{"id":316826,"date":"2021-01-23T15:00:22","date_gmt":"2021-01-23T15:00:22","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=316826"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=316826","title":{"rendered":"\u041a\u0430\u043a \u044f \u0441\u0434\u0430\u0432\u0430\u043b Certified Kubernetes Security"},"content":{"rendered":"\n<div class=\"post__text post__text_v2\" id=\"post-content-body\">\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/d6b\/008\/674\/d6b0086744c2eb12ab9f1d0ca16afcfb.png\" width=\"300\" height=\"285\"><figcaption><\/figcaption><\/figure>\n<p>\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442.<\/p>\n<p>\u0425\u043e\u0447\u0443 \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0441\u0432\u043e\u0438\u043c \u043e\u043f\u044b\u0442\u043e\u043c \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u0441\u0434\u0430\u0447\u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">Certified Kubernetes Security<\/a> (CKS) \u043e\u0442 <a href=\"https:\/\/linuxfoundation.org\/\" rel=\"noopener noreferrer nofollow\">Linux Foundation<\/a>. \u0414\u0430\u043d\u043d\u044b\u0439 \u044d\u043a\u0437\u0430\u043c\u0435\u043d, \u043a\u0430\u043a \u043d\u0435\u0442\u0440\u0443\u0434\u043d\u043e \u0434\u043e\u0433\u0430\u0434\u0430\u0442\u044c\u0441\u044f, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043d\u0430\u0448\u0438 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 Kubernetes \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0445 \u0432 \u043d\u0435\u043c. \u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043c\u043d\u0435 \u043f\u043e\u043d\u0440\u0430\u0432\u0438\u043b\u0441\u044f, \u043e\u043d \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0441 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0442\u043e\u0447\u0435\u043a \u0437\u0440\u0435\u043d\u0438\u044f, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Falco, Trivy, kube-bench, Open Policy Agent, gVisor \u0438 \u0434\u0440. \u0421\u0430\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043c\u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0443\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0441\u043b\u043e\u0436\u043d\u044b\u043c, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 CKA, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u043e\u043b\u044c\u0448\u0435 \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d \u043d\u0430 \u043d\u043e\u0432\u0438\u0447\u043a\u043e\u0432 \u0432 Kubernetes.<\/p>\n<p>\u0412\u043d\u0430\u0447\u0430\u043b\u0435 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u0432 \u0446\u0435\u043b\u043e\u043c \u043e\u0431 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435 \u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u043a \u043d\u0435\u043c\u0443, \u0430 \u0437\u0430\u0442\u0435\u043c \u043f\u0435\u0440\u0435\u0439\u0434\u0443 \u043a \u0442\u0435\u043c\u0430\u043c, \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u043c\u044b\u043c \u043d\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435.<\/p>\n<p>\u041d\u0430 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u0441\u0435\u0433\u043e \u0434\u0432\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 Kubernetes &#8212; \u044d\u0442\u043e, \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0441\u0430\u043c CKS, \u0430 \u0442\u0430\u043a\u0436\u0435 <a href=\"https:\/\/www.redhat.com\/en\/services\/training\/ex425-red-hat-certified-specialist-security-containers-and-openshift-container-platform-exam\" rel=\"noopener noreferrer nofollow\">Red Hat Certified Specialist in Security: Containers and OpenShift<\/a>, \u0438\u043c\u0435\u044e\u0449\u0438\u0439 \u0434\u0435\u043b\u043e \u0441 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e OpenShift. \u042d\u0442\u0438 \u0434\u0432\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u0432\u043e \u043c\u043d\u043e\u0433\u043e\u043c \u043f\u0435\u0440\u0435\u0441\u0435\u043a\u0430\u044e\u0442\u0441\u044f, \u043e\u0434\u043d\u0430\u043a\u043e \u043f\u043e \u041e\u043f\u0435\u043d\u0448\u0438\u0444\u0442\u0443 \u044f \u0441\u0447\u0438\u0442\u0430\u044e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u0441\u0435 \u0436\u0435 \u0441\u043b\u043e\u0436\u043d\u0435\u0435 (\u0435\u0433\u043e \u044f \u0431\u043b\u0430\u0433\u043e\u043f\u043e\u043b\u0443\u0447\u043d\u043e \u0437\u0430\u0432\u0430\u043b\u0438\u043b). <\/p>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u0441\u0442\u043e\u0438\u0442 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">300$<\/a>, \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">Kubernetes Security Fundamentals (LFS260)<\/a> \u0441\u0442\u043e\u0438\u0442 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">299$<\/a>, \u043c\u043e\u0436\u043d\u043e \u043a\u0443\u043f\u0438\u0442\u044c \u043a\u0443\u0440\u0441 \u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u043c\u0435\u0441\u0442\u0435 \u0437\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260-cks-exam-bundle\/\" rel=\"noopener noreferrer nofollow\">499$<\/a>. \u042f \u043a\u0443\u043f\u0438\u043b \u043a\u0443\u0440\u0441 \u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u043c\u0435\u0441\u0442\u0435 \u0437\u0430 200$ \u043d\u0430 \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u043f\u0440\u0435\u0434\u043d\u043e\u0432\u043e\u0433\u043e\u0434\u043d\u0435\u0439 \u0440\u0430\u0441\u043f\u0440\u043e\u0434\u0430\u0436\u0435 \u043e\u0442 Linux Foundation. <\/p>\n<p>\u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u043c \u0443\u0441\u043b\u043e\u0432\u0438\u0435\u043c \u0434\u043b\u044f \u0441\u0434\u0430\u0447\u0438 CKS \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-administrator-cka\/\" rel=\"noopener noreferrer nofollow\">CKA<\/a> (Certified Kubernetes Administrator). \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043a\u0443\u043f\u0438\u0442\u044c CKS, \u043d\u043e \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442\u0435 \u043d\u0430\u0437\u043d\u0430\u0447\u0438\u0442\u044c \u044d\u043a\u0437\u0430\u043c\u0435\u043d, \u043f\u043e\u043a\u0430 \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 CKA. \u0417\u0432\u0443\u0447\u0438\u0442 \u043b\u043e\u0433\u0438\u0447\u043d\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u044d\u043a\u0437\u0430\u043c\u0435\u043d CKS \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0433\u043e\u0440\u0430\u0437\u0434\u043e \u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u043c \u0447\u0435\u043c CKA.<\/p>\n<p>\u041d\u043e \u0431\u043b\u0438\u0436\u0435 \u043a \u0434\u0435\u043b\u0443. \u0414\u043b\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0434\u0432\u0430 \u043a\u0443\u0440\u0441\u0430:<\/p>\n<ol>\n<li>\n<p>\u041e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 \u043e\u0442 Linux Foundation: <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">Kubernetes Security Fundamentals (LFS260)<\/a>. \u041d\u0435 \u0445\u043e\u0447\u0443 \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u043b\u043e\u0445\u043e\u0433\u043e \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e Linux Foundation, \u043d\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 \u0443 \u043d\u0438\u0445 \u0432\u044b\u0448\u0435\u043b \u043d\u0435\u0443\u0434\u0430\u0447\u043d\u044b\u043c. \u041d\u0435\u0442 \u0432\u043d\u044f\u0442\u043d\u043e\u0433\u043e \u043e\u0431\u044a\u044f\u0441\u043d\u0435\u043d\u0438\u044f, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0442\u0430 \u0438\u043b\u0438 \u0438\u043d\u0430\u044f \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f \u0438\u043b\u0438 \u0444\u0438\u0447\u0430, \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043e\u0431\u0449\u0438\u0445 \u043a\u0440\u0430\u0441\u0438\u0432\u044b\u0445 \u0441\u043b\u043e\u0432 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a\u0430\u044f \u044d\u0442\u043e \u043a\u0440\u0443\u0442\u0430\u044f \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f, \u0430 \u0437\u0430\u0442\u0435\u043c \u0441\u0440\u0430\u0437\u0443 \u043a\u0430\u043a\u0430\u044f-\u0442\u043e \u043d\u0435\u0432\u043d\u044f\u0442\u043d\u0430\u044f \u043b\u0430\u0431\u0430 \u0432 PDF (\u0432\u044b \u0447\u0442\u043e, \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e?!), \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0442\u0430\u043a\u0436\u0435 \u043d\u0438\u0447\u0435\u0433\u043e \u0442\u043e\u043b\u043a\u043e\u043c \u043d\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442\u0441\u044f. \u0422\u0430\u043a\u043e\u0435 \u043e\u0449\u0443\u0449\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u043a\u0443\u0440\u0441 \u0434\u0435\u043b\u0430\u043b\u0438 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044e\u044e \u043c\u0438\u043d\u0443\u0442\u0443 \u0432 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0441\u043f\u0435\u0448\u043a\u0435. \u041f\u0440\u0438\u0442\u043e\u043c, \u0447\u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u043e\u0447\u0435\u043d\u044c \u0434\u0430\u0436\u0435 \u043d\u0435\u043f\u043b\u043e\u0445\u0438\u043c.