0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: kubernetes, кубер, network security, сетевая безопасность, dynamic network policies</p>
1
<p>Теги: kubernetes, кубер, network security, сетевая безопасность, dynamic network policies</p>
2
<p>Продолжаем<a>серию статей</a>о безопасности в Kubernetes. В этот раз поговорим про<strong>сетевую безопасность</strong>- Network Security. Это всем известная "боль", так как в Kubernetes существует ряд проблем с сетевой безопасностью: - по умолчанию трафик между подами разрешён; - внутренние адреса подов постоянно меняются; - трафик не шифрован.</p>
2
<p>Продолжаем<a>серию статей</a>о безопасности в Kubernetes. В этот раз поговорим про<strong>сетевую безопасность</strong>- Network Security. Это всем известная "боль", так как в Kubernetes существует ряд проблем с сетевой безопасностью: - по умолчанию трафик между подами разрешён; - внутренние адреса подов постоянно меняются; - трафик не шифрован.</p>
3
<p>Настраивать внешние правила сложно, одно из решений -<strong>Dynamic Network Policies</strong>, который позволяет это сделать либо традиционным для админов образом с указанием явных масок, либо через лейблы:</p>
3
<p>Настраивать внешние правила сложно, одно из решений -<strong>Dynamic Network Policies</strong>, который позволяет это сделать либо традиционным для админов образом с указанием явных масок, либо через лейблы:</p>
4
<p>Плохо лишь то, что Network Policies поддерживаются не везде:</p>
4
<p>Плохо лишь то, что Network Policies поддерживаются не везде:</p>
5
<p>Если будете выбирать между Weave и Calico, учтите, что шифрование в Weave даёт очень большой оверхед, и это, разумеется, минус. Что касается Calico, то он очень стабилен и позволяет настраивать не только входящие, но и исходящие сетевые политики.</p>
5
<p>Если будете выбирать между Weave и Calico, учтите, что шифрование в Weave даёт очень большой оверхед, и это, разумеется, минус. Что касается Calico, то он очень стабилен и позволяет настраивать не только входящие, но и исходящие сетевые политики.</p>
6
<h2>Микроменеджмент сетевой безопасности</h2>
6
<h2>Микроменеджмент сетевой безопасности</h2>
7
<p>Бывают и другие уровни сетевой безопасности. Например, параноидальная сетевая безопасность, которая не настраивается сетевыми политиками. В таком случае надо использовать<strong>Service Mesh</strong>. Однако на сегодняшний день по нему можно сказать следующее: 1. (Всё ещё) очень сложно. 2. (Всё ещё) не всегда стабильно.</p>
7
<p>Бывают и другие уровни сетевой безопасности. Например, параноидальная сетевая безопасность, которая не настраивается сетевыми политиками. В таком случае надо использовать<strong>Service Mesh</strong>. Однако на сегодняшний день по нему можно сказать следующее: 1. (Всё ещё) очень сложно. 2. (Всё ещё) не всегда стабильно.</p>
8
<p>Следующий подвид безопасности -<strong>безопасность на уровне Ingress</strong>. Это как раз та безопасность приложений, когда на приложение в Kubernetes идёт трафик и вам его нужно разграничить и как-то фильтровать. Ingress-контроллеры, например, в Nginx, поддерживают white-листы для доступа к особо чувствительным админкам, чтобы запретить доступ к админке с неавторизованных источников. Это можно делать, но<strong>нужна поддержка proxy-протокола в облачных балансерах</strong>. Также стоит добавить, что для парочки клиентов есть крутое решение -<strong>Web application firewall</strong>, который интегрируется в Nginx Ingress Controller - бесплатный ModSecurity, позволяющий фильтровать достаточно большое количество атак (ModSecurity понимает очень много паттернов).</p>
8
<p>Следующий подвид безопасности -<strong>безопасность на уровне Ingress</strong>. Это как раз та безопасность приложений, когда на приложение в Kubernetes идёт трафик и вам его нужно разграничить и как-то фильтровать. Ingress-контроллеры, например, в Nginx, поддерживают white-листы для доступа к особо чувствительным админкам, чтобы запретить доступ к админке с неавторизованных источников. Это можно делать, но<strong>нужна поддержка proxy-протокола в облачных балансерах</strong>. Также стоит добавить, что для парочки клиентов есть крутое решение -<strong>Web application firewall</strong>, который интегрируется в Nginx Ingress Controller - бесплатный ModSecurity, позволяющий фильтровать достаточно большое количество атак (ModSecurity понимает очень много паттернов).</p>
9
<p>Читайте также:</p>
9
<p>Читайте также:</p>
10
<ul><li><a>Безопасность в Kubernetes. Docker Image Security</a></li>
10
<ul><li><a>Безопасность в Kubernetes. Docker Image Security</a></li>
11
<li><a>Безопасность в Kubernetes: Host Level Security</a></li>
11
<li><a>Безопасность в Kubernetes: Host Level Security</a></li>
12
<li><a>Сетевая безопасность в Kubernetes. Container Runtime Security</a></li>
12
<li><a>Сетевая безопасность в Kubernetes. Container Runtime Security</a></li>
13
</ul>
13
</ul>