Petit fil de #LiveToot aux #CampsClimats2023 organisés par #PlanB à #Jarville.
Pas eu le temps de suivre autre chose, donc je rejoins la salle discrète, à l'arrière d'une salle des fêtes, sise entre quelques arbres, qui accueille la conférence "Impact écologique du #numérique" présentée par #Attac.
🧵
#livetoot #campsclimats2023 #planb #jarville #numerique #attac
Stoked to watch the #GOPdebate tonight (August 23, 2023 at 9p EDT)... maybe #Mastodon will have interesting #liveToot commentary?
#livetoot #Mastodon #gopdebate
Tonight's another lone wolf movie night! Seriously first scene someone gets a sword stuck in their head and a pouncing swordsmen is struck down with another baby cart weapon.
Did I just write that? Yes yes I did. I gonna live toot for my own amusement.
so what's the etiquette to #livetoot things here? put everything behind spoiler tags?
Je commence à regarder la série "Silo" (2023). Je sais pas de quoi ça parle. On va voir au fur et à mesure.
Next of the menu: Lose You To Find Me by Erik J Brown #livetoot
After the brilliant All That’s Left in the World, I’m excited to get into this new #lgbtbook. I can’t wait to get into #queerbooks and this is no exception.
#livetoot #lgbtbook #queerbooks #queermedia #lgbtqia #lgbtbooks #lgbt
In contrast to Anetra's song. I love Anetra but that outfit nor the song were superstar material
#dragrace #dragrace15 #livetoot
Le talk de Tiffany donne une tonne de pistes pour la sécurité sur Kubernetes ; je pense que chaque paire de slides pourrait être un talk de 45 minutes 😅
Elle parle maintenant de l'importance des backups - en terme de sécurité ça peut être le filet de sécurité contre les ransomwares
Et de l'observabilité - qui peut nous donner des signes avant-coureurs qu'il se passe un truc pas net sur nos clusters
#livetoot #devoxx #kubernetes #security
Ensuite ça parle de vulnerability scanning, attestations...
J'avais vu un très bon talk sur tous ces concepts de software supply chain par Mohamed Abdennebi à #KCDFrance avec SLSA, sigstore, etc.
(https://www.youtube.com/watch?v=cWpC96J05gI&list=PLmZ3gFl2Aqt8KydeXjUFbzjkTn4RtHcX1&index=8)
#KCDFrance #livetoot #devoxx #kubernetes #security
Ensuite on parle de "software supply chain". Un mode d'attaque dont on parle beaucoup ce temps-ci.
L'idée c'est de s'assurer que personne ne peut insérer une saleté dans vos containers qui tournent en prod, ... et c'est compliqué parce qu'il faut sécuriser :
- l'accès au dépôt de code
- l'accès aux macines des devs
- les pipelines de test/build
- la configuration de ce pipelines
Toute la chaîne doit être sécurisée ce qui est assez coton
#livetoot #devoxx #kubernetes #security
Autre pro-tip :
Si vous êtes à l'arrache et pas le temps de mettre des permissions ultra fines, vous pouvez a minima donner des permissions au niveau namespace. Même pas besoin de créer de Role/ClusterRole, vous pouvez utiliser view/edit/admin.
#livetoot #devoxx #kubernetes #security
Pro-tip:
kubectl auth can-i --list
→ liste toutes les permissions qu'on a (et si on ajoute "--as toto" ça nous liste les permissions de toto, grâce à la "impersonation API")
Et pour encore plus de fanciness:
kubectl access-matrix
...Et quelques tools que j'ai pas eu le temps de noter 😅
(Mais ça sera dans le replay)
#livetoot #devoxx #kubernetes #security
On parle ensuite du RBAC (je dois avouer que je m'étais un peu planté, je croyais que c'était son talk sur le RBAC là, mais non son talk sur le RBAC sera demain vendredi matin)
Alors, le point vraiment clé :
utilisez des secrets à courte durée de vie (ça nous rappelle OAUTH et compagnie, avec le coup des token qu'on refresh).
Ça ne résoud pas tout, mais ça limite plein de menaces (e.g. quelqu'un qui aurait encore un mdp 6 mois après être parti)
#livetoot #devoxx #kubernetes #security
Damn elle couvre beaucoup de trucs dans son talk, je galère à tout noter 😅
Donc next : gestion des secrets (API tokens, passwords, clés TLS...)
Recommandation : n'utilisez pas *directement* les secrets ; passez par un système de "secret management" (Vault, KMS cloud, Kamus, Sealed Secrets) - pas mal d'options différentes selon vos besoins
(En tout cas, ne pas commit ses secrets direct dans du YAML dans un repo, d'uh!)
#livetoot #devoxx #kubernetes #security
On enchaîne avec la sécurité réseau... Qu'est-ce qu'on peut faire pour blinder ses clusters ?
- Network Policies Ingress/Egress (ce que j'appelle vulgairement "le firewall de k8s")
- Service Mesh pour complètement chiffrer le trafic (un peu overkill àmha mais c'est possible)
#cilium #ebpf #livetoot #devoxx #kubernetes #security
Tiffany explique "ce qui peut partir en cacahuète quand on upgrade son cluster" : grosso modo, le problème principal, c'est les API qui évoluent ; exemple récent l'API Ingress qui est passé de v1beta1 à v1.
Mais K8S nous donne une fenêtre d'environ 1 an durant laquelle on peut utiliser les 2 versions en parallèle, du coup c'est plutôt bon esprit et pas trop stressant à gérer si on s'y prend pas à la dernière minute
#livetoot #devoxx #kubernetes #security
On continue avec une règle super importante :
METTEZ VOS KUBERNETES À JOUR
Pareil j'imagine/espère que c'est assez obvious pour pas mal de gens mais ça va mieux en le disant (et vous seriez surpris·e/choqué·e de voir ce que certaines personnes font tourner en prod! SA PLACE EST DANS UN MUSÉE comme dirait Papa Jones)
#livetoot #devoxx #kubernetes #security