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/www.udemy.com\/course\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">\u041a\u0443\u0440\u0441 \u043d\u0430 Udemy<\/a> \u0437\u0430 3599 \u0440\u0443\u0431. \u041f\u0440\u0438\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u044f \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u043f\u0430\u0441\u0430\u043b\u0441\u044f \u043f\u043e\u043a\u0443\u043f\u0430\u044f &#171;\u043a\u043e\u0442\u0430 \u0432 \u043c\u0435\u0448\u043a\u0435&#187;, \u043e\u0434\u043d\u0430\u043a\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u0435\u0432\u0437\u043e\u0448\u043b\u0430 \u0432\u0441\u0435 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u044f. \u041a\u0443\u0440\u0441 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c, \u043e\u043d \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0440\u0430\u0441\u043a\u0440\u044b\u043b \u0432\u0441\u0435 \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u044b, \u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0441\u044f \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u0434\u044b\u0445\u0430\u043d\u0438\u0438. \u041a \u043a\u0443\u0440\u0441\u0443 \u043f\u0440\u0438\u043b\u0430\u0433\u0430\u044e\u0442\u0441\u044f \u0442\u0430\u043a\u0436\u0435 \u0434\u0432\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0445 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043d\u0430 <a href=\"https:\/\/killer.sh\" rel=\"noopener noreferrer nofollow\">https:\/\/killer.sh<\/a>. \u042d\u0442\u043e \u043f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u044b\u0435 \u043b\u0430\u0431\u044b \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436\u0438\u0435 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0442\u0438\u0442\u0441\u044f \u043d\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435, \u0442.\u0435. \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043d\u044b\u0439 \u0432\u0435\u0431-\u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b \u0441\u043f\u0440\u0430\u0432\u0430 \u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u043b\u0435\u0432\u0430. \u041a\u0430\u043a \u0443\u0432\u0435\u0440\u044f\u0435\u0442 \u0430\u0432\u0442\u043e\u0440 \u043a\u0443\u0440\u0441\u0430, \u044d\u0442\u0438 \u043b\u0430\u0431\u044b \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u0443\u0441\u043b\u043e\u0436\u043d\u0435\u043d\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0435\u0439 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430, \u0442.\u0435. \u0435\u0441\u043b\u0438 \u0432\u044b \u0441\u0434\u0435\u043b\u0430\u0435\u0442\u0435 \u044d\u0442\u0438 \u043b\u0430\u0431\u044b, \u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u044b \u0442\u043e\u0447\u043d\u043e \u0441\u0434\u0430\u0434\u0438\u0442\u0435. \u041a\u0430\u043a \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u043e\u0441\u044c, \u0430\u0432\u0442\u043e\u0440 \u0431\u044b\u043b \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u043f\u0440\u0430\u0432.<\/p>\n<\/li>\n<\/ol>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 15-20 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u0440\u043e\u0432\u043d\u043e 2 \u0447\u0430\u0441\u0430 \u0442.\u0435. \u0432 \u0441\u0440\u0435\u0434\u043d\u0435\u043c 6-8 \u043c\u0438\u043d\u0443\u0442 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0432\u043e\u043f\u0440\u043e\u0441. \u042d\u0442\u043e \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0441\u0436\u0430\u0442\u044b\u0435 \u0441\u0440\u043e\u043a\u0438. \u041b\u0438\u0447\u043d\u043e \u044f, \u0438\u043c\u0435\u044f \u043c\u043d\u043e\u0433\u043e \u043e\u043f\u044b\u0442\u0430 \u0441 Kubernetes \u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0432 \u0434\u0432\u0430 \u043a\u0443\u0440\u0441\u0430 \u0438 \u0441\u0434\u0435\u043b\u0430\u0432 \u0434\u0432\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0445 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043d\u0430 killer.sh, \u0443\u043b\u043e\u0436\u0438\u043b\u0441\u044f \u0432 1 \u0447\u0430\u0441 40 \u043c\u0438\u043d\u0443\u0442.<\/p>\n<p>\u041f\u0440\u043e\u0445\u043e\u0434\u043d\u043e\u0439 \u0431\u0430\u043b\u043b \u043d\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435 67%, \u0447\u0442\u043e \u043d\u0430 \u043c\u043e\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0434\u0435\u043c\u043e\u043a\u0440\u0430\u0442\u0438\u0447\u043d\u043e. \u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043b\u0435\u0433\u043a\u0438\u043c \u043d\u0435 \u043d\u0430\u0437\u043e\u0432\u0435\u0448\u044c, \u043d\u043e \u043d\u0438\u0437\u043a\u0438\u0439 \u043f\u0440\u043e\u0445\u043e\u0434\u043d\u043e\u0439 \u0431\u0430\u043b\u043b \u0432\u0438\u0434\u0438\u043c\u043e \u043f\u0440\u0438\u0437\u0432\u0430\u043d \u0441\u0433\u043b\u0430\u0434\u0438\u0442\u044c \u044d\u0442\u043e\u0442 &#171;\u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u043a&#187;.<\/p>\n<p>\u0412 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0442\u0435 \u0441 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u043e\u043c \u0438\u0434\u0435\u0442 \u043e\u0434\u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u0430\u044f \u043f\u0435\u0440\u0435\u0441\u0434\u0430\u0447\u0430. \u042d\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043a\u0440\u0443\u0442\u043e \u0438 \u0437\u0434\u043e\u0440\u043e\u0432\u043e \u0443\u0441\u043f\u043e\u043a\u0430\u0438\u0432\u0430\u0435\u0442 \u043d\u0435\u0440\u0432\u044b, \u043e\u0431\u043b\u0435\u0433\u0447\u0430\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0443.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 &#8212; \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430. \u041e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043c \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f CKS<\/a>. \u041d\u0430 \u0432\u0441\u044f\u043a\u0438\u0439 \u0441\u043b\u0443\u0447\u0430\u0439 \u043f\u0440\u043e\u0434\u0443\u0431\u043b\u0438\u0440\u0443\u044e \u0435\u0433\u043e \u0437\u0434\u0435\u0441\u044c:<\/p>\n<details class=\"spoiler\">\n<summary>\u0421\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430<\/summary>\n<div class=\"spoiler__content\">\n<p><strong>Cluster Setup (10%)<\/strong><\/p>\n<ol>\n<li>\n<p>Use Network security policies to restrict cluster level access<\/p>\n<\/li>\n<li>\n<p>Use CIS benchmark to review the security configuration of Kubernetes components (etcd, kubelet, kubedns, kubeapi)<\/p>\n<\/li>\n<li>\n<p>Properly set up Ingress objects with security control<\/p>\n<\/li>\n<li>\n<p>Protect node metadata and endpoints<\/p>\n<\/li>\n<li>\n<p>Minimize use of, and access to, GUI elements<\/p>\n<\/li>\n<li>\n<p>Verify platform binaries before deploying<\/p>\n<\/li>\n<\/ol>\n<p><strong>Cluster Hardening (15%)<\/strong><\/p>\n<ol>\n<li>\n<p>Restrict access to Kubernetes API<\/p>\n<\/li>\n<li>\n<p>Use Role Based Access Controls to minimize exposure<\/p>\n<\/li>\n<li>\n<p>Exercise caution in using service accounts e.g. disable defaults, minimize permissions on newly created ones<\/p>\n<\/li>\n<li>\n<p>Update Kubernetes frequently<\/p>\n<\/li>\n<\/ol>\n<p><strong>System Hardening15%<\/strong><\/p>\n<ol>\n<li>\n<p>Minimize host OS footprint (reduce attack surface)<\/p>\n<\/li>\n<li>\n<p>Minimize IAM roles<\/p>\n<\/li>\n<li>\n<p>Minimize external access to the network<\/p>\n<\/li>\n<li>\n<p>Appropriately use kernel hardening tools such as AppArmor, seccomp<\/p>\n<\/li>\n<\/ol>\n<p><strong>Minimize Microservice Vulnerabilities (20%)<\/strong><\/p>\n<ol>\n<li>\n<p>Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts<\/p>\n<\/li>\n<li>\n<p>Manage Kubernetes secrets<\/p>\n<\/li>\n<li>\n<p>Use container runtime sandboxes in multi-tenant environments (e.g. gvisor, kata containers)<\/p>\n<\/li>\n<li>\n<p>Implement pod to pod encryption by use of mTLS<\/p>\n<\/li>\n<\/ol>\n<p><strong>Supply Chain Security20%<\/strong><\/p>\n<ol>\n<li>\n<p>Minimize base image footprint<\/p>\n<\/li>\n<li>\n<p>Secure your supply chain: whitelist allowed registries, sign and validate images<\/p>\n<\/li>\n<li>\n<p>Use static analysis of user workloads (e.g.Kubernetes resources, Docker files)<\/p>\n<\/li>\n<li>\n<p>Scan images for known vulnerabilities<\/p>\n<\/p>\n<\/li>\n<\/ol>\n<p><strong>Monitoring, Logging and Runtime Security20%<\/strong><\/p>\n<ol>\n<li>\n<p>Perform behavioral analytics of syscall process and file activities at the host and container level to detect malicious activities<\/p>\n<\/li>\n<li>\n<p>Detect threats within physical infrastructure, apps, networks, data, users and workloads<\/p>\n<\/li>\n<li>\n<p>Detect all phases of attack regardless where it occurs and how it spreads<\/p>\n<\/li>\n<li>\n<p>Perform deep analytical investigation and identification of bad actors within environment<\/p>\n<\/li>\n<li>\n<p>Ensure immutability of containers at runtime<\/p>\n<\/li>\n<li>\n<p>Use Audit Logs to monitor access<\/p>\n<\/li>\n<\/ol>\n<\/div>\n<\/details>\n<p>\u041f\u0440\u0438\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u043a\u043e\u0433\u0434\u0430 \u044f \u0432\u043d\u0430\u0447\u0430\u043b\u0435 \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u043b \u0434\u0430\u043d\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a, \u0442\u043e \u043f\u043e\u0434\u0443\u043c\u0430\u043b, \u0447\u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0431\u0443\u0434\u0435\u0442 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0430\u0442\u044c &#8212; \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043c\u043d\u043e\u0433\u043e \u0442\u0435\u043c \u0438 \u0432\u0441\u0435 \u043e\u0447\u0435\u043d\u044c \u043e\u0431\u0448\u0438\u0440\u043d\u044b\u0435. \u041d\u043e \u043f\u043e\u0442\u043e\u043c \u043f\u043e\u0434\u0443\u043c\u0430\u043b, \u0447\u0442\u043e \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u043c\u043d\u043e\u0433\u0438\u0435 \u0442\u0435\u043c\u044b \u0431\u0443\u0434\u0443\u0442 \u043e\u0441\u0432\u0435\u0449\u0435\u043d\u044b \u0432 \u043a\u0443\u0440\u0441\u0435, \u0430 \u0432 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043d\u0435 \u043f\u043e\u043f\u0430\u0434\u0443\u0442. \u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a \u0438 \u0432\u044b\u0448\u043b\u043e.