![](https://habrastorage.org/getpro/habr/upload_files/8d8/d1b/945/8d8d1b94561da6a1ae4131de6507763b.png)
Дата: 5 июня 2024
Место: Москва
Сайт: www.bekon.luntry.ru
5 июня в Москве наша команда Luntry проведет вторую конференцию «БеКон», посвященную безопасности контейнеров и контейнерных сред.
Цель “БеКона” – помочь компаниям и специалистам ИБ перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы.
Как прошла первая конференция «БеКон» в 2023 году?
Мероприятие посетили 350 участников, интересующихся контейнерной безопасностью. Среди них были эксперты DevOps/DevSecOps, специалисты по информационной безопасности, архитекторы, инфраструктурные и платформенные команды из 37 компаний.
Участники отметили качество технических докладов и высокую концентрацию полезной информации. Один доклад на “БеКоне” занимает не более получаса - за это время спикер успевает поделиться своими наработками в области безопасности Kubernetes и ответить на вопросы зала.
![](https://habrastorage.org/getpro/habr/upload_files/431/af8/5d1/431af85d12156a526b4718da7413cc1f.png)
На мероприятии были доклады практически из всех областей безопасности контейнеров. Своим опытом поделились представители OZON, Luntry, Tinkoff, Райффайзен Банк, Яндекс.Облако, ВКонтакте, Флант, BI.ZONE.
На конференции «БеКон 2023» рассмотрели:
ключевые вопросы безопасности Kubernetes;
тонкости процесса прохождения аудита PCI DSS;
следование принципу наименьших привилегий в Kubernetes в процессе жизни кластера;
создание и организацию сетевых ограничений на такие компоненты, как DNS, Metrics, Logs, GitLab runners и др.;
архитектуру ОС Talos Linux;
вопросы настройки Linux capabilities для микросервисов Kubernetes;
преимущества контейнерных дистрибутивов и опыт внедрения ОС Flatcar;
подводные камни в популярных механизмах (AppArmor, NetworkPolicy), подходах (DevSecOps, Zero Trust, Security-as-Code) и инструментах (Kyverno, OPA).
После докладов прошла сессия вопросов и ответов в виде открытой дискуссии, в процессе которой каждый мог задать докладчикам оставшиеся вопросы.
![](https://habrastorage.org/getpro/habr/upload_files/c63/028/48c/c6302848cdb182a00da4d3a36e745cb5.png)
Фотографии с прошедшего события разместили в сообществе. Презентации выступлений мы опубликовали на сайте, а видеозаписи собрали в один плейлист.
Программа 2024
Программа «БеКона» по-прежнему останется концентрированной выборкой актуальных коротких докладов — без рекламы и воды – от ведущих компаний, использующих контейнеризацию.
Отбор докладов происходит по строгим критериям:
уникальность;
разнообразие в аспектах контейнерной безопасности;
возможность практического использования.
