Bezpečná konfigurace Kubernetes a cloudové infrastruktury
Log
13.04.2023 09:00 - Spustili jsme registrace na konferenci
Info
* Cena konference je uvedena bez DPH
Získejte Wild Cards na 75. a 121. židli a užijte si konferenci zdarma (pozice se počítá dle došlých registrací).
Občerstvení - pokud potřebujete zajistit bezlepkové občerstvení, prosíme uveďte to do "Poznámky" v registračním formuláři. Rádi Vám jídlo na jméno zajistíme.
Změna programu a místa konání konference je vyhrazena.
Konference se bude konat prezenčně.
Program
Kubernetes - bezpečnostní zkratky a jejich důsledky
Kubernetes je mocný systém umožnující orchestrovat kontejnery na nejrůznějších platformách s nekonečným množstvím funkcí a různých konfigurací. Zároveň je cílem komunity vést vývoj takovým směrem, aby bylo možné spravovat malé clustery s jedním strojem, tak i clustery obrovské . Protože neexistují žádná omezení, jak Kubernetes instalovat, konfigurovat a provozovat, tak zároveň neexistují žádná omezení na počet konfiguračních chyb. Nejkratší cesta je v tomto případě rozhodně nejrychlejší, ale také bývá nejnebezpečnější.
V přednášce vám ukážu typickou instalaci Kubernetes clusteru a spustím na něm jednoduchou aplikaci. Nicméně mým cílem tentokrát nebude připravit prostředí pro bezchybný běh aplikace, ale ukázat časné bezpečnostní díry a především jak minimalizovat bezpečnostní rizika a nebo alespoň z jaké strany útok očekávat.
Celá přednáška bude jedno velké demo, takže pokud budete mít v kapse telefon, počítač nebo pákové kleště, tak budete mít možnost si některé bezpečnostní chyby vyzkoušet a ověřit.
Agenda
- Instalace clusteru a spuštění jednoduché aplikace
- Malování čerta na zeď aneb co nechcete, aby se vám stalo
- Útoky z venku
- Útoky zevnitř
- Příběhy z pitevny
Tomáš Kukrál
Tomáš se věnuje Kubernetes od doby, kdy ke spuštění kontejnerů byl potřeba jeřáb a deployment v Normandii neznamenal spustit kontejnery na severu Francie. Postupně se bavil s provozování Cephu pro/v Kubernetes na ČVUT FIT, OpenStacku v Kubernetes (a obráceně) pro Mirantis. V posledních letech si rozsypal po světě několik tisíc clusterů a společně s týmem postavil platformu Volterra/F5XC, která se o clustery stará, propojuje je a snaží se žádný neztratit. Neustále balancuje mezi programováním, architekturou a DevOps světem, takže ve volném čase chytá rovnováhu, psy, vlny, snaží se daleko ujet, včas otevřít padák a nakonec bezpečně přistát.
Objevování moderních přístupů k bezpečnému secret managementu v Kubernetes
I. Úvod: Secrets v Kubernetes a běžné výzvy při řízení secret managementu v Kubernetes.
II. Tradiční přístupy k secret managementu v Kubernetes: Pokrývá tradiční techniky secret managementu v Kubernetes, jejich omezení a nevýhody.
III. Moderní přístupy k secret managementu v Kubernetes: Diskutuje o moderních technikách řízení tajemství v Kubernetes, včetně externích secret manament systémů, jako jsou AWS Secrets Manager nebo Azure Vault, jejich výhody a praktické příklady implementace
IV. Nejlepší postupy pro bezpečné secret managementu v Kubernetes: Vymezuje best practices pro bezpečné secret managementu pomocí External Secrets v Kubernetes, jejich výhody a důležitost při zachování bezpečnosti a compliance.
V. Potenciální problémy a běžné chyby v prostředí s continuous delivery: Diskutuje o běžných problémech a technikách řešení souvisejících se secret managementem v Kubernetes.