<\/p>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0438 \u043f\u0440\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u044f \u0443\u0437\u043d\u0430\u043b \u043c\u043d\u043e\u0433\u043e \u043d\u043e\u0432\u043e\u0433\u043e. \u0411\u043e\u043b\u044c\u0448\u0435 \u0432\u0441\u0435\u0433\u043e \u043c\u043d\u0435 \u043f\u043e\u043d\u0440\u0430\u0432\u0438\u043b\u0430\u0441\u044c \u0442\u0443\u043b\u0437\u0430 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/falco.org\/\" rel=\"noopener noreferrer nofollow\">Falco<\/a> \u043e\u0442 Sysdig. \u042d\u0442\u0430 \u0442\u0443\u043b\u0437\u0430 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0432\u044b\u0437\u043e\u0432\u044b \u044f\u0434\u0440\u0430 Linux \u0438 \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0435\u0442 \u0430\u043b\u0435\u0440\u0442\u044b, \u0435\u0441\u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c. \u0412 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0442\u0435 \u0441 Falco \u0438\u0434\u0435\u0442 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0445 \u043f\u0440\u0435\u0434\u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0430\u0432\u0438\u043b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440: <\/p>\n<ol>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0438\u043b\u0438 \u0437\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0441 <code>hostPID<\/code> \u0438\u043b\u0438 <code>hostNetwork<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u043f\u0440\u0438\u043c\u043e\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0430\u0436\u043d\u044b\u0435 \u0445\u043e\u0441\u0442\u043e\u0432\u044b\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 <code>hostPath<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435<\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0447\u0438\u0442\u0430\u0442\u044c \u0438\u043b\u0438 \u043f\u0438\u0441\u0430\u0442\u044c \u0432 \u0432\u0430\u0436\u043d\u044b\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 <code>\/etc<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 IP-\u0430\u0434\u0440\u0435\u0441\u0430\u043c\u0438 \u043d\u0435 \u0438\u0437 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430<\/p>\n<\/li>\n<li>\n<p>\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435<\/p>\n<\/li>\n<\/ol>\n<p>\u0438 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435.<\/p>\n<p>\u041f\u043e\u043c\u0438\u043c\u043e \u044d\u0442\u043e\u0433\u043e, Falco \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 <a href=\"https:\/\/falco.org\/docs\/event-sources\/kubernetes-audit\/\" rel=\"noopener noreferrer nofollow\">\u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u043e\u0432<\/a> Kubernetes, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044f \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0435\u0439 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 Kubernetes API, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<ol>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0438\u043b\u0438 \u0437\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0441 <code>hostPID<\/code> \u0438\u043b\u0438 <code>hostNetwork<\/code>.<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u043e\u0432<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u043d\u0435 \u0438\u0437 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430 \u0438\u043c\u0435\u0439\u0434\u0436\u0435\u0439<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043f\u043e\u0434\u043e\u0432 \u0432 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0435 kube-system<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 <code>ClusterRoleBinding<\/code> \u0441 cluster-admin \u043a\u043b\u0430\u0441\u0442\u0435\u0440 \u0440\u043e\u043b\u044c\u044e<\/p>\n<\/li>\n<\/ol>\n<p>\u0438 \u043e\u043f\u044f\u0442\u044c \u0436\u0435 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435. <\/p>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u0432\u0430\u0436\u043d\u043e \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e Falco \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043d\u0438\u0447\u0435\u0433\u043e \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u0442\u044c. \u042d\u0442\u043e \u043b\u0438\u0448\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u043e\u0432, \u0442.\u0435. \u043e\u043d \u043f\u043e\u0441\u0442\u0444\u0430\u043a\u0442\u0443\u043c \u0434\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0443\u0436\u0435 \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u043b\u043e. \u0422\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435, Falco \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u0447\u0435\u043d\u044c \u043c\u043e\u0449\u043d\u044b\u043c \u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c, \u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u044f \u043d\u0435 \u0437\u043d\u0430\u043b \u0434\u043e \u043d\u0430\u0447\u0430\u043b\u0430 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u043a \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0443.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u043c\u044b \u0445\u043e\u0442\u0438\u043c \u0438\u043c\u0435\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u043d\u0430\u0434 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 Kubernetes, \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e RBAC \u043d\u0430\u043c \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e, \u0442\u043e \u0432 \u043a\u0443\u0440\u0441\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0435\u0449\u0435 \u043e\u0434\u0438\u043d \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/www.openpolicyagent.org\/\" rel=\"noopener noreferrer nofollow\">Open Policy Agent<\/a> (OPA). \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0432 Kubernetes \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a <a href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-language\/\" rel=\"noopener noreferrer nofollow\">Rego<\/a>. \u0412 Kubernetes \u043e\u043d \u0441\u0442\u0430\u0432\u0438\u0442\u0441\u044f \u0432 \u0432\u0438\u0434\u0435 validating admission webhook \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/kubernetes-introduction\/\" rel=\"noopener noreferrer nofollow\">OPA Gatekeeper<\/a>. \u0421\u0430\u043c\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u0432\u0438\u0434\u0435 Custom Resource Definition. \u0412\u043e\u0442 \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043f\u0440\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0438 \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0438 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u044f \u043b\u0435\u0439\u0431\u043b\u0430 costcenter.<\/p>\n<pre><code class=\"bash\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata:   name: k8srequiredlabels spec:   crd:     spec:       names:         kind: K8sRequiredLabels       validation:         openAPIV3Schema:           properties:             labels:               type: array               items: string   targets:     - target: admission.k8s.gatekeeper.sh       rego: |         package k8srequiredlabels                  violation[{\"msg\": msg, \"details\": {\"missing_labels\": missing}}] {           provided := {label | input.review.object.metadata.labels[label]}           required := {label | label := input.parameters.labels[_]}           missing := required - provided           count(missing) &gt; 0           msg := sprintf(\"you must provide labels: %v\", [missing])         } --- apiVersion: constraints.gatekeeper.sh\/v1beta1 kind: K8sRequiredLabels metadata:   name: ns-must-have-costcenter spec:   match:     kinds:       - apiGroups: [\"\"]         kinds: [\"Namespace\"]   parameters:     labels: [\"costcenter\"]<\/code><\/pre>\n<p>\u041f\u0440\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430 \u0431\u0435\u0437 \u043b\u0435\u0439\u0431\u043b\u0430 costcenter \u0432\u044b\u043b\u0435\u0437\u0435\u0442 \u043e\u0448\u0438\u0431\u043a\u0430:<\/p>\n<pre><code>Error from server (you must provide labels: \"costcenter\"): error when creating \"ns.yaml\": admission webhook \"validating-webhook.openpolicyagent.org\" denied the request: you must provide labels: \"costcenter\"<\/code><\/pre>\n<p>\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 OPA Gatekeeper \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u044e\u0442\u0441\u044f, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0430\u0443\u0434\u0438\u0442\u0430, \u0442.\u0435. \u043b\u0438\u0448\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0431 \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u0445 Kubernetes, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0435, \u043d\u043e \u043d\u0435 \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u0442\u044c \u0438\u0445 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435. \u041f\u043e\u043c\u0438\u043c\u043e \u044d\u0442\u043e\u0433\u043e, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0438\u0442\u044c Gatekeeper \u0432 \u0440\u0435\u0436\u0438\u043c mutating webhook, \u0442.\u0435. \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0443\u0436\u043d\u044b\u0435 \u043b\u044d\u0439\u0431\u043b\u044b.<\/p>\n<p>\u041a\u0441\u0442\u0430\u0442\u0438, \u0443 \u044f\u0437\u044b\u043a\u0430 Rego \u0435\u0441\u0442\u044c \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 <a href=\"https:\/\/play.openpolicyagent.org\/\" rel=\"noopener noreferrer nofollow\">playground<\/a>, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438. \u0422\u0430\u043a\u0436\u0435, \u0442\u0430\u043c \u0435\u0441\u0442\u044c \u0440\u044f\u0434 \u043f\u0440\u0438\u043c\u0435\u0440\u043e\u0432 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0434\u043b\u044f Kubernetes, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u0443\u0434\u043e\u0431\u043d\u043e.