За гранью безопасности: как защитить секреты от дампа памяти
Доклад отклонён
Целевая аудитория
Тезисы
Решения на основе HashiCorp Vault прочно заняли свою нишу на рынке ИТ. Большое количество компаний и отдельных проектов используют их как систему для централизованного хранения инфраструктурных секретов или как систему PKI. В Vault архитектурно заложена невозможность повлиять на состояние прав доступа в хранилище в обход его политик безопасности, а значит, извлечь данные в обход политик тоже невозможно. Но что, если злоумышленник вооружится такими инструментами, как strace, gcore, gdb, или вообще сделает снапшот виртуальной машины? Устоит ли защита?
В докладе мы разберём потенциальные проблемы утечки данных, если злоумышленник уже получил административные права в ОС, где запущена система хранения секретов, или получил доступ к системе виртуализации, а также поговорим о способах защиты данных в такой ситуации.
Руководитель разработки Deckhouse Stronghold во «Фланте». 25 лет в ИТ, из них 5 лет — в DevOps. Имеет богатый опыт эксплуатации Kubernetes и внедрения хранилищ секретов для компаний из различных отраслей.
Видео
Другие доклады секции
Secure by design. Безопасность, DevSecOps
