DevOps очень активно развивается и приносит нам регулярно огромное количество инструментов для лучшей жизни. Однако у этого есть и обратная сторона медали. Есть мнение, что изобилие новых технологий и инструментов может породить проблемы с безопасностью. Мы так увлечены внедрением нового инструмента CI или новой системы мониторинга, что забываем спросить - а как там вообще дело с безопасностью?

И Kubernetes к сожалению не является исключением. Если вы плотно работаете с ним, то уже в курсе как часто выходят новые версии этого оркестратора. При этом вопросы безопасности ваших приложений в Kubernetes и самой инфраструктуры становятся все острее и острее.

Но кажется, что сообщество обратило на это внимание и сейчас активно выходят фичи, которые позволяют гибко настроить политики безопасности. И одной из очень перспективных на мой взгляд технологий является Open Policy Agent, который реализован в Kubernetes с помощью Gatekeeper.

В рамках доклада мы с вами разберемся:

- Что такое Open Policy Agent (OPA) и почему за ним будущее?
- Как можно валидировать вообще все объекты, что создаются в Kubernetes, с помощью только одного admission-controller'а?
- Как и чем заменить устаревший PSP, получив при этом кучу дополнительной полезной функциональности?
- Как внедрить Gatekeeper в большой работающий кластер на продакшн и при этом ничего не сломать?
- Какие важные аспекты и подводные камни необходимо учитывать при внедрении у себя OPA/Gatekeeper?