<\/p>\n<p>\u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043c\u043d\u0435 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c, \u044d\u0442\u043e \u0441\u043a\u0430\u043d\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432 <a href=\"https:\/\/github.com\/aquasecurity\/trivy\" rel=\"noopener noreferrer nofollow\">Trivy<\/a> \u043e\u0442 Aquasecurity. \u0412 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435, \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0439, \u0432\u0440\u043e\u0434\u0435 \u043a\u0430\u043a \u0431\u0430\u0437\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0443 \u043d\u0435\u0433\u043e \u0448\u0438\u0440\u0435, \u0447\u0435\u043c \u0443 \u0442\u043e\u0433\u043e \u0436\u0435 Clair, \u043d\u043e \u043f\u043e \u0431\u043e\u043b\u044c\u0448\u043e\u043c\u0443 \u0441\u0447\u0435\u0442\u0443 \u0432\u0441\u0435 \u044d\u0442\u0438 \u0442\u0443\u043b\u0437\u044b \u043f\u043e\u0445\u043e\u0436\u0438. <\/p>\n<p>\u0414\u0440\u0443\u0433\u0438\u0435 \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430:<\/p>\n<ol>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/network-policies\/\" rel=\"noopener noreferrer nofollow\">Network Policy<\/a>. \u0422\u0443\u0442 \u0432\u0441\u0435 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e, \u043e\u0434\u043d\u0430\u043a\u043e \u043d\u0443\u0436\u043d\u043e \u0437\u043d\u0430\u0442\u044c \u043f\u0440\u043e \u043e\u0434\u0438\u043d \u0432\u0430\u0436\u043d\u044b\u0439 <a href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/network-policies\/#behavior-of-to-and-from-selectors\" rel=\"noopener noreferrer nofollow\">\u043d\u044e\u0430\u043d\u0441<\/a> from \u0438 to \u0441\u0435\u043b\u0435\u043a\u0442\u043e\u0440\u043e\u0432. \u0412 \u0446\u0435\u043b\u043e\u043c \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0441 \u0441\u0435\u0442\u0435\u0432\u044b\u043c\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u043c\u0438 \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u0443\u0442\u044c \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u043e.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/rbac\/\" rel=\"noopener noreferrer nofollow\">RBAC<\/a>. \u041e\u0447\u0435\u043d\u044c \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c \u0440\u0430\u0437\u043d\u0438\u0446\u0443 \u043c\u0435\u0436\u0434\u0443 <code>Role<\/code> \u0438 <code>ClusterRole<\/code>, <code>RoleBinding<\/code> \u0438 <code>ClusterRoleBinding<\/code>. \u0422\u0430\u043a\u0436\u0435 \u043d\u0430\u0434\u043e \u043f\u043e\u043c\u043d\u0438\u0442\u044c, \u0447\u0442\u043e \u0441 <code>ClusterRole<\/code> \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0442\u044c <code>ClusterRoleBinding<\/code>, \u0432 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u0430 \u0440\u043e\u043b\u044c \u0431\u0443\u0434\u0435\u0442 \u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u0432\u0441\u0435\u043c \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435, \u0430 \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0438 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 <code>RoleBinding<\/code>, \u0432 \u0442\u0430\u043a\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 <code>ClusterRole<\/code> \u0431\u0443\u0434\u0435\u0442 \u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u0445 \u043e\u0434\u043d\u043e\u0433\u043e \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430 (\u0441\u0430\u043c\u044b\u0439 \u0447\u0430\u0441\u0442\u044b\u0439 \u043f\u0440\u0438\u043c\u0435\u0440, \u044d\u0442\u043e \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u043d\u044b\u0435 \u0440\u043e\u043b\u0438 <code>admin<\/code>, <code>edit<\/code> \u0438 <code>view<\/code>, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u0434\u0430\u0432\u0430\u0442\u044c \u044e\u0437\u0435\u0440\u0430\u043c \u043d\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u044b). <br \/>\u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u044d\u0442\u043e\u0433\u043e \u0441 <code>Role<\/code> \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e <code>RoleBinding<\/code>, \u0442\u043e \u0435\u0441\u0442\u044c \u043f\u0440\u043e\u0441\u0442\u0430\u044f \u0440\u043e\u043b\u044c \u0432\u0441\u0435\u0433\u0434\u0430 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0430 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u043e\u043c, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043e\u043d\u0430 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442. \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0432\u0443\u0445 \u0440\u043e\u043b\u0435\u0439 \u0441 \u043e\u0434\u043d\u0438\u043c \u0438\u043c\u0435\u043d\u0435\u043c \u0432 \u0434\u0432\u0443\u0445 \u0440\u0430\u0437\u043d\u044b\u0445 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430\u0445 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u043b\u0435\u0433\u0430\u043b\u044c\u043d\u043e, \u0445\u043e\u0442\u044f \u0432\u0440\u044f\u0434 \u043b\u0438 \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0437\u0432\u0430\u0442\u044c \u0445\u043e\u0440\u043e\u0448\u0435\u0439 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u043e\u0439.<br \/>\u0422\u0430\u043a\u0436\u0435, \u043e\u0447\u0435\u043d\u044c \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0434\u043b\u044f \u0447\u0435\u0433\u043e \u043d\u0443\u0436\u043d\u044b \u0441\u0435\u0440\u0432\u0438\u0441\u0430\u043a\u043a\u0430\u0443\u043d\u0442\u044b, \u0438 \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 \u0441 \u0438\u0445 \u0442\u043e\u043a\u0435\u043d\u043e\u043c (&#171;Authorization: Bearer $TOKEN&#187; \u0438 \u0432\u0441\u0435 \u0442\u0430\u043a\u043e\u0435).<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/tasks\/debug-application-cluster\/audit\/\" rel=\"noopener noreferrer nofollow\">\u0410\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u0438<\/a> Kubernetes. \u041d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u0438 \u043a\u0430\u043a \u0432 \u0441\u0432\u044f\u0437\u043a\u0435 \u0441 Falco, \u0442\u0430\u043a \u0438 \u043f\u0440\u043e\u0441\u0442\u043e\u0435 \u043b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432 \u0444\u0430\u0439\u043b. \u041d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u043f\u0438\u0441\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0430\u0443\u0434\u0438\u0442\u0430, \u0442\u0430\u043a\u0436\u0435 \u0438\u043c\u0435\u0442\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0444\u043b\u0430\u0433\u0430\u0445 kube-apiserver, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c\u0438 \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/aquasecurity\/kube-bench\" rel=\"noopener noreferrer nofollow\">Kube-bench<\/a>. \u041d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0442\u0443\u043b\u0437\u043e\u0439 \u0438 \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0435 \u0442\u0443\u043b\u0437\u043e\u0439 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0431\u0440\u0435\u0448\u0438 \u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430.<\/p>\n<\/li>\n<li>\n<p>\u0423\u043c\u0435\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0441 \u0444\u043b\u0430\u0433\u0430\u043c\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 kube-apiserver, kube-scheduler, kube-controller-manager \u0438 kubelet. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0432 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u044e\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u044b, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e kubeadm, \u0442\u043e \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432 \u043d\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0431\u043e\u043b\u044c\u0448\u043e\u0433\u043e \u0442\u0440\u0443\u0434\u0430. \u041d\u0443\u0436\u043d\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u043c\u043d\u0438\u0442\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0435\u0441\u043b\u0438 \u043f\u043e\u0441\u043b\u0435 \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430, \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 \u043c\u0438\u043d\u0443\u0442\u044b \u043d\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f, \u0442\u043e \u043d\u0443\u0436\u043d\u043e \u0438\u0434\u0442\u0438 \u0438 \u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043b\u043e\u0433\u0438 (<code>\/var\/log\/pods\/*<\/code>), \u0442.\u043a. \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u0434\u043e\u043f\u0443\u0449\u0435\u043d\u0430 \u043e\u043f\u0435\u0447\u0430\u0442\u043a\u0430 \u0438\u043b\u0438 \u043e\u0448\u0438\u0431\u043a\u0430 \u0432 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0435.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/tasks\/administer-cluster\/kubeadm\/kubeadm-upgrade\/\" rel=\"noopener noreferrer nofollow\">\u0410\u043f\u0433\u0440\u0435\u0439\u0434 kubeadm \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430<\/a>. <\/p>\n<\/li>\n<li>\n<p>\u0421\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 YAML-\u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432 Kubernetes \u0438 \u0414\u043e\u043a\u0435\u0440\u0444\u0430\u0439\u043b\u043e\u0432. \u0417\u0434\u0435\u0441\u044c \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0433\u043b\u0430\u0437\u0430\u043c\u0438 \u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u044c \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0435 \u0443\u0447\u0430\u0441\u0442\u043a\u0438 \u043a\u043e\u0434\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0437\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u043e\u0442 \u0440\u0443\u0442\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432, \u0438\u0437\u043b\u0438\u0448\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u0438 \u0434\u0440.