S
это не серебряная пуля, а куча работы и неудобств. но кому нравятся ремни безопасности и ограничение скорости на трассе?
Size: a a a
2019 January 11
S
а кому нужно пускать юзеров в важные системы, не шаря пароли - PAM системы вам в помощь, CyberArk, Wallix и иже с ними
S
для небогатых - Password manager Pro от ManageEngine
RR
Када 100500 сервисов становится накладно помнить где обновили секреты, где нет. Тут в 1 месте
Мой посыл в том что не стоит иметь 100500 секретов, ибо они не нужны, а для трёх внешних сервисов типа гугла или твиллио можно и без волт жить
2019 January 12
S
зависит от рисков, которые возникают при утечке этих кред
2019 January 14
AA
@rusakov_roman я щас понял, что действительно, service mesh позволяет избавиться от части паролей. Всякие ключи к внешним api никуда не денутся но от того, что внутри инфраструктуры реально можно избавиться.
Зачем защищать паролем какую-нибудь монгу или редис когда можно перевесить их на localhost и доставить прямо в нужный контейнер с приложением.
Зачем защищать паролем какую-нибудь монгу или редис когда можно перевесить их на localhost и доставить прямо в нужный контейнер с приложением.
bc
Главное, чтобы рдом кто-нибудь не поставил свой контейнер и не начал ходить в вашу монгу =)
bc
Хотя пароль на монге от такого тоже вряд ли спасеит
KO
Для этого же есть всякие policy
KO
Поэтому абы какой контейнер не сможет куда-то сунуться
2019 January 15
RR
Вот кстати к секурити, как вы относитесь к WAF? Кто то использует? Встраиваете в пайплайны? Какой WAF?
RR
Есть ли что то свежее и современное для кубера по типу naxsi?
AA
Я бы послушал про опыт использования https://github.com/ory и прочих Beyond Corp
AA
Сева Поляков сделал краткий пересказ концепции, если кто не слышал.
https://dvps.blog/biezopasnost-internal-siervisov/
https://dvps.blog/biezopasnost-internal-siervisov/
RR
Я бы послушал про опыт использования https://github.com/ory и прочих Beyond Corp
KO
Я бы послушал про опыт использования https://github.com/ory и прочих Beyond Corp
Ничего себе они развились. Когда я на них смотрел, у них UI то толком не было.
AA
да, там как-то дофига всего стало, без поллитры не разобраться
KO
Сева Поляков сделал краткий пересказ концепции, если кто не слышал.
https://dvps.blog/biezopasnost-internal-siervisov/
https://dvps.blog/biezopasnost-internal-siervisov/
Насчет вот этого - можно похожее сделать через Keycloak и nginx+openresty
KO
Суть та же
KO
Но без завязки на AWS