DevSecOps и промышленные решения

• Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA

1. Интегрировать решения безопасности в CI
2. Создавать CD в Кubernetes, используя ArgoCD
3. Интегрировать приложения в Kubernetes с FreeIPA
4. Настраивать решения Observability кластера Кubernetes

1. Как использовать распределенные блочные хранилища в Кubernetes
2. Как использовать операторы Kubernetes для управления сертификатами и базами данных
3. Как настроить IDS/IPS приложения в Kubernetes
4. Как восстановить кластер Kubernetes после сбоя

• Развертывание FreeIPA Решение FreeIPA
• Развертывание Kubernetes Развертывание через Kubespray
• Развертывание GitLab Установка через docker-compose

# cat docker-compose.yml
...
    userns_mode: 'host'
...
        external_url 'https://server.corp13.un:4443'
...
      - '4443:4443'
...

• Создать УЗ student через REST API интерфейс
• FreeIPA Установка и инициализация клиента client1
• FreeIPA Управление пользователями user1
• Настройка Использование системных сертификатов в Firefox

• Может, не понадобится, или не сразу

bash -c '
scp /opt/freeipa-data/etc/ipa/ca.crt kube1:/usr/local/share/ca-certificates/
ssh kube1 update-ca-certificates
ssh kube1 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube2:/usr/local/share/ca-certificates/
ssh kube2 update-ca-certificates
ssh kube2 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube3:/usr/local/share/ca-certificates/
ssh kube3 update-ca-certificates
ssh kube3 systemctl restart containerd
scp /opt/freeipa-data/etc/ipa/ca.crt kube4:/usr/local/share/ca-certificates/
ssh kube4 update-ca-certificates
ssh kube4 systemctl restart containerd
'

kubeN#
crictl pull server.corpX.un:5000/student/gowebd
crictl images
crictl rmi server.corpX.un:5000/student/gowebd

• Стратегии развертывания и масштабирование нагрузки
• MetalLB, ingress-nginx
• Использование баз данных (CloudNativePG)
• Сервис Keycloak в Kubernetes, Базовая конфигурация, LDAP FreeIPA
• Сервис Keycloak Аутентификация пользователей WEB приложения, Приложение apwebd, Deployment, Service, Создание ключа и сертификата для стороннего сервиса, ingress example
• Использование распределённых хранилищ (longhorn)
• ArgoCD и универсальный Helm Chart

• Инструменты для статического анализа кода
• Анализ уязвимостей в контейнерах
• Интеграция инструментов безопасности в CI/CD
• Управление секретами и сертификатами
• Управление доступом в Kubernetes
• Интеграция с внешними системами идентификации
• Использование IDS/IPS в Kubernetes

• Мониторинг кластера Kubernetes
• Резервное копирование и восстановление данных приложений
• Восстановление управляющих и рабочих узлов
• Восстановление etcd

• DevSecOps
• - Анализ кода и контейнеров на уязвимости
• - Управление доступом в K8S
• - Управление чувствительными данными в CI/CD (Hashicorp Vault, Mozilla Sops)
• - Управление сертификатами (K8S cert-manager и FreeIPA)
• Использование LDAP и OpenID для управления идентификацией (Keycloak и FreeIPA)
• IDS/IPS (Suricata)

• ArgoCD и универсальный Helm Chart
• Распределенные блочные хранилища в K8S (Longhorn)
• Операторы K8S и СУБД (CloudNativePG)
• Брокеры сообщения (Kafka или RabbitMQ)
• Service Mesh (Istio)