Комментарии 6
Yaml отъехал, а так статья прикольная)
Честно говоря не совсем понятно зачем именно такие жесткие требования к контейнерам. Например у нас есть контейнер в котором крутится приложение Х. Оно слушает только один единственный порт Y. В самом контейнере больше ничего живого нет, и мы еще ограничиваем этот контейнер именно этим портом, с учетом того что других нет. И как это соотносится с безопасностью?
Возможно таким образом мы отсекаем потенциальные дополнительные открытые порты разработчиком....
Это нужно если злоумышленник попал в контейнер Y с другим приложением, которое обычно не отправляет запросы к приложению X. Так уже будет сильно меньше диапазона для дальнейшей атаки, а в некоторых случаях даже в интернет не попасть, чтобы что-то напрямую запросить/отправить.
И да, если сам разработчик открыл порты лишние "для себя".
Фильтрация на третьем уровне это жесткач, будет работать, если мы открываем только порты, а не какие то определённые хосты. С хостами будет напряжнее, потому что обычно обращения идут по имени.
Насколько я помню, Zero Trust это ещё и шифрование, тут его нет? Тот же Istio заботится о клиенте и выставляет mutual trust через mTLS.
Прикрутить mTLS крутой следующий шаг в освоении ZT. Мы эту практику упомянули в принципах ZTNA. Сами разработчики Calico для этой задачи рекомендую использовать упомянутый вами Istio (https://projectcalico.docs.tigera.io/security/adopt-zero-trust).
Защищаем данные на проекте: про плагин Calico и правила работы с ним