2/21 - HackMD

# 2/21 - 雲原生金融業、製造業… - 衛星軌道(最遠的容器) CNCF：Cloud Native Computing Foundation K8S：Kubernetes Containerized: 封裝 (部署時間從2小時到5分鐘) OCI(Open Container Initiative) Container runtime interface 1. Csontainered 2. CRI-O 3. Docker Engine 4. Mirantis Container Runtime K8S - 多租戶管理: 很多user可以自行管理 - 平台擴充: 增加一個運算節點(作業環境…)只要15分鐘 - 高可用性管理: 三個節點去做資料保護(以免某個壞掉，全部不能用) - 多元儲存 - 自定義資源: 一次call很多服務 - 滾動式升級 - 應用服務擴展性: 自動偵測流量，開節點 - 自動化負載平衡 - 自動重啟異常服務 - 容器網路管理 Pods(po) - Code - 豆莢 Service(svc) - Logical set of pods to access Rancher：雲原生管理工具 K8S叢集統一管理 How do we control? - Dashboard ## DevSecOps, Risk Shift-Left(安全左移) - DevSecOps - Dev: Development - Sec: Security - Ops: Operation - 無論在哪個環境，都需要用工具掃描source code（有些有資安風險）來避免出安全性問題 - e.g., 地端：CI/CD工具每隔一段時間就去掃描source code - 邊際效應，越尾巴才發現越危險，最好在根源解決 - 環境出包，CIO會被拉去罵 ## Monolithic and Microservice - 傳統 -> VM -> container雲原生(code壓縮，部署很快) 開發整合 - Jenkins：build code、整合開發 - Git：版控 - Sonarqube：掃描source code - 要建多個環境(for測試)，最後才能正式上線 ## 為什麼傳統的資安產品部適用雲原生環境？ - 容器雲平台和映像增大了攻擊面 - 無法感知叢集內東西向流量 - 無法感知到容器的創建和銷毀問題 - 沒人用的東西沒漏洞 - 有可能拉到有問題的image ## 企業級容器雲平台應該具備的能力? **零信任容器安全**，再結合... - 網路可視化 - 雲原生容器防火牆 - DLP/WAF 防護：封包檢查（檢查格式、送出錢就擋掉等等） - DevSecOps：可念成SecDevOps - 容器微隔離：容器做完不會是唯讀（可以再裝套件） - 自動化安全策略 => 用工具做到這些事情，不用通靈 ## 完整生命週期零信任安全防禦 ### pipeline安全 1. 精準控制 2. 合規掃描✨：有規範須要遵循，符合稽核單位要求 - e.g., 有些image哪些做某些設定來避免風險 3. 漏洞掃描 ### 運行時安全 1. 零信任防護 - 自動學習：抓出你的容器跑了哪些service、export結果用到正式環境 - 網路 - 程序 - 檔案 - Security as Code 2. 威脅防護 - CVEs - 資料外洩 - 網路防護 3. 運行時掃描 ## Neuvector架構 - Controller：控制提供服務的pods - Scanner：封包近來先送進scanner - Enforcer: 監控container用的service - latency很低 ### 用途 - 針對叢集去學習，繪製叢集的關係 - 進出資料格式是否符合規定，不然會踢出 - 3種mode：discover、monitor、protect ## Reference K3S：跟k8s比較為輕量 ## Q&A ### open source怎麼賺錢? - 比喻：水 - 有人需要service，SUSE會為他們客製化開發、support ### 哪些產業會抗拒雲原生？ - 有錢的產業（e.g., 金融單位:線上支付...）不會抗拒雲原生 - 東西沒壞不會想換 - 願意投資在能幫它賺更多錢的技術 ### 做架構師的準備？ - 從小專案開始打好基礎 - 累積經驗、內化、等待機會 ### 如何判斷這項技術是熱門、能往下走？走出同溫層 ### 第一份工作重要嗎？ - 非！常！重！要！ - 要挑對：） - 工作經驗<1年他就不看 - 善用工具（求職天眼通） ### 到後期一定要轉換跑道（管理職）嗎？ SWD做多久=看身體撐多久 ### SWD要廣還是專精？先找精（大概可知應用場景），再找廣（觸類旁通，學很快） ### 擔任consultant or presale的人格特質？ - 會說人話、臉皮厚 - 不用寫code，但你要了解、會使用這些技術，轉成老闆聽得懂的東西 ### 導入醫療界的經驗 - 醫療資訊系統(HIS) - AI系統(檢測腫瘤狀況...) ### 入錯行的解法 - 想好萬全的說法 - 瞄準你要的領域，趕快跑 ## 如何評估發展性？ > 台積（錢多、沒發展性）vs.趨勢（錢少、可跳外商） - 混口飯吃：找輕鬆的 - 茫然的人可以多累積點盤纏