Безпека та відповідність вимогам
3 modules are currently being reworked. Watch this section over the next few days.
Локальний (on-premises) Kubernetes дає вам такий фізичний контроль, який хмара ніколи не зможе забезпечити — але цей контроль супроводжується відповідальністю. Ви володієте обладнанням, мережевим периметром, ключовим матеріалом та кожним артефактом аудиту. Ці модулі охоплюють питання безпеки та відповідності вимогам (комплаєнсу), унікальні для власної (self-hosted) інфраструктури.
Модулі
Розділ «Модулі»| Модуль | Теми | Складність |
|---|---|---|
| Модуль 6.1: Фізична безпека та Air-Gapped середовища | Контроль дата-центру, ізольовані кластери, Harbor registry, дзеркалювання образів, оновлення через sneakernet, Air-Gapped GitOps | Висока |
| Модуль 6.2: Апаратна безпека (HSM/TPM) | HSM для керування ключами, TPM measured boot, Vault + PKCS#11, заміна KMS для on-prem, шифрування дисків LUKS + TPM | Висока |
| Модуль 6.3: Корпоративна ідентифікація (AD/LDAP/OIDC) | Інтеграція з Active Directory, LDAP, Keycloak, Dex OIDC, мапінг груп RBAC, SSO для панелей керування | Середня |
| Модуль 6.4: Відповідність вимогам для регульованих галузей | Фізичний контроль HIPAA, SOC 2, ізоляція периметра PCI DSS, суверенітет даних, політика аудиту K8s, збір доказів | Висока |
| Ідентифікація робочих навантажень зі SPIFFE/SPIRE | Стандарт SPIFFE, SPIRE server та agent, атестація вузлів, атестація робочих навантажень, федерація ідентичності, mTLS | Висока |
| Керування секретами на Bare Metal | HashiCorp Vault on-prem, авторозблокування (auto-unseal) за допомогою HSM, External Secrets Operator, CSI Secrets Store, динамічні облікові дані | Висока |
| Політика як код та управління | OPA Gatekeeper, Kyverno, mutating webhooks, перевірка підписів образів, автоматизація комплаєнсу, guardrails | Середня |
| Архітектура Zero Trust | Мікросегментація, маршрутизація на основі ідентичності, політики default deny, мережеві політики CNI, строгий mTLS в Istio/Cilium | Висока |
Передумови
Розділ «Передумови»- Основи — Cloud Native 101, Основи Kubernetes
- CKS — Концепції безпеки Kubernetes
- Планування та економіка — Контекст планування дата-центрів
- Мережі — Сегментація мережі та BGP
Для кого цей розділ
Розділ «Для кого цей розділ»- Інженери з безпеки, відповідальні за зміцнення (hardening) локальних кластерів Kubernetes
- Спеціалісти з комплаєнсу, які адаптують нормативні вимоги до інфраструктури Kubernetes
- Платформні команди, що інтегрують корпоративні системи ідентифікації з RBAC у Kubernetes
- Архітектори інфраструктури, що проєктують ізольовані (air-gapped) або режимні середовища