хоста или с хоста ввнутрь контейнера ?

контейнер априори на хостовую машину не ходок. Убежать можно (контейнеризация не 100% железобетонная), но это сложно и маловероятно

а с хоста в контейнер разрабы не ходят. Только закрытый перечень сотрудников

а тупо в репы класть ключи доступа. Да?

ээ, ну нельзя до такого спускать ? у любого CD есть секреты.

ээ, ну нельзя до такого спускать ? у любого CD есть секреты.

ну, вот. А можно по этой шкале защищенности двигаться в другую сторону. До максимальной паранойи

ну, вот. А можно по этой шкале защищенности двигаться в другую сторону. До максимальной паранойи

именно в этом и вопрос - что от чего защищаем ? в чём баттхерт.

условно - от того, что любой в кубике сможет прочитать секреты plain text'ом

ВНЕ контейнера

ладно я понимаю, на одном проекте нет у нас CD - пользую волт. но в адекватной истории-то зачем ?

не понимаю.

есть кубик

в него деплоят 10 команд

сделай изоляцию

Так, и откуда он секреты читает ?

кто?

давай разберемся, что нас интересует

ссл сертификаты, пароли к базам и пр.

подключение к кубику - отдельная история

давай твой пример рассмотрим: есть кубик есть 10 команд девелоперов есть некие секреты сейчас они как-то там в env прокидываются. в чём проблема ?

в env можно прокидывать по-разному

да пофиг - пароли - проще всего.

в env можно прокидывать по-разному

ээ, в env можно разные велосипеды юзать но вроде в docker-мире способов ровно 2 ?

авитовцы предлагают НЕ засовывать env снаружи докера. А там внутри у них какая-то приблуда в энтрипойнт, которая все делает как надо

и потом еще и секреты в файлы раскладывает, которые доступны приложухе

авитовцы предлагают НЕ засовывать env снаружи докера. А там внутри у них какая-то приблуда в энтрипойнт, которая все делает как надо

файлы - безопаснее, чем env ?) сорта безопасности ?

хз, что безопаснее. Файлы существуют на эфемерной ФС контейнера

а блокчейном не шифруют ?)

и грохнутся при рестарте

да ты издеваешься

понятно, что это все условности

а env сохраняется при рестарте контейнера, ага.

да харе стебаться

посмотри доклад и сделай самостоятельные выводы из первоисточника

ссылку я дал

авитовцы предлагают НЕ засовывать env снаружи докера. А там внутри у них какая-то приблуда в энтрипойнт, которая все делает как надо

Небось изобрели велосипед вокруг какого нибудь консула ?

Небось изобрели велосипед вокруг какого нибудь консула ?

практически

Слушайте, а вы правда докер в проде используете?

да блять, сорта говна это всё. так или иначе - какой-то секрет приложухе надо передать - а дальше остальные секреты откроются. наболело. У меня ТД - фанат волта - как круто - мы же передали токен в приложуху - а она в обратку пароли отадала .. да херли толку-то.

Слушайте, а вы правда докер в проде используете?

да

да блять, сорта говна это всё. так или иначе - какой-то секрет приложухе надо передать - а дальше остальные секреты откроются. наболело. У меня ТД - фанат волта - как круто - мы же передали токен в приложуху - а она в обратку пароли отадала .. да херли толку-то.

не совсем

я повторюсь, что если приложуха имеет доступ к волту

да

И не страшно?

то это проблема разраба уже внутри приложения случайно не заэкспозить этот секрет наружу

но тут момент какой - разраб скорее всего этот секрет уже и так знает (например, он притащил его снаружи - заказал ссл сертификат)

или он уже знает к какой БД коннектиться в проде

но это нужно централизованно хранить

менджмент, все дела, обновление инфы и пр.

Слушайте, а вы правда докер в проде используете?

главное не ставь alpine. и вообще подумай - зачем тебе докер, если у тебя > 1 сервера на сервис. если меньше - докер ок.

но это нужно централизованно хранить

А чем etcd не вариант?

И не страшно?

страшно. всегда

А чем etcd не вариант?

в докладе написано

получил доступ к etcd и открытым текстом все вычитал

я повторюсь, что если приложуха имеет доступ к волту

что мешает ей сей оступ поиметь ?

что мешает ей сей оступ поиметь ?

она имеет доступ только к 'своим" ключам

главное не ставь alpine. и вообще подумай - зачем тебе докер, если у тебя > 1 сервера на сервис. если меньше - докер ок.

Меня смущает что докер - это инструмент локально что-то потестить, не более

она имеет доступ только к 'своим" ключам

давай я просто в gitlab project secret сей секрет передам и норм ? да ?

давай я просто в gitlab project secret сей секрет передам и норм ? да ?

это говно.

но для мелких проектов = ок