VI. Shrnutí a hlavní poznatky.
Lukáš Beránek
Lukáš je Senior DevOps inženýr v Momence, kde přináší rozsáhlé zkušenosti od programování v PHP a vedení týmů v e-commerce po vlastní podnikání. Stal se nadšeným příznivcem DevOps, continuous delivery, bezpečnosti, navrhování inovativních řešení s využitím AWS a Azure a IaC nástrojů jako jsou Terraform, Helm a různé CI/CD nástroje; vývoje a nasazení aplikací ve škále pomocí Kubernetes a architektury mikroslužeb. Pracoval na projektech pro přední společnosti, včetně IBM, mezinárodní banky a automobilové společnosti, ale v současnosti se zaměřuje na startupy.
Confidental computing
Co je to confidential computing a proč ho vlastně potřebujeme? Používáte public cloud a máte v něm citlivá data? Jste si jisti, že jsou dobře zabezpečena? Pojďme se podívat na to, proč by Vás měl confidential computing zajímat a co Vám může přinést a také to, před čím Vás neuchrání.
Agenda
- Představení základních pojmů
- Public cloud
- Hybrid cloud
- Private cloud
- Securing data at rest, in transit, in use
- Trusted execution env.
- Kontejnerizace
- Modely hrozeb
- Attack vektory
- Technologický popis
- HW podpora CC
- Data policies
- Auditovatelnost
- Nezměnitelnost
- Aplikace
- Military, Governance, Finance, Medical,
- Blockchain
- Mobile and personal computing
- Machine learning and development
Petr Řezáček
Petr je enterprise architekt s dlouholetou zkušeností z oblasti výstavby a provozu rozsáhlých infrastrukturních prostředí. Své bohaté zkušenosti z oblasti sítí a bezpečnosti získal nejen v mezinárodních korporacích, ale též se aktuálně podílí na kompletní architektuře fintechového startupu.
Štěpán Pelc
Štěpán dlouhodobě působí jako Cloud infrastructure architekt zaměřený na kontejnerizovaný svět Kubernetes s přesahem do bezpečnosti. Štěpán má za sebou architektury a implementace primárně v bankovním sektoru, včetně integrací na již existující legacy systémy. Nyní se podílí na výstavbě velkého privátního cloudu v rámci Evropy.
Moderní SIEM pro kontejnerové platformy
Organizace chtějí urychlit dodávku softwaru a přijmout nativní model vývoje a poskytování aplikací do cloudu. Platforma Red Hat OpenShift toto umožňuje. Vznikne nám tak dynamické a prostředí v vhodné pro inovace. V takovém prostředí je třeba dbát na zvýšenou bezpečnost a detekci potenciálně škodlivých aktivit. V této přednášce vám představíme a ukážeme Red Hat Advanced Cluster Security for Kubernetes, který je zjednodušeně řečeno SIEM pro Kubernetes.
V této přednášce se dozvíte, jaké jsou základní pohledy na bezpečnost kontejnerové platformy a jaké jsou best practices, jak je vynutit a jak se bránit vůči aplikacím, které tyto best practices nedodržují, nebo byly kompromitovány.
Agenda
- Kontejnerové platformy z pohledu bezpečnosti
- Platforma i aplikace
- Networking
- RBAC
- Zranitelnosti
- Detekce zranitelností a rizikových aplikací
- Síťová bezpečnost v kontejnerové platformě
- Demo Red Hat Advanced Cluster Security
Jakub Veverka
Jakub je nadšenec do open source, který svůj koníček spojil i se zaměstnáním v největší open source firmě na světě na pozici Solution Architekt.
Své téměř desetileté zkušenosti s kontejnery a jejich orchestrátory načerpal na různých administrátorských i architektonických pozicích a organizováním pražského Docker a později Prague Containers meetupů.
Od „security“ ke „compliance“ a zase zpátky aneb (nejen) bezpečnostní certifikace v praxi.
