№

Название

Докладчик

Описание

1

«Почему защитой k8s должно заниматься целое подразделение?»

Артем Мерец (Tinkoff)

Все больше компаний и сервисов живут в системах оркестрации контейнеров. Кибербезопасность реагирует на эти изменения путем развития практик защиты внутри и рядом с k8s, при этом часто выделение ресурсов на эту часть выглядит недоинвестированным. Порассуждаем о том, какие проблемы должна решать команд, какая должны быть экспертиза и почему это выглядит, как целое подразделение для защиты «одного приложения».

2

«Linux user namespace в чертогах Kubernetes»

Дмитрий Евдокимов (Luntry)

В сообществе Linux и по сей день не утихают споры о полезности и нужности такого механизма, как user namespace, в области безопасности. Хотя именно для этого он и создавался. Давайте рассмотрим, какую роль и значение он играет в связке с Kubernetes, и разберемся, кто он: друг или враг?

3

«Мечтают ли антивирусы о docker-образах?»

Владимир Капистка (Samokat.Tech)

Рассмотрим один из шагов нашего pipeline, который связан с антивирусным сканированием публичных docker-образов, загружаемых из Интернет в частный реджестри.

4

«Все ли Service Mesh одинаковы полезны для ИБ?»

Максим Чудновский (СберТех)

Все знают, что одной из самых популярных фичей Service Mesh является функциональность zero-trust периметра для микросервисов: нам доступны mTLS, политики взаимной аутентификации и авторизации сразу из коробки. А еще все знают, что Service Mesh бывает разный — на sidecar-контейнерах, как Istio, или сетевых демонах, как Cilium, или что-то среднее, как новый Istio Ambient Mesh. В докладе мы рассмотрим, как под капотом реализованы популярные механизмы безопасности в этих решениях и научимся выбирать Service Mesh с точки зрения безопасности контейнеров.

5

«От стандартных к нестандартным методам управления секретов в контейнерах»

Валерий Кунавин

На сегодняшний день есть огромное количество способов управлять секретами — почти на любой вкус и цвет. Важно в этом ориентироваться и понимать, какой способ выбрать в том или ином случае. При этом понимать, от каких нарушителей это нас все равно не убережет… И при необходимости думать уже в сторону нестандартных способов — в сторону короткоживущих секретов.

6

«Мультитенантность в Kubernetes: есть ли серебряная пуля?»

Константин Аксенов (Флант)

Существуют различные варианты для организации мультитенантности в Kubernetes, например, Hierarchical Namespace Controller (HNC) или Capsule. Есть возможность реализовать свой подход к изоляции с помощью базового Kubernetes API или создать свой собственный API. Естественно, выбор во многом зависит от требований и внутреннего устройства процессов и команд. В докладе рассмотрим преимущества и недостатки разных подходов, а также к чему мы пришли в процессе разработки нашего решения.

7

«Латаем огрехи в образах приложений с помощью Kubernetes»

Анатолий Карпенко (Luntry)

Обычная ситуация - вам достался образ, который вот совсем не по best practices по безопасности. И вы отказаться от него не можете и поправить в нем ничего не можете. Или все таки можете?! C помощью механизмов Kubernetes?! В рамках этого доклада как раз с этим и разберемся.

8

«Строим заборы между сервисами»

Андрей Бойцев (Яндекс Финтех)

В этом докладе мы расскажем о нашем опыте внедрения авторизационных политик (построение zero-trust межсервисной авторизации на базе Istio) в нескольких кластерах, обсудим примеры и сложности с которыми мы столкнулись во время внедрения.

9

«Вы еще не читаете Kubernetes Audit Log? Тогда мы идем к вам!»

Алиса Кириченко (Лаборатория Числитель)

Многие компании, в т.ч. крупные сталкиваются с проблемой эффективного сбора и обработки логов. В докладе мы рассмотрим: для чего собирать Kubernetes логи, как их выбирать, не терять при сборе и перенаправлении, а также не перегружать хранилище.