На уровне контейнеров:
- закрыт запуск от рута
- закрыта запись на фс
- запуск от random ID (без юзернейма) (игнор предефайн юзернеймов)
На уровне проекта (тут я мало колупал возможности):
- каждый проект в отдельном экранированном VXVLANe, доступ до соседних проектов по внутренней адрессации закрыт
На уровне кластера:
- хренова гора разных политики и SCC (как сказал Даня все, что можно огорожено)
- расширено АПИ (я не знак куберового апи, чтоб прям сравнить, но возможностей побольше будет. чето заносили туда и меняли)
- Жесткие правила к доступу в рамках апи (например, у тебя может быть get namespaces, но закрыт доступ к namespaces/finalizers

Это что прям сходу могу вспомнить, с чем приходится постоянно работать🤔🤔

Что такое "проект"

Между нейспейсами типа нет связи?

да

............

Включить то это хоть можно?

@identw истории как шифт проходил банковскую сертификацию безопасности PC-DSS я слышал, а вот про кубер такого нет :) ну и скорее всего из кубера сделал шифт по ИБ и прошли, отсюда у меня вопрос: а нахрена столько toil work?

Можно. там три варианта выбора сетевых плагинов. Плоская (где всем доступно все), ячеистая (как я описал), нетфорк полиси (в 4х шифте это из коробки, в 3х нужно делать миграцию)

закрыт запуск от рута - psp (есть в ванильном кубе)
закрыта запись на фс - psp (ванильный куб)
запуск от random ID (без юзернейма) (игнор предефайн юзернеймов) - psp (ванильный куб)

каждый проект в отдельном экранированном VXVLANe, доступ до соседних проектов по внутренней адрессации закрыт - тут  из ванильного куба nepolicy можно предложить или найти CNI. Прикольная фича, в кубе можно сказать что нет. Но по netpolicy конечно можно namespace друг от друга огородить. Но гибкости netpolicy хотелось бы больше

хренова гора разных политики и SCC (как сказал Даня все, что можно огорожено) - очень напоминает psp из ванильного куба

расширено АПИ - ну это понятно, там же дополнительные абстракции вроде как есть, но это не вопрос безопасности

Жесткие правила к доступу в рамках апи - да вроде как RBAC ванильного куба все это позволяет

Мб там все это проще настраивать и в этом плюс.

@Asgoret , ну шо за "безопасТность" ??

Fixed, спасибо

там не столько RBAC получается, сколько ABAC. Все-таки рбак туповат и неповоротлив

не знаю. Я не доказываю что куб лучше шифта.  Мне просто были итересны фичи. Вдруг мне чего-то не хватает, а это есть в шифте

и да, там просто все это проще настраивается. но вот АБАС настраивается через Ж, а РБАК нормально =__=

а что за CNI в шифте юзается?

+ к вопросу

Это тогда лучше погуглить, я прям так не сравнивал когда они рядом

Все, хомяк ушел смотреть...

ПО дефолту собственная разработка (Openshift SDN) доступные можно глянуть тут для 3х поколения -> link

Хомяк ругается с саппортом т.к. кто-то наговнякал когда делал политику и у меня залочена УЗ