Подготовили немного технического пятничного чтива для вас! 🫡 Федор Масленников заместитель технического директора команды разработки платформы «Боцман» в статье для Cisoclub разобрал, как в Kubernetes реализовать сегментацию, изоляцию команд и контроль доступа на уровне сети. В основе — NetworkPolicy, но в «Боцмане» добавили несколько слоёв: 🔹Проекты — объединяют неймспейсы, централизуют RBAC и квоты. 🔹Cilium в качестве CNI — гибко фильтрует трафик по меткам и позволяет применять мандатный контроль доступа, знакомый по Astra Linux. Пример: в кластере с глобальной политикой always весь трафик по умолчанию блокируется. Разрешить общение внутри проекта — можно через специальную политику Cilium. А если серверу задать 3-й уровень конфиденциальности, а клиенту 4-й, то даже явное разрешение не пропустит пакет. echo-busybox # nc -vzw 1 echo.server 5678 nc: echo.server (172.16.245.175:5678): Operation timed out Получается предсказуемое поведение: 1. Запрещающие правила имеют приоритет. 2. Затем разрешающие. 3. Если правил нет, действует глобальная политика. Такой подход позволяет сочетать гибкость и строгую безопасность, что весьма важно для мультиарендных сред и критической инфраструктуры. Подробности со схемами и YAML-примерами в статье по ссылке! 😎 |Мы в MAX|Группа в VK| Наш сайт|