№ |
Название |
Докладчик |
Описание |
1 |
«Почему защитой k8s должно заниматься целое подразделение?» |
Артем Мерец (Tinkoff) |
Все больше компаний и сервисов живут в системах оркестрации контейнеров. Кибербезопасность реагирует на эти изменения путем развития практик защиты внутри и рядом с k8s, при этом часто выделение ресурсов на эту часть выглядит недоинвестированным. Порассуждаем о том, какие проблемы должна решать команд, какая должны быть экспертиза и почему это выглядит, как целое подразделение для защиты «одного приложения». |
2 |
«Linux user namespace в чертогах Kubernetes» |
Дмитрий Евдокимов (Luntry) |
В сообществе Linux и по сей день не утихают споры о полезности и нужности такого механизма, как user namespace, в области безопасности. Хотя именно для этого он и создавался. Давайте рассмотрим, какую роль и значение он играет в связке с Kubernetes, и разберемся, кто он: друг или враг? |
3 |
«Мечтают ли антивирусы о docker-образах?» |
Владимир Капистка (Samokat.Tech) |
Рассмотрим один из шагов нашего pipeline, который связан с антивирусным сканированием публичных docker-образов, загружаемых из Интернет в частный реджестри. |
4 |
«Все ли Service Mesh одинаковы полезны для ИБ?» |
Максим Чудновский (СберТех) |
Все знают, что одной из самых популярных фичей Service Mesh является функциональность zero-trust периметра для микросервисов: нам доступны mTLS, политики взаимной аутентификации и авторизации сразу из коробки. А еще все знают, что Service Mesh бывает разный — на sidecar-контейнерах, как Istio, или сетевых демонах, как Cilium, или что-то среднее, как новый Istio Ambient Mesh. В докладе мы рассмотрим, как под капотом реализованы популярные механизмы безопасности в этих решениях и научимся выбирать Service Mesh с точки зрения безопасности контейнеров. |
5 |
«От стандартных к нестандартным методам управления секретов в контейнерах» |
Валерий Кунавин |
На сегодняшний день есть огромное количество способов управлять секретами — почти на любой вкус и цвет. Важно в этом ориентироваться и понимать, какой способ выбрать в том или ином случае. При этом понимать, от каких нарушителей это нас все равно не убережет… И при необходимости думать уже в сторону нестандартных способов — в сторону короткоживущих секретов. |
6 |
«Мультитенантность в Kubernetes: есть ли серебряная пуля?» |
Константин Аксенов (Флант) |
Существуют различные варианты для организации мультитенантности в Kubernetes, например, Hierarchical Namespace Controller (HNC) или Capsule. Есть возможность реализовать свой подход к изоляции с помощью базового Kubernetes API или создать свой собственный API. Естественно, выбор во многом зависит от требований и внутреннего устройства процессов и команд. В докладе рассмотрим преимущества и недостатки разных подходов, а также к чему мы пришли в процессе разработки нашего решения. |
7 |
«Латаем огрехи в образах приложений с помощью Kubernetes» |
Анатолий Карпенко (Luntry) |
Обычная ситуация - вам достался образ, который вот совсем не по best practices по безопасности. И вы отказаться от него не можете и поправить в нем ничего не можете. Или все таки можете?! C помощью механизмов Kubernetes?! В рамках этого доклада как раз с этим и разберемся. |
8 |
«Строим заборы между сервисами» |
Андрей Бойцев (Яндекс Финтех) |
В этом докладе мы расскажем о нашем опыте внедрения авторизационных политик (построение zero-trust межсервисной авторизации на базе Istio) в нескольких кластерах, обсудим примеры и сложности с которыми мы столкнулись во время внедрения. |
9 |
«Вы еще не читаете Kubernetes Audit Log? Тогда мы идем к вам!» |
Алиса Кириченко (Лаборатория Числитель) |
Многие компании, в т.ч. крупные сталкиваются с проблемой эффективного сбора и обработки логов. В докладе мы рассмотрим: для чего собирать Kubernetes логи, как их выбирать, не терять при сборе и перенаправлении, а также не перегружать хранилище. |
Актуальные новости о конференции – в сообществе VK.
Аудитория
Благодаря узкой направленности, “БеКон” собирает множество экспертов, объединенных единым контекстом.
Конференция будет интересна:
архитекторам;
инфраструктурным и платформенным командам;
DevOps/DevSecOps;
специалистам ИБ-департаментов.
“БеКон” - возможность познакомиться и пообщаться с коллегами, единомышленниками и представителями известных компаний.
На мероприятии мы создаем комфортную атмосферу для продуктивного обмена опытом и знаниями: краткие технические доклады до 30 минут дают максимум пользы, а перерывы между ними отлично подходят для нетворкинга.
Если у вас есть идеи или предложения по сотрудничеству в организации второй конференции «БеКон» – адресуйте их через форму на официальном сайте.