Kubernetes v1.19: cosa c’è di nuovo… direttamente dal KubeCon 2020

Vista Technology e Sysdig (https://sysdig.com/), grazie alla partnership per il mercato italiano, creano un sodalizio che si pone come scopo quello di andare a diffondere le pratiche di Secure DevOps in tutte quelle Enterprise che hanno già intrapreso il viaggio verso la destinazione Cloud Native e hanno raggiunto il grado di maturità necessario per affrontare gli step essenziali di Secure ed Observability, oppure laddove si voglia iniziare una progettazione da zero ma con tutti i tasselli già pronti per il futuro.

L’ormai affermato avvento delle tematiche Cloud Native e dei Microservizi ha consacrato Kubernetes come piattaforma standard de facto per lo sviluppo e il rilascio dei moderni software, grazie alla spinta di driver ben noti, quali: velocità di innovazione, efficienza ed ottimizzazione, mitigazione del rischio.

Si potrebbe quasi affermare che Kubernetes è il nuovo “Application Server”, o addirittura Sistema Operativo, dell’era moderna.

Quando si tratta di gestire i workload in produzione, i team di DevOps devono necessariamente far fronte ad un cambiamento ed un’assunzione di responsabilità maggiore per ciò che concerne l’aspetto di sicurezza, e più in generale di monitoraggio, nello scale up di infrastrutture Kubernetes.

L’obiettivo principale di chi si occupa di gestire flussi di lavoro su Kubernetes è quello di:

• Monitorare le performance
• Gestire l’affidabilità e la disponibilità delle risorse, nonché la capacity
• Essere in grado di rispondere il più velocemente possibile ad issue e bug

Accanto a questi topic se ne affiancano ora altri, legati prettamente all’ambito security:

• Scanning delle vulnerabilità
  • portando la security già nelle pipeline di build del processo di CI/CD (shif-left) si riesce a non perdere il concetto di velocità e rapidità di cambiamento
• Gestione delle policy
  • I team di sicurezza forniscono direttive e guidelines di sicurezza, sta ai team DevOps proiettare tali regole sulla piattaforma e garantirne l’aderenza ed il consolidamento, nonché monitorarne lo stato in runtime
• Troubleshooting e risposta agli incident
  • I team di DevOps devono essere in grado di fornire, insieme ai team di sicurezza, quelli che sono gli indizi cha hanno portato ad un incident e di rispondere velocemente

Quando tutti questi aspetti di Security entrano nella sfera di azione del mondo classico del DevOps, e di tutti i processi di Sicurezza, Osservabilità e Monitoraggio, si parla di Secure DevOps.

Il principale challange per raggiungere gli obiettivi elencati consiste proprio nell’avere a che fare con un mondo “conteinerizzato” su Kubernetes, invece del tradizionale mondo legacy.

Quando si ha a che fare con Container e Kubernetes, esistono dei punti critici:

• A causa dei molti livelli di astrazione, generalmente non riusciamo a vedere tutto ciò che accade all’interno di un container
• Il contesto dell’ambiente e le correlazioni sono un concetto fondamentale in ambito Cloud Native, non basta scoprire di avere una vulnerabilità, occorre infatti sapere esattamente dove si trova, con chi è relazionata e l’impatto nel processo di fix
• I container sono oggetti effimeri per natura, hanno un ciclo di vita generalmente molto breve e perciò sono poco propensi a lasciare tracce durature

Da tutto ciò si deduce che è indispensabile avere il giusto tool per raggiungere tale grado di confidenza nella metodologia Secure DevOps, laddove vediamo che gli strumenti cosiddetti tradizionali non riescono a soddisfare queste nuove necessità di piattaforma.

In ambito cosiddetto legacy abbiamo di fronte due tipi di problematiche:

• Strumenti tradizionali
  • Non pensati per un mondo “conteinerizzato”
  • Non sono kubernetes-compatibili
  • Non sono predisposti per le metodologie DevOps
• Strumenti molto specifici con singola funzionalità
  • Spesso molto invasivi a livello infrastrutturale
  • Contesto kubernetes limitato
  • Difficili da integrare e scalare

È proprio in questo ambito che Sysdig si inserisce come leader del settore nello sviluppo di piattaforme per il Secure DevOps, poiché propone un’unica soluzione per la sicurezza ed il monitoraggio nativo su piattaforma Kubernetes: Sysdig Secure DevOps Platform.

La visione di Sysdig è proprio quella di coprire totalmente un unico workflow attraverso il lifecycle Cloud Native, suddiviso nelle tre fasi principali:

1. Build
   1. Docker image scanning
   2. Vulnerability scanning
   3. Integrazione con le pipeline di CI e con i registry
2. Run
   1. Monitoraggio del comportamento dei workload di produzione in realtime
   2. Gestione delle policy di sicurezza
   3. Detection rules
   4. Alerting
3. Respond
   1. Osservabilità
   2. Forensics (anche postuma e a container non più esistente)
   3. Correlazione
   4. Troubleshooting

La caratteristica più interessante della piattaforma Sysdig è che è nata e pensata esclusivamente per un mondo Cloud Native su piattaforma Kubernetes, che basa le proprie fondamenta su progetti open source (ritenuti dalla community come eccellenze del proprio settore), portandoli ad un grado di affidabilità di livello Enterprise.

Il leitmotiv fondamentale di Sysdig Secure DevOps Platform è quello di essere una piattaforma unica, ma anche semplice e poco invasiva.

Basandosi infatti sulle recenti migliorie della tecnologia eBPF, la sicurezza ed il monitoraggio dell’intera piattaforma avviene tramite l’inserimento di un solo piccolo agente per ogni nodo dell’infrastruttura.

I dati raccolti dagli agenti saranno poi collezionati su un backend per futura consultazione, gestione ed integrazione con sistemi pre-esistenti.

Infine, grazie alla presenza di intuitive interfacce di consultazione, risulta molto facile mantenere il controllo di ciò che sta succedendo all’interno della nostra infrastruttura.

Solo a titolo esemplificativo e non esaustivo, possiamo partire dai risultati del Vulnerbility Scanning delle immagini (sia nel registry che live in produzione), passando poi alla gestione delle Policy di Detection, al Performance Monitoring dei Microservizi, all’aderenza alle compliance (PCI, NIST, …)  e arrivando poi alla visione telemetrica infrastrutturale Multi Cloud:

Per concludere, occorre sicuramente sottolineare il fatto che l’ecosistema Sysdig si arricchisce ulteriormente grazie alle consolidate partnership tecniche con i maggior esponente commerciali del mondo Kubernetes e Public Cloud:

• IBM: https://sysdig.com/partners/ibm/, https://sysdig.com/press-releases/sysdig-expands-unified-monitoring-across-ibm-cloud-services/
• RedHat: https://sysdig.com/partners/red-hat
• AWS: https://sysdig.com/partners/aws/
• Azure: https://sysdig.com/partners/microsoft-azure/
• Google: https://sysdig.com/partners/google/
• VMware: https://tanzu.vmware.com/services-marketplace/identity-and-security/sysdig

Per iniziare ad entrare in contatto con il mondo Sysdig Secure DevOps Platform ecco un video che illustra i concetti chiavi ed evidenzia i fattori chiave della soluzione: