Посты
А вот и обещанный пост 😮 Вчера я побывал на БЕКОНе — конференции по безопасности контейн…
4 июня 2025 г. в 19:13•Max Knyazev is typing…Зеркало Telegram
А вот и обещанный пост 😮
Вчера я побывал на БЕКОНе — конференции по безопасности контейнеров от Luntry. Было 10 докладов + 1 секретный, куча технических откровений, а вечером — спикерпати с квизом по Kubernetes и алкогольным казино. Рассказываю, как это было (максимально сжато и тезисно, но с ссылками на презы, ибо лонгрид делать не хочу, а пост все не вместит)🏋️♀️
Доклад №1
Началось всё с доклада от Дмитрия Евдокимова (организатора мероприятия, между прочим). Он выдал пощёчину всем, кто верит в
kubectl get all, забывает про allowPrivilegeEscalation и думает, что дефолтный service account — это безопасно. После этого доклада захотелось срочно открыть все свои манифесты и начать ревизию 😵💫
Доклад №2
Дальше Евгений Берендяев из Авито рассказал, как в проде подружить себя с Kyverno и не умереть. Арго, AppSets, своя CI для политик, нагрузочное тестирование — крутой инженерный подход. Если у вас уже есть Kyverno, посмотрите этот доклад👨💻
Доклад №3
Антон Баранов из «Астры» ушёл в дебри Cilium и eBPF, разбирая, как фильтровать трафик по уровням допуска согласно ГОСТу. Было сложно, но мощно. Это пример того, как кастомизировать сетевую политику на уровне ядра. И зачем для этого нужны fallback’ы на💪
Доклад №4
Альмир Сарваров из ДОМ.РФ напомнил всем, что не всякая безопасность полезна. Он прошёлся по KSPP и CIS Benchmark и показал, как можно с лучшими намерениями убить rootless контейнеры, наблюдаемость и всё остальное. Очень отрезвляющий доклад🍷
Доклад №5
Дмитрий Рыбалка рассказал про Talos Linux. Без SSH, без bash, без костылей — просто🤓
Доклад №6
Михаил Кожуховский из Flowmaster выступил с докладом для параноиков: как собирать образы и не подорвать CI. Сравнил Kaniko, Buildah, Buildkit, Ko, Jib. Показал, как сбежать из chroot, и напомнил, что Docker в CI — это не ок🤔
Доклад №7
Андрей Слепых из НТЦ «Фобос-НТ» грамотно прошёлся по требованиям ФСТЭК. Чем отличается средство контейнеризации от средства в контейнерном исполнении, как описывать SBOM, как делать инвентаризацию и не получить отказ в сертификации. Очень полезно, даже если вам не светит ФСТЭК — просто чтобы понимать, куда всё движется👐
Доклад №8
Каиржан Аубекеров из MTS раскрыл тему изоляции control-plane в Kubernetes. Разобрал Hosted Control Plane архитектуру, сравнил k0smotron, Hypershift и Kamaji. Спойлер: MTS пошёл своим путём и делает свой kubeadm-провайдер💥
Доклад №9
Потом был доклад про Workload Identity Federation — тот случай, когда вы наконец-то понимаете, как обойтись без secrets.yaml. Сложно, но очень круто: поды в Kubernetes, получающие секреты из Yandex Lockbox без единого сохранённого ключа. Токен projection, OpenID, и прочая магия✨
Доклад №10
Финал был за Николаем Панченко из T-Банка — чеклист безопасности ML-кластеров. GPU, Kubeflow, Ray, поддельные device plugin’ы, dynamic resource allocation. Очень необычный и насыщенный доклад на стыке MLOps и безопасности🤯
Секретный доклад
А потом был секретный доклад. Про zero-day и задачу с CTF. Про уязвимость, которую пока не опубликовали. Мы всей аудиторией пообещали, что не будем ничего рассказывать. Так что... ничего и не расскажем. Но это было сильно 🤝
Ну и конечно, SpeakerParty😎
Мы собрались на крыше, где расселись на удобных креслах-мешках. Было много разной закуски, алкоголя и даже кальяны. Для нас провели квиз по Kubernetes. Было алкогольное казино — нужно было по вкусу угадать состав коктейля и делать ставки, как в рулетке, но с ликёром и джином. А ещё живое общение. Много общения. С коллегами и единомышленниками. И всё это в расслабляющей атмосфере и с лёгким перегрузом мозга от инфы😍