V předchozích přednáškách jste si nastavili vaši první cloudovou službu (ať už Kubernetes, OpenShift, atd.), rozjeli vlastní aplikace a to vše pečlivě zabezpečili dle vašeho nejlepšího vědomí a svědomí. Je to ale dostatečné? Jste si jistí, že to bude stačit? Tady přichází na řadu nejrůznější compliance aktivity, audity a bezpečnostní certifikace. Projdeme si nejčastější certifikace, jak na poli compliance aktivit jako jsou různé ISO 27xxx, SOC 2, atd, tak i vládních certifikací a regulací, které se nějakým způsobem dotýkají cloudových služeb ala FIPS, Common Criteria, FedRAMP, atd.
Povíme si taky o best practices, jak takové bezpečnostní certifikace řídit, čeho se vyvarovat a co je naopak potřeba proaktivně řešit včas. Certifikace jsou ze své povahy pomalé a drahé a každá i drobná chyba v procesu, či nedorozumění může náročnost ještě více prohloubit.
Na závěr se pokusíme odpovědět na otázku, jestli ve výsledku security certifikace vedou k lepší bezpečnosti nebo se jedná jen o byrokratické překážky, které jen vše ztěžují a prodražují? Aneb oklikou se opět vrátíme na začátek k reálnému zabezpečení vašich služeb.
Agenda
- Úvod do problému certifikací
- Rychlý průlet světem certifikací
- Vládní certifikace a audity - FIPS, Common Criteria, FedRAMP, atd.
- Compliance aktivity - ISO 27xxx, SOC 2, atd.
- Best practices z praxe
- Mají bezpečnostní certifikace smysl?
Jaroslav Řezník
Jaroslav pracuje v Red Hatu na pozici principal program managera pro vládní certifikace v rámci Product Security Compliance and Risk týmu. Během téměř patnácti let své kariéry ve firmě vystřídal nejrůznější pozice a projekty. Práce v Red Hatu a open source komunitách byla a stále je jeho splněným snem. Propagaci open source se věnuje i mimopracovně. Je členem spolku OpenAlt, spolupořádá stejnojmennou konferenci a v minulosti spolupořádal konference projektů jako jsou Fedora, LibreOffice, KDE, atd.
Registrační formulář
Proč se přijít podívat?
- Ukážeme Vám, jak minimalizovat bezpečnostní rizika a pohlídat si chyby v konfiguraci.
- Projdeme si, různé přístupy k secret managementu a ukážeme nejlepší postupy.
- Představíme Vám Confidential computing a proč by Vás měl zajímat.
- Dozvíte se o rizikových aplikacích, detekci zranitelností a síťové bezpečnosti.
- Budeme hovořit o nejlepších postupech při řízení bezpečnostních certifikací a také o otázce, zda tyto certifikace ve skutečnosti přispívají k lepší bezpečnosti.
Storno podmínky
Registrace na konferenci je závazná a její storno je možné "bezplatně" pouze písemnou formou prostřednictvím e-mailu a to nejpozději 14 kalendářních dní před zahájením konference.
Odstoupí-li/stornuje-li účastník konference registraci v termínu kratším než 14 kalendářních dní před zahájením konference, vyhrazuje si organizátor vůči účastníkovi právo na zaplacení storno poplatku v plné výši hodnoty vstupenky.
Děkujeme za pochopení
Jak se k nám dostanete
Institut klinické a experimentální medicíny (IKEM) se nachází na adrese Vídeňská 1958/9, 140 21 Praha 4. Kongresové centrum se nachází v 5. patře hlavní budovy.
Nejrychleji z centra Prahy: Metrem do stanice Budějovická (trasa C). Pak autobusem č. 193 na zastávku IKEM (v autobuse hlášena jako „Institut klinické a experimentální medicíny“).
Autem
Parkovat můžete ve dvou nadzemních podlažích garážové budovy u hotelu Rezidence EMMY v okolí. Využít můžete i parkoviště pro návštěvníky a pacienty IKEM, které je zhruba 100 m od hlavního vchodu do budovy IKEM (kapacita 200 míst).
Bus
Autobusové linky 193, 138, 203 zastavující na zastávce IKEM.
Regionální linky: 332, 335, 337, 339, 362
Tram
Tento oblíbený spoj není k dispozici.
