Cómo asegurar tus contenedores Node.js en Kubernetes con las mejores prácticas

Rate this content
Bookmark

Aprende las mejores prácticas de seguridad para Kubernetes y especialmente para asegurar aplicaciones construidas con NodeJS que se ejecutan en Kubernetes. Hablaremos sobre cómo asegurar el clúster, tus contenedores Node.js y más. También veremos cómo utilizar OIDC para asegurar el acceso a los clústeres.

This talk has been presented at DevOps.js Conf 2022, check out the latest edition of this JavaScript Conference.

FAQ

RBAC significa 'Control de Acceso Basado en Roles'. Es una forma de gestionar quién puede acceder a qué recursos dentro de un clúster de Kubernetes. Permite definir roles y asignarles permisos específicos a nivel de API, lo que es crucial para la seguridad y la administración eficiente de los accesos en empresas y organizaciones de cualquier tamaño.

Para asegurar la autenticación en Kubernetes, se pueden utilizar varios mecanismos como certificados de cliente, tokens de autenticación y OpenID Connect (OIDC). OIDC es particularmente recomendable porque ofrece una solución de inicio de sesión único y facilita la gestión de usuarios sin necesidad de almacenar información sensible en las máquinas de los usuarios.

Los secrets en Kubernetes son un recurso utilizado para almacenar y gestionar datos sensibles, como contraseñas, tokens y claves. Se pueden montar como volúmenes de datos o exponer como variables de entorno en los contenedores, ayudando a mantener la seguridad de la información sensible dentro del clúster.

Mantener actualizado Kubernetes es crucial para la seguridad, ya que como cualquier otro software, está expuesto a vulnerabilidades que pueden ser explotadas. Actualizar con regularidad ayuda a proteger el clúster de ataques aprovechando errores conocidos y CVEs, asegurando así la integridad y seguridad del sistema.

Utilizar OIDC (OpenID Connect) mejora la seguridad en Kubernetes al proporcionar un método de autenticación robusto y escalable. OIDC permite la integración con proveedores de identidad, facilitando así la incorporación y desincorporación de usuarios de manera centralizada, eliminando la necesidad de gestionar credenciales sensibles directamente en Kubernetes.

Para mejorar la seguridad de los contenedores en Kubernetes se recomienda no ejecutar contenedores como usuario root, utilizar imágenes base oficiales y mínimas, habilitar el escaneo de imágenes de contenedor y utilizar herramientas como Docker Bench for Security para auditar y seguir las mejores prácticas de seguridad.

Deepu K Sasidharan
Deepu K Sasidharan
34 min
24 Mar, 2022

Comments

Sign in or register to post your comment.

Video Summary and Transcription

La charla de hoy trata sobre la seguridad de los contenedores Kubernetes, especialmente para Node.js. Las mejores prácticas para asegurar Kubernetes incluyen el uso de RBAC, OIDC y secrets, así como el aislamiento de las cargas de trabajo y la seguridad de las imágenes de los contenedores. Se recomienda OADC para la autenticación en Kubernetes, y asegurar el clúster de Kubernetes es crucial. Los clústeres de Kubernetes basados en la nube pueden utilizar OADC o el mecanismo de autenticación predeterminado proporcionado por el proveedor de la nube. La gestión del tamaño del equipo y lidiar con diferentes filosofías de seguridad son consideraciones importantes. En general, asegurar Kubernetes es esencial para proteger la infraestructura y los datos.

1. Introducción a la seguridad de Kubernetes

Short description:

La charla de hoy trata sobre la seguridad de los contenedores de Kubernetes, especialmente para Node.js. Independientemente de cómo ejecutes tus clústeres de Kubernetes, debes asegurarte de su seguridad. Introducciones: Soy Deepu K. Sashidharan, co-líder de jHipster, creador de kdash y defensor del desarrollo en Okta. Sígueme en Twitter y visita mi blog y libro sobre jHipster.

Hola a todos. Bienvenidos a mi charla. Hoy hablaré sobre cómo asegurar tus contenedores de Kubernetes, especialmente para Node.js. Si eres un ingeniero de DevOps, es muy probable que estés manteniendo ya sea un clúster de Kubernetes local o una plataforma como EKS, AKS o GKE. Pero independientemente de cómo ejecutes tus clústeres de Kubernetes, debes asegurarte de que estén seguros.