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/ingress\/#tls\" rel=\"noopener noreferrer nofollow\">TLS-enabled Ingress<\/a>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/admission-controllers\/#imagepolicywebhook\" rel=\"noopener noreferrer nofollow\">ImagePolicyWebhook<\/a>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/tutorials\/clusters\/apparmor\/\" rel=\"noopener noreferrer nofollow\">AppArmor<\/a>. \u041d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043f\u0440\u043e\u0444\u0438\u043b\u044c AppArmor \u043d\u0430 \u043d\u043e\u0434\u0435 \u0438 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u043f\u043e\u0434 \u0441 \u0434\u0430\u043d\u043d\u044b\u043c \u043f\u0440\u043e\u0444\u0438\u043b\u0435\u043c. \u041f\u0438\u0441\u0430\u0442\u044c \u043f\u0440\u043e\u0444\u0438\u043b\u0438 \u0441 \u043d\u0443\u043b\u044f \u0443\u043c\u0435\u0442\u044c \u043d\u0435 \u043d\u0443\u0436\u043d\u043e (\u0444\u0443\u0445!)<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/tutorials\/clusters\/seccomp\/\" rel=\"noopener noreferrer nofollow\">Seccomp<\/a>. \u0422\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u0435 \u0442\u0435 \u0436\u0435, \u0447\u0442\u043e \u0438 \u0441 AppArmor.<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u043e\u0434\u044b \u0441 \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 <a href=\"https:\/\/kubernetes.io\/docs\/concepts\/containers\/runtime-class\/\" rel=\"noopener noreferrer nofollow\">RuntimeClass<\/a>, \u0442\u0438\u043f\u0430 gVisor. \u0417\u043d\u0430\u0442\u044c, \u043a\u0430\u043a \u0438\u0445 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0442\u044c, \u043d\u0435 \u043d\u0443\u0436\u043d\u043e.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/concepts\/policy\/pod-security-policy\/\" rel=\"noopener noreferrer nofollow\">PodSecurityPolicy<\/a>. \u041d\u0443\u0436\u043d\u043e \u043f\u043e\u043c\u043d\u0438\u0442\u044c, \u0447\u0442\u043e PodSecurityPolicy \u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043d\u043e\u0441\u0438\u0442 \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u044e\u0449\u0438\u0439 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440, \u0442.\u0435. \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043a\u043b\u043e\u043d\u044f\u0442\u044c \u043f\u043e\u0434\u044b \u0441 \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u043c\u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c\u0438, \u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u043e\u0441\u0438\u0442\u044c \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0432 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043f\u043e\u0434\u043e\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u043e\u0434\u044b \u0441 AppArmor \u043f\u0440\u043e\u0444\u0438\u043b\u044f\u043c\u0438 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u043c\u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 <code>defaultAllowPrivilegeEscalation<\/code> \u0438 <code>defaultAddCapabilities<\/code>.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/kubernetes\/dashboard\" rel=\"noopener noreferrer nofollow\">Kubernetes Dashboard<\/a>. \u041f\u043e\u043b\u0435\u0437\u043d\u043e \u0438\u0437\u0443\u0447\u0438\u0442\u044c \u0444\u043b\u0430\u0433\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 Kubernetes Dashboard, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u043c\u0435\u044e\u0442 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u0435 \u043a \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0440\u0435\u0436\u0438\u043c \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0432 \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u0435.<\/p>\n<\/li>\n<\/ol>\n<p>\u0412\u043e \u0432\u0440\u0435\u043c\u044f \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0442\u044c <u>\u043e\u0434\u043d\u0443 \u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u043d\u0443<\/u> \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0432\u043a\u043b\u0430\u0434\u043a\u0443 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0441 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0435\u0439 (\u043a\u0441\u0442\u0430\u0442\u0438, \u0443 \u043c\u0435\u043d\u044f \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043d\u0435 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b\u0441\u044f \u043d\u0430 Chrome, \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c Vivaldi). \u0420\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b:<\/p>\n<ol>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/\" rel=\"noopener noreferrer nofollow\">https:\/\/kubernetes.io\/docs<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/kubernetes\/\" rel=\"noopener noreferrer nofollow\">https:\/\/github.com\/kubernetes<\/a> <\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/blog\/\" rel=\"noopener noreferrer nofollow\">https:\/\/kubernetes.io\/blog<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/aquasecurity\/trivy\" rel=\"noopener noreferrer nofollow\">https:\/\/github.com\/aquasecurity\/trivy<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/docs.sysdig.com\/\" rel=\"noopener noreferrer nofollow\">https:\/\/docs.sysdig.com<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/falco.org\/docs\/\" rel=\"noopener noreferrer nofollow\">https:\/\/falco.org\/docs<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/gitlab.com\/apparmor\/apparmor\/-\/wikis\/Documentation\" rel=\"noopener noreferrer nofollow\">https:\/\/gitlab.com\/apparmor\/apparmor\/-\/wikis\/Documentation<\/a><\/p>\n<\/li>\n<\/ol>\n<p>\u0412 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435, \u044d\u0442\u0438\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 \u0431\u043e\u043b\u0435\u0435 \u0447\u0435\u043c \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e. \u0411\u043e\u043b\u044c\u0448\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0432\u0441\u0435\u0433\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0433\u043e \u0432\u0441\u0435\u0433\u0434\u0430 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043d\u0430 <a href=\"https:\/\/kubernetes.io\/docs\/\" rel=\"noopener noreferrer nofollow\">https:\/\/kubernetes.io\/docs<\/a>. <\/p>\n<p>\u041d\u0430\u0434\u0435\u044e\u0441\u044c, \u0441\u0442\u0430\u0442\u044c\u044f \u0431\u044b\u043b\u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u0438 \u043f\u043e\u043c\u043e\u0436\u0435\u0442 \u0432\u0430\u043c \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 Certified Kubernetes Security.<\/p>\n<\/p>\n<\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/post\/538846\/\"> https:\/\/habr.com\/ru\/post\/538846\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"\n<div class=\"post__text post__text_v2\" id=\"post-content-body\">\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442.<\/p>\n<p>\u0425\u043e\u0447\u0443 \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0441\u0432\u043e\u0438\u043c \u043e\u043f\u044b\u0442\u043e\u043c \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u0441\u0434\u0430\u0447\u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">Certified Kubernetes Security<\/a> (CKS) \u043e\u0442 <a href=\"https:\/\/linuxfoundation.org\/\" rel=\"noopener noreferrer nofollow\">Linux Foundation<\/a>. \u0414\u0430\u043d\u043d\u044b\u0439 \u044d\u043a\u0437\u0430\u043c\u0435\u043d, \u043a\u0430\u043a \u043d\u0435\u0442\u0440\u0443\u0434\u043d\u043e \u0434\u043e\u0433\u0430\u0434\u0430\u0442\u044c\u0441\u044f, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043d\u0430\u0448\u0438 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u0438 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 Kubernetes \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0445 \u0432 \u043d\u0435\u043c. \u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043c\u043d\u0435 \u043f\u043e\u043d\u0440\u0430\u0432\u0438\u043b\u0441\u044f, \u043e\u043d \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0441 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0442\u043e\u0447\u0435\u043a \u0437\u0440\u0435\u043d\u0438\u044f, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Falco, Trivy, kube-bench, Open Policy Agent, gVisor \u0438 \u0434\u0440. \u0421\u0430\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043c\u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0443\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0441\u043b\u043e\u0436\u043d\u044b\u043c, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 CKA, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u043e\u043b\u044c\u0448\u0435 \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d \u043d\u0430 \u043d\u043e\u0432\u0438\u0447\u043a\u043e\u0432 \u0432 Kubernetes.<\/p>\n<p>\u0412\u043d\u0430\u0447\u0430\u043b\u0435 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u0432 \u0446\u0435\u043b\u043e\u043c \u043e\u0431 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435 \u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u043a \u043d\u0435\u043c\u0443, \u0430 \u0437\u0430\u0442\u0435\u043c \u043f\u0435\u0440\u0435\u0439\u0434\u0443 \u043a \u0442\u0435\u043c\u0430\u043c, \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u043c\u044b\u043c \u043d\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435.