🚘 Под капотом у Kyverno: как мы установили нативный admission-контроллер 500+ микросервисов, 20+ кластеров, из них 8+ — продуктовых. Это Финтех Яндекса. Команда безопасности при этом у нас сравнительно небольшая, а проверки были ручными и не доходили до кластеров. Надо было исправляться. 〰️ Поэтому мы решили использовать admission-контроллеры. Это механизм Kubernetes, который перехватывает запросы к API-серверу перед сохранением в etcd. А ещё он позволяет валидировать и мутировать ресурсы. Например, проверять настройки безопасности или добавлять метки. Среди конкретных admission-контроллеров популярны два: OPA Gatekeeper и Kyverno. Первый достаточно зрелый и развитый, но есть одно но: чтобы писать для него политики, нужно учить отдельный язык. 🕵️ Поэтому выбор пал на нативный Kyverno с YAML-манифестами. В карточках показываем архитектуру решения и рассказываем, как внедряли его инфраструктуру. ⏩ А полный доклад Александра Соколова, ИБ-инженера Яндекса, смотрите в VK Видео или на ютубе. Он подробно разбирает архитектурные требования, патчи для сервера отчётов, нюансы работы с инфраструктурными компонентами и отвечает на вопросы из зала. Подписывайтесь: 💬 @Yandex4Security 📹 @YandexForSecurity