Pero primero, las presentaciones. Mi nombre es Deepu K. Sashidharan. Soy el co-líder de jHipster. También creé un panel muy útil llamado kdash para Kubernetes. Soy un aficionado del código abierto, un desarrollador políglota y un campeón de Java. Trabajo como defensor del desarrollo en Okta, con un enfoque en DevOps. También escribo con frecuencia sobre lenguajes y tecnología en mi blog. Puedes encontrarlo en deepu.tech. Por favor, sígueme en Twitter si te interesa mi contenido. He escrito un libro sobre jHipster. Si te gusta esta charla, es posible que también te guste el libro. Así que por favor, échale un vistazo.

2. Understanding Kubernetes Security

Short description:

Antes de hablar sobre cómo asegurar Kubernetes o antes de hablar sobre las mejores prácticas de seguridad en Kubernetes, es importante tener una comprensión básica de la seguridad de Kubernetes. Al igual que cualquier otro software complejo, la seguridad en Kubernetes es multifacética. Se utiliza TLS para garantizar la seguridad del transporte y la autenticación y autorización se pueden realizar utilizando múltiples mecanismos en Kubernetes. Kubernetes viene con muchas opciones de seguridad predefinidas, como hemos visto. Pero para proteger al máximo tu infraestructura, debes considerar muchas más mejores prácticas de seguridad.

Antes de hablar sobre cómo asegurar Kubernetes o antes de hablar sobre las mejores prácticas de seguridad en Kubernetes, es importante tener una comprensión básica de la seguridad de Kubernetes. Al igual que cualquier otro software complejo, la seguridad en Kubernetes es multifacética. Se puede categorizar en cuatro capas: seguridad del transporte, autenticación, autorización y control de admisión.

Se utiliza TLS para garantizar la seguridad del transporte y se puede realizar la autenticación y autorización utilizando múltiples mecanismos en Kubernetes. También es posible agregar módulos de control de admisión personalizados para agregar políticas y seguridad adicionales en Kubernetes. Estas son las cosas que están disponibles de forma predeterminada en Kubernetes.

Kubernetes viene con muchas opciones de seguridad predefinidas, como hemos visto. Pero para proteger al máximo tu infraestructura, debes considerar muchas más mejores prácticas de seguridad. Hoy veremos algunas de las mejores prácticas de seguridad vitales. También puedes encontrar un blog similar en el enlace proporcionado en esta diapositiva. Así que por favor, échale un vistazo si quieres leer un poco más de información al respecto.

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Enrutamiento en React 18 y más allá
React Summit 2022React Summit 2022
20 min
Enrutamiento en React 18 y más allá
Top Content
Routing in React 18 brings a native app-like user experience and allows applications to transition between different environments. React Router and Next.js have different approaches to routing, with React Router using component-based routing and Next.js using file system-based routing. React server components provide the primitives to address the disadvantages of multipage applications while maintaining the same user experience. Improving navigation and routing in React involves including loading UI, pre-rendering parts of the screen, and using server components for more performant experiences. Next.js and Remix are moving towards a converging solution by combining component-based routing with file system routing.
Elevando Monorepos con los Espacios de Trabajo de npm
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Elevando Monorepos con los Espacios de Trabajo de npm
Top Content
NPM workspaces help manage multiple nested packages within a single top-level package, improving since the release of NPM CLI 7.0. You can easily add dependencies to workspaces and handle duplications. Running scripts and orchestration in a monorepo is made easier with NPM workspaces. The npm pkg command is useful for setting and retrieving keys and values from package.json files. NPM workspaces offer benefits compared to Lerna and future plans include better workspace linking and adding missing features.
Una Guía Práctica para Migrar a Componentes de Servidor
React Advanced Conference 2023React Advanced Conference 2023
28 min
Una Guía Práctica para Migrar a Componentes de Servidor
Top Content
React query version five is live and we'll be discussing the migration process to server components using Next.js and React Query. The process involves planning, preparing, and setting up server components, migrating pages, adding layouts, and moving components to the server. We'll also explore the benefits of server components such as reducing JavaScript shipping, enabling powerful caching, and leveraging the features of the app router. Additionally, we'll cover topics like handling authentication, rendering in server components, and the impact on server load and costs.
Automatizando Todo el Código y las Pruebas con GitHub Actions
React Advanced Conference 2021React Advanced Conference 2021
19 min
Automatizando Todo el Código y las Pruebas con GitHub Actions
Top Content
We will learn how to automate code and testing with GitHub Actions, including linting, formatting, testing, and deployments. Automating deployments with scripts and Git hooks can help avoid mistakes. Popular CI-CD frameworks like Jenkins offer powerful orchestration but can be challenging to work with. GitHub Actions are flexible and approachable, allowing for environment setup, testing, deployment, and custom actions. A custom AppleTools Eyes GitHub action simplifies visual testing. Other examples include automating content reminders for sharing old content and tutorials.
Ajustando DevOps para las Personas sobre la Perfección
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Ajustando DevOps para las Personas sobre la Perfección
Top Content
DevOps is a journey that varies for each company, and remote work makes transformation challenging. Pull requests can be frustrating and slow, but success stories like Mateo Colia's company show the benefits of deploying every day. Challenges with tools and vulnerabilities require careful consideration and prioritization. Investing in documentation and people is important for efficient workflows and team growth. Trust is more important than excessive control when deploying to production.
El Nuevo Enrutador de Aplicaciones de Next.js
React Summit 2023React Summit 2023
27 min
El Nuevo Enrutador de Aplicaciones de Next.js
Today's Talk is about the Next.js App Router, which has evolved over the years and is now a core feature of Next.js. The Talk covers topics such as adding components, fetching remote data, and exploring layouts. It also discusses submitting form data, simplifying code, and reusing components. The App Router allows for coexistence with the existing pages router and enables data fetching at the layout level using React Server Components.