<\/p>\n<p>\u041d\u0430 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u0441\u0435\u0433\u043e \u0434\u0432\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 Kubernetes &#8212; \u044d\u0442\u043e, \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0441\u0430\u043c CKS, \u0430 \u0442\u0430\u043a\u0436\u0435 <a href=\"https:\/\/www.redhat.com\/en\/services\/training\/ex425-red-hat-certified-specialist-security-containers-and-openshift-container-platform-exam\" rel=\"noopener noreferrer nofollow\">Red Hat Certified Specialist in Security: Containers and OpenShift<\/a>, \u0438\u043c\u0435\u044e\u0449\u0438\u0439 \u0434\u0435\u043b\u043e \u0441 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e OpenShift. \u042d\u0442\u0438 \u0434\u0432\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u0432\u043e \u043c\u043d\u043e\u0433\u043e\u043c \u043f\u0435\u0440\u0435\u0441\u0435\u043a\u0430\u044e\u0442\u0441\u044f, \u043e\u0434\u043d\u0430\u043a\u043e \u043f\u043e \u041e\u043f\u0435\u043d\u0448\u0438\u0444\u0442\u0443 \u044f \u0441\u0447\u0438\u0442\u0430\u044e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u0441\u0435 \u0436\u0435 \u0441\u043b\u043e\u0436\u043d\u0435\u0435 (\u0435\u0433\u043e \u044f \u0431\u043b\u0430\u0433\u043e\u043f\u043e\u043b\u0443\u0447\u043d\u043e \u0437\u0430\u0432\u0430\u043b\u0438\u043b). <\/p>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u0441\u0442\u043e\u0438\u0442 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">300$<\/a>, \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">Kubernetes Security Fundamentals (LFS260)<\/a> \u0441\u0442\u043e\u0438\u0442 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">299$<\/a>, \u043c\u043e\u0436\u043d\u043e \u043a\u0443\u043f\u0438\u0442\u044c \u043a\u0443\u0440\u0441 \u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u043c\u0435\u0441\u0442\u0435 \u0437\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260-cks-exam-bundle\/\" rel=\"noopener noreferrer nofollow\">499$<\/a>. \u042f \u043a\u0443\u043f\u0438\u043b \u043a\u0443\u0440\u0441 \u0438 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u043c\u0435\u0441\u0442\u0435 \u0437\u0430 200$ \u043d\u0430 \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u043f\u0440\u0435\u0434\u043d\u043e\u0432\u043e\u0433\u043e\u0434\u043d\u0435\u0439 \u0440\u0430\u0441\u043f\u0440\u043e\u0434\u0430\u0436\u0435 \u043e\u0442 Linux Foundation. <\/p>\n<p>\u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u043c \u0443\u0441\u043b\u043e\u0432\u0438\u0435\u043c \u0434\u043b\u044f \u0441\u0434\u0430\u0447\u0438 CKS \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-administrator-cka\/\" rel=\"noopener noreferrer nofollow\">CKA<\/a> (Certified Kubernetes Administrator). \u0412\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043a\u0443\u043f\u0438\u0442\u044c CKS, \u043d\u043e \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u0442\u0435 \u043d\u0430\u0437\u043d\u0430\u0447\u0438\u0442\u044c \u044d\u043a\u0437\u0430\u043c\u0435\u043d, \u043f\u043e\u043a\u0430 \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 CKA. \u0417\u0432\u0443\u0447\u0438\u0442 \u043b\u043e\u0433\u0438\u0447\u043d\u043e, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u044d\u043a\u0437\u0430\u043c\u0435\u043d CKS \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0433\u043e\u0440\u0430\u0437\u0434\u043e \u0431\u043e\u043b\u0435\u0435 \u0441\u043b\u043e\u0436\u043d\u044b\u043c \u0447\u0435\u043c CKA.<\/p>\n<p>\u041d\u043e \u0431\u043b\u0438\u0436\u0435 \u043a \u0434\u0435\u043b\u0443. \u0414\u043b\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0434\u0432\u0430 \u043a\u0443\u0440\u0441\u0430:<\/p>\n<ol>\n<li>\n<p>\u041e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 \u043e\u0442 Linux Foundation: <a href=\"https:\/\/training.linuxfoundation.org\/training\/kubernetes-security-essentials-lfs260\/\" rel=\"noopener noreferrer nofollow\">Kubernetes Security Fundamentals (LFS260)<\/a>. \u041d\u0435 \u0445\u043e\u0447\u0443 \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u043b\u043e\u0445\u043e\u0433\u043e \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e Linux Foundation, \u043d\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u043a\u0443\u0440\u0441 \u0443 \u043d\u0438\u0445 \u0432\u044b\u0448\u0435\u043b \u043d\u0435\u0443\u0434\u0430\u0447\u043d\u044b\u043c. \u041d\u0435\u0442 \u0432\u043d\u044f\u0442\u043d\u043e\u0433\u043e \u043e\u0431\u044a\u044f\u0441\u043d\u0435\u043d\u0438\u044f, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0442\u0430 \u0438\u043b\u0438 \u0438\u043d\u0430\u044f \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f \u0438\u043b\u0438 \u0444\u0438\u0447\u0430, \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043e\u0431\u0449\u0438\u0445 \u043a\u0440\u0430\u0441\u0438\u0432\u044b\u0445 \u0441\u043b\u043e\u0432 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a\u0430\u044f \u044d\u0442\u043e \u043a\u0440\u0443\u0442\u0430\u044f \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f, \u0430 \u0437\u0430\u0442\u0435\u043c \u0441\u0440\u0430\u0437\u0443 \u043a\u0430\u043a\u0430\u044f-\u0442\u043e \u043d\u0435\u0432\u043d\u044f\u0442\u043d\u0430\u044f \u043b\u0430\u0431\u0430 \u0432 PDF (\u0432\u044b \u0447\u0442\u043e, \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e?!), \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0442\u0430\u043a\u0436\u0435 \u043d\u0438\u0447\u0435\u0433\u043e \u0442\u043e\u043b\u043a\u043e\u043c \u043d\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442\u0441\u044f. \u0422\u0430\u043a\u043e\u0435 \u043e\u0449\u0443\u0449\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u043a\u0443\u0440\u0441 \u0434\u0435\u043b\u0430\u043b\u0438 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044e\u044e \u043c\u0438\u043d\u0443\u0442\u0443 \u0432 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0441\u043f\u0435\u0448\u043a\u0435. \u041f\u0440\u0438\u0442\u043e\u043c, \u0447\u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u043e\u0447\u0435\u043d\u044c \u0434\u0430\u0436\u0435 \u043d\u0435\u043f\u043b\u043e\u0445\u0438\u043c.<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/www.udemy.com\/course\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">\u041a\u0443\u0440\u0441 \u043d\u0430 Udemy<\/a> \u0437\u0430 3599 \u0440\u0443\u0431. \u041f\u0440\u0438\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u044f \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u043f\u0430\u0441\u0430\u043b\u0441\u044f \u043f\u043e\u043a\u0443\u043f\u0430\u044f &#171;\u043a\u043e\u0442\u0430 \u0432 \u043c\u0435\u0448\u043a\u0435&#187;, \u043e\u0434\u043d\u0430\u043a\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u0435\u0432\u0437\u043e\u0448\u043b\u0430 \u0432\u0441\u0435 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u044f. \u041a\u0443\u0440\u0441 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c, \u043e\u043d \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0440\u0430\u0441\u043a\u0440\u044b\u043b \u0432\u0441\u0435 \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u044b, \u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0441\u044f \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u0434\u044b\u0445\u0430\u043d\u0438\u0438. \u041a \u043a\u0443\u0440\u0441\u0443 \u043f\u0440\u0438\u043b\u0430\u0433\u0430\u044e\u0442\u0441\u044f \u0442\u0430\u043a\u0436\u0435 \u0434\u0432\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0445 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043d\u0430 <a href=\"https:\/\/killer.sh\" rel=\"noopener noreferrer nofollow\">https:\/\/killer.sh<\/a>. \u042d\u0442\u043e \u043f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u044b\u0435 \u043b\u0430\u0431\u044b \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436\u0438\u0435 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0442\u0438\u0442\u0441\u044f \u043d\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435, \u0442.\u0435. \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043d\u044b\u0439 \u0432\u0435\u0431-\u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b \u0441\u043f\u0440\u0430\u0432\u0430 \u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u043b\u0435\u0432\u0430. \u041a\u0430\u043a \u0443\u0432\u0435\u0440\u044f\u0435\u0442 \u0430\u0432\u0442\u043e\u0440 \u043a\u0443\u0440\u0441\u0430, \u044d\u0442\u0438 \u043b\u0430\u0431\u044b \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u0443\u0441\u043b\u043e\u0436\u043d\u0435\u043d\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0435\u0439 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430, \u0442.\u0435. \u0435\u0441\u043b\u0438 \u0432\u044b \u0441\u0434\u0435\u043b\u0430\u0435\u0442\u0435 \u044d\u0442\u0438 \u043b\u0430\u0431\u044b, \u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0432\u044b \u0442\u043e\u0447\u043d\u043e \u0441\u0434\u0430\u0434\u0438\u0442\u0435. \u041a\u0430\u043a \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u043e\u0441\u044c, \u0430\u0432\u0442\u043e\u0440 \u0431\u044b\u043b \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u043f\u0440\u0430\u0432.<\/p>\n<\/li>\n<\/ol>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 15-20 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u0440\u043e\u0432\u043d\u043e 2 \u0447\u0430\u0441\u0430 \u0442.