Достаточно недавно один из моих самых любимых/интересных/перспективных/... Kubernetes operators под названием The Kubernetes Security Profiles Operator получил серьезные обновления.
Огромная работа была проделана в направлении автоматического создания/записи seccomp профиля для нужного Pod. Технически это реализовано с помощью двух механизмов доступных на выбор: oci-seccomp-bpf-hook или через оценку auditd или syslog файлов. Как это все просто сейчас выглядит можно посмотреть в данном видео. Но не забываем о покрытии ПО тестами, чтобы получить максимально полную, правильную картину для профиля!
Таким образом на сегодняшний день данный Kubernetes operators в своем арсенале имеет:
- SeccompProfile CRD для хранения seccomp профилей
- ProfileBinding CRD для связывания профилей и Pods
- ProfileRecording CRD для записи seccomp профиля с Pods
- Синхронизацию seccomp профилей на всех Nodes
- Проверку Nodes на поддержку seccomp
- Поддержку метрик для Prometheus
Очень рад как развивается данный инструмент)
>>Click here to continue<<