Workshops on related topic

Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
React Summit 2022React Summit 2022
173 min
Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
Top Content
WorkshopFree
Kellen Mace
Kellen Mace
En esta masterclass, aprenderás cómo construir una aplicación Next.js que utiliza Apollo Client para obtener datos de un backend de WordPress sin cabeza y usarlo para renderizar las páginas de tu aplicación. Aprenderás cuándo debes considerar una arquitectura de WordPress sin cabeza, cómo convertir un backend de WordPress en un servidor GraphQL, cómo componer consultas usando el IDE GraphiQL, cómo colocar fragmentos GraphQL con tus componentes, y más.
Next.js 13: Estrategias de Obtención de Datos
React Day Berlin 2022React Day Berlin 2022
53 min
Next.js 13: Estrategias de Obtención de Datos
Top Content
WorkshopFree
Alice De Mauro
Alice De Mauro
- Introducción- Prerrequisitos para la masterclass- Estrategias de obtención: fundamentos- Estrategias de obtención – práctica: API de obtención, caché (estática VS dinámica), revalidar, suspense (obtención de datos en paralelo)- Prueba tu construcción y sírvela en Vercel- Futuro: Componentes de servidor VS Componentes de cliente- Huevo de pascua de la masterclass (no relacionado con el tema, destacando la accesibilidad)- Conclusión
Crea un sitio web editable visualmente con Next.js utilizando React Bricks, con blog y comercio electrónico
React Summit 2023React Summit 2023
139 min
Crea un sitio web editable visualmente con Next.js utilizando React Bricks, con blog y comercio electrónico
Top Content
WorkshopFree
Matteo Frana
Matteo Frana
- React Bricks: por qué lo construimos, qué es y cómo funciona- Crea una cuenta gratuita- Crea un nuevo proyecto con Next.js y Tailwind- Explora la estructura del directorio- Anatomía de un Brick- Crea un nuevo Brick (Texto-Imagen)- Añade un título y descripción con edición visual RichText- Añade una imagen con edición visual- Añade controles de barra lateral para editar props (relleno y lado de la imagen)- Anidación de Bricks utilizando el componente Repeater- Crea un brick de galería de imágenes- Publica en Netlify o Vercel- Tipos de página y campos personalizados- Acceso a los valores meta de la página- Internacionalización- Cómo reutilizar contenido en varias páginas: Historias y incrustaciones- Cómo crear un comercio electrónico con datos de productos de una base de datos externa y páginas de aterrizaje creadas visualmente en React Bricks- Características empresariales avanzadas: permisos flexibles, estructura bloqueada, componentes visuales personalizados
De Todo App a B2B SaaS con Next.js y Clerk
React Summit US 2023React Summit US 2023
153 min
De Todo App a B2B SaaS con Next.js y Clerk
WorkshopFree
Dev Agrawal
Dev Agrawal
Si eres como yo, probablemente tengas un millón de ideas para proyectos secundarios, algunas de las cuales incluso podrían hacerte ganar dinero como un micro SaaS, o podrían resultar ser la próxima startup de mil millones de dólares. Pero, ¿cómo sabes cuáles? ¿Cómo pasas de una idea a un producto funcional que puede ser puesto en manos de clientes que pagan sin renunciar a tu trabajo e invirtiendo todo tu tiempo y dinero en ello? ¿Cómo pueden competir tus proyectos secundarios en solitario con las aplicaciones construidas por enormes equipos y grandes empresas?
