В процессе, подготовки доклада по теме побега из контейнеров в Kubernetes, открыл для себя такую тему как
Все это можно реализовать благодаря:
1)
2)
На мой взгляд, это отличный инструмент, но требуется предварительно хорошо все продумать, расставить labels (о их важности я уже писал).
Node isolation как инструмент реализации security mitigations для определенных угроз. С помощью Node isolation можно разграничивать запуск Pod'ов по Node, группируя их на основании того или иного свойства. Так на пример, можно наиболее критичные сервисы (платежные сервисы, сервисы работающий с пользовательскими данными и т.д.) располагать отдельно от менее критичных (frontend, мониторинг и т.д.) или не доверенных (написанных на аутсорсинге, legacy кода). Или еще сценарий, сервисы с большим количеством известных CVE, отдельно от тех, где данная проблема уже как-то решена. Все это можно реализовать благодаря:
1)
labels и taints - для распределения Pod'ов2)
node authorizer и node restriction - для ограничения выставления атакующим нужных ему labelsНа мой взгляд, это отличный инструмент, но требуется предварительно хорошо все продумать, расставить labels (о их важности я уже писал).