انعقد KubeCon + CloudNativeCon Europe 2023 الأسبوع الماضي في أمستردام بحضور أكثر من 10000 مشارك وما يقرب من 280 جلسة وخطب رئيسية متعددة. وقد تم نشر جميع مقاطع الفيديو الخاصة بالمؤتمر على موقع يوتيوب.
فيما يلي بعض محادثاتنا المفضلة في KubeCon 2023:
هل يمكنك الحفاظ على السر؟ حول الإدارة السرية في Kubernetes – يستخدم كل تطبيق إنتاج اليوم الأسرار. يقدم جال كوهين ولياف يونا من Firefly نظرة عامة على حالات الاستخدام وتحديات الأسرار في Kubernetes. ثم يناقشون فوائد موفري المتاجر السرية قبل الخوض في واجهة تخزين حاوية الأسرار (CSI)، وهي طريقة جديدة وآمنة لاستخدام الأسرار. يعد كل من التصميم والعرض التوضيحي المقدم أثناء المحادثة مفيدًا للغاية للممارسين.
التحديات العملية المتعلقة بقبول Pod Security – الآن هو الوقت المناسب للانتقال من سياسات أمان Pod (PSP) إلى معايير أمان Pod (PSS). تكمن المشكلة في أن العديد من أحمال العمل تتطلب درجة معينة من الامتيازات التي لا يمكن تعيينها بسهولة إلى PSS. في هذه المحادثة التي جاءت في الوقت المناسب، تناول V. Körbes وChristian Schlotter من VMware ترحيل عبء عمل K8 إلى Pod Security Admission ووصف الخطوات اللازمة لتحديد المشكلات المتعلقة بعمليات نشر العقد ووحدة التحكم في واجهة تخزين الحاويات (CSI). ومن دواعي السرور أن عملية تقنية معقدة مثل ترحيل PSP تحظى بالاهتمام الذي تستحقه.
الحاويات ذات الامتيازات الأقل: منع يوم سيء من التدهور – “لا تقم بتشغيل الحاويات كجذر” هو الشعار الأمني الذي كان معنا منذ سنوات. ومع ذلك، تعمل معظم الحاويات كجذر بسبب صعوبات الترحيل والامتيازات التي تتطلبها العمليات العديدة. يقدم Greg Castle وVinayak Goyal من Google وجهة نظرهم الفريدة حول ترحيل حاويات GKE إلى غير الجذر على نطاق واسع. يشرحون التحديات التي واجهوها وخيارات التصميم وراء حلولهم. تم تخصيص الجزء الأخير من الحديث لموضوع ذي صلة بشكل متزايد: اعتماد Kubernetes لمساحات أسماء المستخدمين وإمكانية تغيير قواعد اللعبة فيما يتعلق بأمن الحاويات.
القنوات والجسور: استخدام نظام النقل في أمستردام لتأمين شبكات K8s – تقدم Cailyn Edwards من Shopify نظرة جديدة على Kubernetes من خلال مقارنتها بنظام قناة أمستردام. أثبت هذا التشبيه فعاليته في شرح ضوابط أمان Kubernetes العامة مع التركيز على الشبكات الآمنة ضمن مكوناته. يحتوي العرض التوضيحي الخاص بها على تطبيق لأداة Inspektor لتوضيح مدى سهولة إنشاء ملف تعريف seccomp لحجم العمل وسياسة الشبكة. هذا حديث مفيد لأولئك الذين يتطلعون إلى ترقية أمان مجموعتهم من خلال سياسات أكثر صرامة.
ما الخطأ الذي يمكن أن يحدث عندما لا تثق بأحد؟ نمذجة التهديدات ذات الثقة المعدومة – في جلسة نمذجة قوية أخرى بواسطة Control Plane، يقدم جيمس كالاهان وريتشارد فيذرستون نمذجة التهديدات البيئية ذات الثقة المعدومة. تعتبر العروض التوضيحية الخاصة بهم ذات قيمة خاصة في إظهار التطبيقات العملية لضوابط الأمان (بما في ذلك Spire وOPA) المستخدمة أثناء مرحلة التخفيف.
أخيرًا وليس آخرًا، إذا كنت تقوم بتشغيل مجموعات GKE أو AKS أو EKS المُدارة وتريد معرفة نوع المخاطر الأمنية التي تحملها، فأنت مدعو لمشاهدة حديثنا، المنطقة الرمادية للمجموعة: المخاطر في البرامج الوسيطة للمجموعة المُدارة. إنه يلقي الضوء على سطح الهجوم الذي تم تجاهله في مجموعات Kubernetes المُدارة ويكشف عن بعض سلاسل الهجوم الرائعة التي تنشأ من مكونات البرامج الوسيطة التي قد لا تكون على علم بها.
لقد كان هذا أكبر مؤتمر KubeCon + CloudNativeCon وأكبر مؤتمر مفتوح المصدر في أوروبا حتى الآن، حيث حضره 58% من المشاركين للمرة الأولى. ونظرًا للنمو الهائل الذي شهده هذا المجتمع مؤخرًا، نحن على يقين من أن هناك المزيد من الأحداث القياسية القادمة.
نحن نتطلع الآن إلى المؤتمر التالي: KubeCon NA في شيكاغو.