\u0435. \u0432 \u0441\u0440\u0435\u0434\u043d\u0435\u043c 6-8 \u043c\u0438\u043d\u0443\u0442 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0432\u043e\u043f\u0440\u043e\u0441. \u042d\u0442\u043e \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0441\u0436\u0430\u0442\u044b\u0435 \u0441\u0440\u043e\u043a\u0438. \u041b\u0438\u0447\u043d\u043e \u044f, \u0438\u043c\u0435\u044f \u043c\u043d\u043e\u0433\u043e \u043e\u043f\u044b\u0442\u0430 \u0441 Kubernetes \u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0432 \u0434\u0432\u0430 \u043a\u0443\u0440\u0441\u0430 \u0438 \u0441\u0434\u0435\u043b\u0430\u0432 \u0434\u0432\u0430 \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0445 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430 \u043d\u0430 killer.sh, \u0443\u043b\u043e\u0436\u0438\u043b\u0441\u044f \u0432 1 \u0447\u0430\u0441 40 \u043c\u0438\u043d\u0443\u0442.<\/p>\n<p>\u041f\u0440\u043e\u0445\u043e\u0434\u043d\u043e\u0439 \u0431\u0430\u043b\u043b \u043d\u0430 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0435 67%, \u0447\u0442\u043e \u043d\u0430 \u043c\u043e\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0434\u0435\u043c\u043e\u043a\u0440\u0430\u0442\u0438\u0447\u043d\u043e. \u042d\u043a\u0437\u0430\u043c\u0435\u043d \u043b\u0435\u0433\u043a\u0438\u043c \u043d\u0435 \u043d\u0430\u0437\u043e\u0432\u0435\u0448\u044c, \u043d\u043e \u043d\u0438\u0437\u043a\u0438\u0439 \u043f\u0440\u043e\u0445\u043e\u0434\u043d\u043e\u0439 \u0431\u0430\u043b\u043b \u0432\u0438\u0434\u0438\u043c\u043e \u043f\u0440\u0438\u0437\u0432\u0430\u043d \u0441\u0433\u043b\u0430\u0434\u0438\u0442\u044c \u044d\u0442\u043e\u0442 &#171;\u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u043a&#187;.<\/p>\n<p>\u0412 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0442\u0435 \u0441 \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u043e\u043c \u0438\u0434\u0435\u0442 \u043e\u0434\u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u0430\u044f \u043f\u0435\u0440\u0435\u0441\u0434\u0430\u0447\u0430. \u042d\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u043a\u0440\u0443\u0442\u043e \u0438 \u0437\u0434\u043e\u0440\u043e\u0432\u043e \u0443\u0441\u043f\u043e\u043a\u0430\u0438\u0432\u0430\u0435\u0442 \u043d\u0435\u0440\u0432\u044b, \u043e\u0431\u043b\u0435\u0433\u0447\u0430\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0443.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0441\u0430\u043c\u043e\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 &#8212; \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430. \u041e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043c \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 <a href=\"https:\/\/training.linuxfoundation.org\/certification\/certified-kubernetes-security-specialist\/\" rel=\"noopener noreferrer nofollow\">\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f CKS<\/a>. \u041d\u0430 \u0432\u0441\u044f\u043a\u0438\u0439 \u0441\u043b\u0443\u0447\u0430\u0439 \u043f\u0440\u043e\u0434\u0443\u0431\u043b\u0438\u0440\u0443\u044e \u0435\u0433\u043e \u0437\u0434\u0435\u0441\u044c:<\/p>\n<details class=\"spoiler\">\n<summary>\u0421\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043c \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430<\/summary>\n<div class=\"spoiler__content\">\n<p><strong>Cluster Setup (10%)<\/strong><\/p>\n<ol>\n<li>\n<p>Use Network security policies to restrict cluster level access<\/p>\n<\/li>\n<li>\n<p>Use CIS benchmark to review the security configuration of Kubernetes components (etcd, kubelet, kubedns, kubeapi)<\/p>\n<\/li>\n<li>\n<p>Properly set up Ingress objects with security control<\/p>\n<\/li>\n<li>\n<p>Protect node metadata and endpoints<\/p>\n<\/li>\n<li>\n<p>Minimize use of, and access to, GUI elements<\/p>\n<\/li>\n<li>\n<p>Verify platform binaries before deploying<\/p>\n<\/li>\n<\/ol>\n<p><strong>Cluster Hardening (15%)<\/strong><\/p>\n<ol>\n<li>\n<p>Restrict access to Kubernetes API<\/p>\n<\/li>\n<li>\n<p>Use Role Based Access Controls to minimize exposure<\/p>\n<\/li>\n<li>\n<p>Exercise caution in using service accounts e.g. disable defaults, minimize permissions on newly created ones<\/p>\n<\/li>\n<li>\n<p>Update Kubernetes frequently<\/p>\n<\/li>\n<\/ol>\n<p><strong>System Hardening15%<\/strong><\/p>\n<ol>\n<li>\n<p>Minimize host OS footprint (reduce attack surface)<\/p>\n<\/li>\n<li>\n<p>Minimize IAM roles<\/p>\n<\/li>\n<li>\n<p>Minimize external access to the network<\/p>\n<\/li>\n<li>\n<p>Appropriately use kernel hardening tools such as AppArmor, seccomp<\/p>\n<\/li>\n<\/ol>\n<p><strong>Minimize Microservice Vulnerabilities (20%)<\/strong><\/p>\n<ol>\n<li>\n<p>Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts<\/p>\n<\/li>\n<li>\n<p>Manage Kubernetes secrets<\/p>\n<\/li>\n<li>\n<p>Use container runtime sandboxes in multi-tenant environments (e.g. gvisor, kata containers)<\/p>\n<\/li>\n<li>\n<p>Implement pod to pod encryption by use of mTLS<\/p>\n<\/li>\n<\/ol>\n<p><strong>Supply Chain Security20%<\/strong><\/p>\n<ol>\n<li>\n<p>Minimize base image footprint<\/p>\n<\/li>\n<li>\n<p>Secure your supply chain: whitelist allowed registries, sign and validate images<\/p>\n<\/li>\n<li>\n<p>Use static analysis of user workloads (e.g.Kubernetes resources, Docker files)<\/p>\n<\/li>\n<li>\n<p>Scan images for known vulnerabilities<\/p>\n<\/p>\n<\/li>\n<\/ol>\n<p><strong>Monitoring, Logging and Runtime Security20%<\/strong><\/p>\n<ol>\n<li>\n<p>Perform behavioral analytics of syscall process and file activities at the host and container level to detect malicious activities<\/p>\n<\/li>\n<li>\n<p>Detect threats within physical infrastructure, apps, networks, data, users and workloads<\/p>\n<\/li>\n<li>\n<p>Detect all phases of attack regardless where it occurs and how it spreads<\/p>\n<\/li>\n<li>\n<p>Perform deep analytical investigation and identification of bad actors within environment<\/p>\n<\/li>\n<li>\n<p>Ensure immutability of containers at runtime<\/p>\n<\/li>\n<li>\n<p>Use Audit Logs to monitor access<\/p>\n<\/li>\n<\/ol>\n<\/div>\n<\/details>\n<p>\u041f\u0440\u0438\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u043a\u043e\u0433\u0434\u0430 \u044f \u0432\u043d\u0430\u0447\u0430\u043b\u0435 \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u043b \u0434\u0430\u043d\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a, \u0442\u043e \u043f\u043e\u0434\u0443\u043c\u0430\u043b, \u0447\u0442\u043e \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u0431\u0443\u0434\u0435\u0442 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0430\u0442\u044c &#8212; \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043c\u043d\u043e\u0433\u043e \u0442\u0435\u043c \u0438 \u0432\u0441\u0435 \u043e\u0447\u0435\u043d\u044c \u043e\u0431\u0448\u0438\u0440\u043d\u044b\u0435. \u041d\u043e \u043f\u043e\u0442\u043e\u043c \u043f\u043e\u0434\u0443\u043c\u0430\u043b, \u0447\u0442\u043e \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u043c\u043d\u043e\u0433\u0438\u0435 \u0442\u0435\u043c\u044b \u0431\u0443\u0434\u0443\u0442 \u043e\u0441\u0432\u0435\u0449\u0435\u043d\u044b \u0432 \u043a\u0443\u0440\u0441\u0435, \u0430 \u0432 \u044d\u043a\u0437\u0430\u043c\u0435\u043d \u043d\u0435 \u043f\u043e\u043f\u0430\u0434\u0443\u0442. \u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a \u0438 \u0432\u044b\u0448\u043b\u043e.<\/p>\n<p>\u042d\u043a\u0437\u0430\u043c\u0435\u043d \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0438 \u043f\u0440\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u044f \u0443\u0437\u043d\u0430\u043b \u043c\u043d\u043e\u0433\u043e \u043d\u043e\u0432\u043e\u0433\u043e. \u0411\u043e\u043b\u044c\u0448\u0435 \u0432\u0441\u0435\u0433\u043e \u043c\u043d\u0435 \u043f\u043e\u043d\u0440\u0430\u0432\u0438\u043b\u0430\u0441\u044c \u0442\u0443\u043b\u0437\u0430 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/falco.org\/\" rel=\"noopener noreferrer nofollow\">Falco<\/a> \u043e\u0442 Sysdig. \u042d\u0442\u0430 \u0442\u0443\u043b\u0437\u0430 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0432\u044b\u0437\u043e\u0432\u044b \u044f\u0434\u0440\u0430 Linux \u0438 \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0435\u0442 \u0430\u043b\u0435\u0440\u0442\u044b, \u0435\u0441\u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c. \u0412 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0442\u0435 \u0441 Falco \u0438\u0434\u0435\u0442 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0445 \u043f\u0440\u0435\u0434\u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0430\u0432\u0438\u043b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440: <\/p>\n<ol>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0438\u043b\u0438 \u0437\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0441 <code>hostPID<\/code> \u0438\u043b\u0438 <code>hostNetwork<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u043f\u0440\u0438\u043c\u043e\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0430\u0436\u043d\u044b\u0435 \u0445\u043e\u0441\u0442\u043e\u0432\u044b\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 <code>hostPath<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435<\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0447\u0438\u0442\u0430\u0442\u044c \u0438\u043b\u0438 \u043f\u0438\u0441\u0430\u0442\u044c \u0432 \u0432\u0430\u0436\u043d\u044b\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 <code>\/etc<\/code><\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 IP-\u0430\u0434\u0440\u0435\u0441\u0430\u043c\u0438 \u043d\u0435 \u0438\u0437 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430<\/p>\n<\/li>\n<li>\n<p>\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435<\/p>\n<\/li>\n<\/ol>\n<p>\u0438 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435.