Конференция получилась камерной, очень тёплой, но при этом насыщенной. БЕКОН — это тот случай, когда хочешь вернуться в следующем году. Даже если тебя не позовут — всё равно придёшь🌝
#информационная_безопасность #бекон #luntry
Открыть исходный пост в TelegramВчера я побывал на БЕКОНе — конференции по безопасности контейнеров от Luntry. Было 10 докладов + 1 секретный, куча технических откровений, а вечером — спикерпати с квизом по Kubernetes и алкогольным казино. Рассказываю, как это было (максимально сжато и тезисно, но с ссылками на презы, ибо лонгрид делать не хочу, а пост все не вместит)
Доклад №1
Началось всё с доклада от Дмитрия Евдокимова (организатора мероприятия, между прочим). Он выдал пощёчину всем, кто верит в
kubectl get all, забывает про allowPrivilegeEscalation и думает, что дефолтный service account — это безопасно. После этого доклада захотелось срочно открыть все свои манифесты и начать ревизию 😵💫
Доклад №2
Дальше Евгений Берендяев из Авито рассказал, как в проде подружить себя с Kyverno и не умереть. Арго, AppSets, своя CI для политик, нагрузочное тестирование — крутой инженерный подход. Если у вас уже есть Kyverno, посмотрите этот доклад
Доклад №3
Антон Баранов из «Астры» ушёл в дебри Cilium и eBPF, разбирая, как фильтровать трафик по уровням допуска согласно ГОСТу. Было сложно, но мощно. Это пример того, как кастомизировать сетевую политику на уровне ядра. И зачем для этого нужны fallback’ы на
astra_mac_level Доклад №4
Альмир Сарваров из ДОМ.РФ напомнил всем, что не всякая безопасность полезна. Он прошёлся по KSPP и CIS Benchmark и показал, как можно с лучшими намерениями убить rootless контейнеры, наблюдаемость и всё остальное. Очень отрезвляющий доклад
Доклад №5
Дмитрий Рыбалка рассказал про Talos Linux. Без SSH, без bash, без костылей — просто
talosctl. Минималистичный, API-центричный дистрибутив Доклад №6
Михаил Кожуховский из Flowmaster выступил с докладом для параноиков: как собирать образы и не подорвать CI. Сравнил Kaniko, Buildah, Buildkit, Ko, Jib. Показал, как сбежать из chroot, и напомнил, что Docker в CI — это не ок
Доклад №7
Андрей Слепых из НТЦ «Фобос-НТ» грамотно прошёлся по требованиям ФСТЭК. Чем отличается средство контейнеризации от средства в контейнерном исполнении, как описывать SBOM, как делать инвентаризацию и не получить отказ в сертификации. Очень полезно, даже если вам не светит ФСТЭК — просто чтобы понимать, куда всё движется
Доклад №8
Каиржан Аубекеров из MTS раскрыл тему изоляции control-plane в Kubernetes. Разобрал Hosted Control Plane архитектуру, сравнил k0smotron, Hypershift и Kamaji. Спойлер: MTS пошёл своим путём и делает свой kubeadm-провайдер
Доклад №9
Потом был доклад про Workload Identity Federation — тот случай, когда вы наконец-то понимаете, как обойтись без secrets.yaml. Сложно, но очень круто: поды в Kubernetes, получающие секреты из Yandex Lockbox без единого сохранённого ключа. Токен projection, OpenID, и прочая магия
Доклад №10
Финал был за Николаем Панченко из T-Банка — чеклист безопасности ML-кластеров. GPU, Kubeflow, Ray, поддельные device plugin’ы, dynamic resource allocation. Очень необычный и насыщенный доклад на стыке MLOps и безопасности
Секретный доклад
Ну и конечно, SpeakerParty
Мы собрались на крыше, где расселись на удобных креслах-мешках. Было много разной закуски, алкоголя и даже кальяны. Для нас провели квиз по Kubernetes. Было алкогольное казино — нужно было по вкусу угадать состав коктейля и делать ставки, как в рулетке, но с ликёром и джином. А ещё живое общение. Много общения. С коллегами и единомышленниками. И всё это в расслабляющей атмосфере и с лёгким перегрузом мозга от инфы
Конференция получилась камерной, очень тёплой, но при этом насыщенной. БЕКОН — это тот случай, когда хочешь вернуться в следующем году. Даже если тебя не позовут — всё равно придёшь
#информационная_безопасность #бекон #luntry