Kapitel 8. Politik

Sobald ein System auf einem soliden Fundament aufgebaut ist, muss es richtig genutzt werden, um seine Integrität zu erhalten. Eine Seefestung zu bauen, um eine Insel vor Piraten zu verteidigen, ist die halbe Miete, gefolgt von der Entsendung von Wachen auf den Wachturm und der Bereitschaft, sich jederzeit verteidigen zu können.

Wie die Befehle an die Wachen des Forts legen die Richtlinien, die auf einen Cluster angewendet werden, die Bandbreite der erlaubten Verhaltensweisen fest. Zum Beispiel, welche Sicherheitskonfigurationsoptionen ein Pod verwenden muss, welche Speicher- und Netzwerkoptionen, Container-Images und andere Merkmale derWorkloads.

Richtlinien müssen zwischen Clustern und der Cloud synchronisiert werden (Admission Controller, IAM-Richtlinie, Security Sidecars, Service Mesh, seccomp und AppArmor-Profile) und durchgesetzt werden. Außerdem müssen die Richtlinien auf die Workloads ausgerichtet sein, was die Frage nach der Identität aufwirft: Können wir die Identität eines Workloads nachweisen, bevor wir ihm Privilegien erteilen?

In diesem Kapitel schauen wir uns an, was passiert, wenn Richtlinien nicht durchgesetzt werden, wie die Identität von Workloads und Betreibern verwaltet werden sollte und wie der Captain versuchen würde, potenzielle Löcher in unseren Verteidigungsmauern zu schließen.

Zunächst gehen wir auf die ...