<\/p>\n<p>\u041f\u043e\u043c\u0438\u043c\u043e \u044d\u0442\u043e\u0433\u043e, Falco \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 <a href=\"https:\/\/falco.org\/docs\/event-sources\/kubernetes-audit\/\" rel=\"noopener noreferrer nofollow\">\u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u043e\u0432<\/a> Kubernetes, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044f \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0435\u0439 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 Kubernetes API, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<ol>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0438\u043b\u0438 \u0437\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u0441 <code>hostPID<\/code> \u0438\u043b\u0438 <code>hostNetwork<\/code>.<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u043e\u0432<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0430 \u043d\u0435 \u0438\u0437 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043f\u0438\u0441\u043a\u0430 \u0438\u043c\u0435\u0439\u0434\u0436\u0435\u0439<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0443\u0441\u043a \u043f\u043e\u0434\u043e\u0432 \u0432 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0435 kube-system<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 <code>ClusterRoleBinding<\/code> \u0441 cluster-admin \u043a\u043b\u0430\u0441\u0442\u0435\u0440 \u0440\u043e\u043b\u044c\u044e<\/p>\n<\/li>\n<\/ol>\n<p>\u0438 \u043e\u043f\u044f\u0442\u044c \u0436\u0435 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435. <\/p>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u0432\u0430\u0436\u043d\u043e \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e Falco \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043d\u0438\u0447\u0435\u0433\u043e \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u0442\u044c. \u042d\u0442\u043e \u043b\u0438\u0448\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0430\u0443\u0434\u0438\u0442 \u043b\u043e\u0433\u043e\u0432, \u0442.\u0435. \u043e\u043d \u043f\u043e\u0441\u0442\u0444\u0430\u043a\u0442\u0443\u043c \u0434\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0443\u0436\u0435 \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u043b\u043e. \u0422\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435, Falco \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u0447\u0435\u043d\u044c \u043c\u043e\u0449\u043d\u044b\u043c \u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c, \u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u044f \u043d\u0435 \u0437\u043d\u0430\u043b \u0434\u043e \u043d\u0430\u0447\u0430\u043b\u0430 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u043a \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0443.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u043c\u044b \u0445\u043e\u0442\u0438\u043c \u0438\u043c\u0435\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u043d\u0430\u0434 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438 \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 Kubernetes, \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e RBAC \u043d\u0430\u043c \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e, \u0442\u043e \u0432 \u043a\u0443\u0440\u0441\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0435\u0449\u0435 \u043e\u0434\u0438\u043d \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/www.openpolicyagent.org\/\" rel=\"noopener noreferrer nofollow\">Open Policy Agent<\/a> (OPA). \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u0432 Kubernetes \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a <a href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-language\/\" rel=\"noopener noreferrer nofollow\">Rego<\/a>. \u0412 Kubernetes \u043e\u043d \u0441\u0442\u0430\u0432\u0438\u0442\u0441\u044f \u0432 \u0432\u0438\u0434\u0435 validating admission webhook \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/kubernetes-introduction\/\" rel=\"noopener noreferrer nofollow\">OPA Gatekeeper<\/a>. \u0421\u0430\u043c\u0438 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u0432\u0438\u0434\u0435 Custom Resource Definition. \u0412\u043e\u0442 \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043f\u0440\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0438 \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0438 \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u044f \u043b\u0435\u0439\u0431\u043b\u0430 costcenter.<\/p>\n<pre><code class=\"bash\">apiVersion: templates.gatekeeper.sh\/v1beta1 kind: ConstraintTemplate metadata:   name: k8srequiredlabels spec:   crd:     spec:       names:         kind: K8sRequiredLabels       validation:         openAPIV3Schema:           properties:             labels:               type: array               items: string   targets:     - target: admission.k8s.gatekeeper.sh       rego: |         package k8srequiredlabels                  violation[{\"msg\": msg, \"details\": {\"missing_labels\": missing}}] {           provided := {label | input.review.object.metadata.labels[label]}           required := {label | label := input.parameters.labels[_]}           missing := required - provided           count(missing) &gt; 0           msg := sprintf(\"you must provide labels: %v\", [missing])         } --- apiVersion: constraints.gatekeeper.sh\/v1beta1 kind: K8sRequiredLabels metadata:   name: ns-must-have-costcenter spec:   match:     kinds:       - apiGroups: [\"\"]         kinds: [\"Namespace\"]   parameters:     labels: [\"costcenter\"]<\/code><\/pre>\n<p>\u041f\u0440\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430 \u0431\u0435\u0437 \u043b\u0435\u0439\u0431\u043b\u0430 costcenter \u0432\u044b\u043b\u0435\u0437\u0435\u0442 \u043e\u0448\u0438\u0431\u043a\u0430:<\/p>\n<pre><code>Error from server (you must provide labels: \"costcenter\"): error when creating \"ns.yaml\": admission webhook \"validating-webhook.openpolicyagent.org\" denied the request: you must provide labels: \"costcenter\"<\/code><\/pre>\n<p>\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 OPA Gatekeeper \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0440\u0430\u0441\u0448\u0438\u0440\u044f\u044e\u0442\u0441\u044f, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 \u0430\u0443\u0434\u0438\u0442\u0430, \u0442.\u0435. \u043b\u0438\u0448\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0431 \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u0445 Kubernetes, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0435, \u043d\u043e \u043d\u0435 \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u0442\u044c \u0438\u0445 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435. \u041f\u043e\u043c\u0438\u043c\u043e \u044d\u0442\u043e\u0433\u043e, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0438\u0442\u044c Gatekeeper \u0432 \u0440\u0435\u0436\u0438\u043c mutating webhook, \u0442.\u0435. \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0443\u0436\u043d\u044b\u0435 \u043b\u044d\u0439\u0431\u043b\u044b.<\/p>\n<p>\u041a\u0441\u0442\u0430\u0442\u0438, \u0443 \u044f\u0437\u044b\u043a\u0430 Rego \u0435\u0441\u0442\u044c \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 <a href=\"https:\/\/play.openpolicyagent.org\/\" rel=\"noopener noreferrer nofollow\">playground<\/a>, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438. \u0422\u0430\u043a\u0436\u0435, \u0442\u0430\u043c \u0435\u0441\u0442\u044c \u0440\u044f\u0434 \u043f\u0440\u0438\u043c\u0435\u0440\u043e\u0432 \u043f\u043e\u043b\u0438\u0442\u0438\u043a \u0434\u043b\u044f Kubernetes, \u0447\u0442\u043e \u043e\u0447\u0435\u043d\u044c \u0443\u0434\u043e\u0431\u043d\u043e.<\/p>\n<p>\u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043c\u043d\u0435 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u043c, \u044d\u0442\u043e \u0441\u043a\u0430\u043d\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432 <a href=\"https:\/\/github.com\/aquasecurity\/trivy\" rel=\"noopener noreferrer nofollow\">Trivy<\/a> \u043e\u0442 Aquasecurity. \u0412 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435, \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0439, \u0432\u0440\u043e\u0434\u0435 \u043a\u0430\u043a \u0431\u0430\u0437\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0443 \u043d\u0435\u0433\u043e \u0448\u0438\u0440\u0435, \u0447\u0435\u043c \u0443 \u0442\u043e\u0433\u043e \u0436\u0435 Clair, \u043d\u043e \u043f\u043e \u0431\u043e\u043b\u044c\u0448\u043e\u043c\u0443 \u0441\u0447\u0435\u0442\u0443 \u0432\u0441\u0435 \u044d\u0442\u0438 \u0442\u0443\u043b\u0437\u044b \u043f\u043e\u0445\u043e\u0436\u0438. <\/p>\n<p>\u0414\u0440\u0443\u0433\u0438\u0435 \u0442\u0435\u043c\u044b \u044d\u043a\u0437\u0430\u043c\u0435\u043d\u0430:<\/p>\n<ol>\n<li>\n<p><a href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/network-policies\/\" rel=\"noopener noreferrer nofollow\">Network Policy<\/a>. \u0422\u0443\u0442 \u0432\u0441\u0435 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e, \u043e\u0434\u043d\u0430\u043a\u043e \u043d\u0443\u0436\u043d\u043e \u0437\u043d\u0430\u0442\u044c \u043f\u0440\u043e \u043e\u0434\u0438\u043d \u0432\u0430\u0436\u043d\u044b\u0439 <a href=\"https:\/\/kubernetes.io\/docs\/concepts\/services-networking\/network-policies\/#behavior-of-to-and-from-selectors\" rel=\"noopener noreferrer nofollow\">\u043d\u044e\u0430\u043d\u0441<\/a> from \u0438 to<\/p>\n<\/li>\n<\/ol>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-316826","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/316826","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=316826"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/316826\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=316826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=316826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=316826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}