Vlákno názorů k článku Síťová bezpečnost kontejnerů: proč nestačí tradiční perimetrové firewally? od //R - Jsem zvědavý na pokračování. Zatím na mě článek...
-
Jsem zvědavý na pokračování. Zatím na mě článek působí neúplně. Popisovaný čistý k8s cluster jsem neviděl dlouho, proto mě víc zajímá přínos oproti service mesh ala istio a samozřejmě integrace s nimi. On ten firewall do komunikace mezi pody nemusí vidět nejen kvůli komunikaci v rámci hostu, ale třeba kvůli enforced mtls. Na druhou stranu s mtls chodí metadata o podu a funguje autorizace podle servisních účtů nebo http metadat.
-
vzhledem k tomu, že v článku vlastně nic nenapsal, tak klidně mohl mluvit o istio.
Mně třeba na Istio nejvíce vadí, že to je vše příliš hardcodované, nemám tam podporu pro nějaký katalog služeb, api, nemáme tam ucelený přehled kdo tam může, vše je přímo hozeno do policies. Ano, je tady sice Kiali, přehled jakžtakž, ale service wizard je šílenost.
Zaměřuji se primárně na zabezpeční a právě i Istia mi hodně vadí, že detekce podezřelého chování, jeho izolace či odklonění a ověření je extrémně krkolomné, náročné a neefektivní. Po nějaké době provozu se tam nahromadí hromada smetí v policies a není možné snadno ověřit, co vlastně způsobí změna konfigurace, který aktuální provoz se tím ovlivní a jak.
-
Jak znám Honzu, autora, tak to směřuje k https://www.paloaltonetworks.com/network-security/cn-series
