Привет!
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.