Construir productos SaaS ricos viene con desafíos técnicos como infraestructura, escalabilidad, disponibilidad, seguridad y subsistemas complicados como autenticación y pagos. Por eso, a menudo son los gigantes tecnológicos ya establecidos quienes pueden construir y operar productos de este tipo de manera razonable. Sin embargo, una nueva generación de devtools está permitiendo a los desarrolladores construir fácilmente soluciones completas que aprovechan la mejor infraestructura en la nube disponible, y ofrecen una experiencia que te permite iterar rápidamente en tus ideas por un bajo costo de $0. Se llevan todos los desafíos técnicos de construir y operar productos de software para que solo tengas que pasar tu tiempo construyendo las características que tus usuarios quieren, dándote una oportunidad razonable de competir contra el mercado al mantenerte increíblemente ágil y receptivo a las necesidades de los usuarios.
En esta masterclass de 3 horas comenzarás con una simple aplicación de gestión de tareas construida con React y Next.js y la convertirás en un producto SaaS completamente funcional y escalable integrando una base de datos escalable (PlanetScale), autenticación multi-tenant (Clerk), y pagos basados en suscripción (Stripe). También aprenderás cómo los principios del desarrollo de software ágil y el diseño impulsado por el dominio pueden ayudarte a construir productos rápidamente y de manera rentable, y competir con las soluciones existentes.
Construyendo Componentes de Servidor Reutilizables en NextJS
React Summit US 2023React Summit US 2023
88 min
Construyendo Componentes de Servidor Reutilizables en NextJS
Workshop
Will Bishop
Mettin Parzinski
2 authors
React continúa evolucionando su capacidad beta, los Componentes de Servidor de React, y continúan desarrollándolos en asociación con marcos como NextJS.En esta masterclass, los asistentes aprenderán qué son los Componentes de Servidor de React, cómo construirlos y usarlos eficazmente en NextJS, y se centrarán en una de las principales ventajas de React/NextJS: la reutilización a través de componentes.También cubriremos tecnologías beta relacionadas habilitadas por el directorio `app`, como los layouts anidados y las acciones del servidor (capacidad alfa/experimental).¡Únete a nosotros para esta masterclass práctica de 120 minutos!Tecnologías:
React, JavaScript/Typescript, NextJS, Miro
Construyendo Sitios Web Ultrarrápidos con Next.js y Sanity.io
React Summit 2023React Summit 2023
71 min
Construyendo Sitios Web Ultrarrápidos con Next.js y Sanity.io
WorkshopFree
Nancy Du
Nataliya Ioffe
2 authors
Únete a nosotros en un masterclass práctico donde te mostraremos cómo mejorar tus habilidades de React para construir un sitio web sin cabeza de alto rendimiento utilizando Next.js, Sanity y la arquitectura JAMstack. No se requiere conocimiento previo de Next.js o Sanity, lo que hace que este masterclass sea ideal para cualquier persona familiarizada con React que quiera aprender más sobre la construcción de sitios web dinámicos y receptivos.
En este masterclass, exploraremos cómo Next.js, un framework basado en React, se puede utilizar para construir un sitio web estático con renderizado del lado del servidor y enrutamiento dinámico. Aprenderás cómo utilizar Sanity como un CMS sin cabeza para gestionar el contenido de tu sitio web, crear plantillas de página personalizadas con Next.js, utilizar APIs para integrarte con el CMS y desplegar tu sitio web en producción con Vercel.
Al final de este masterclass, tendrás una comprensión sólida de cómo Next.js y Sanity.io pueden utilizarse juntos para crear un sitio web de alto rendimiento, escalable y flexible.