Последние сообщения

Все системные файлы ядра расположены в папке /system. Если в этой папке изменять все файлы без учета кода, это может привести к несовместимости с обновлениями. Однако если разработчик учитывает необходимость кастомизации, не затрагивая систему обновлений, то DST Platform сможет обновляться и дальше, даже будучи кастомизированной.

Проще говоря, нужно приложить немало усилий, чтобы сделать обновления невозможными т.к. это отдельный компонент, который разработчику нет смысла переписывать и зачастую это происходит по неопытности 

Да тоже бы хотел узнать по подробнее 

Как безопасно установить обновления, если мы доработаем и адаптируем систему под свои нужды?

Максим Гусейнов

Если вы кастомизируете систему и вносите изменения в её код, обновления будут устанавливаться автоматически. Однако, если вы решите полностью переписать системные файлы ядра, и это приведёт к несовместимости с обновлениями, система предупредит вас об этом и не позволит обновить её.

В таком случае вы можете обратиться в службу поддержки через личный кабинет в CRM-системе. Мы создадим задачу для разработчиков, которые за дополнительную плату оперативно решат вашу проблему и исправят кастомизированный код, чтобы система могла стабильно обновляться.

Александр Репин

А можно по подробнее что значить файлы ядра, исправление которых могут привести к несовместимости с обновлениями? 

Как безопасно установить обновления, если мы доработаем и адаптируем систему под свои нужды?

Максим Гусейнов

Если вы кастомизируете систему и вносите изменения в её код, обновления будут устанавливаться автоматически. Однако, если вы решите полностью переписать системные файлы ядра, и это приведёт к несовместимости с обновлениями, система предупредит вас об этом и не позволит обновить её.

В таком случае вы можете обратиться в службу поддержки через личный кабинет в CRM-системе. Мы создадим задачу для разработчиков, которые за дополнительную плату оперативно решат вашу проблему и исправят кастомизированный код, чтобы система могла стабильно обновляться.

Да конечно, в панели управления в разделе «Обновления» есть инструкция как это можно сделать собственными силами. 

Обновления выпускаются ежемесячно и автоматически устанавливаются в систему, поэтому вам не нужно беспокоиться об этом. Панель управления обновляется сама.

Кроме того, мы регулярно выпускаем бесплатные и платные модули, которые расширяют функциональность системы. Вы можете приобрести их по мере необходимости, а наши специалисты установят их для вас бесплатно.

Александр Репин

Это здорово что у Вас автоматическая и бесплатная установка всех дополнений, но могу ли я сам устанавливать все обновления, у нашей компании собственный ИТ отдел?  

Обновления выпускаются ежемесячно и автоматически устанавливаются в систему, поэтому вам не нужно беспокоиться об этом. Панель управления обновляется сама.

Кроме того, мы регулярно выпускаем бесплатные и платные модули, которые расширяют функциональность системы. Вы можете приобрести их по мере необходимости, а наши специалисты установят их для вас бесплатно.

Основные механизмы безопасности Kubernetes

Kubernetes включает в себя несколько API и средств управления безопасностью, а также способы определить политики, которые могут стать частью вашего управления информационной безопасностью.

Защита плоскости управления

Ключевым механизмом безопасности для любого кластера Kubernetes является контролировать доступ к API Kubernetes .

Kubernetes ожидает, что вы настроите и будете использовать TLS для предоставления шифрование данных при передаче внутри плоскости управления, а также между плоскостью управления и ее клиентами. Вы также можете включить шифрование при хранении для данных, хранящихся в плоскости управления Kubernetes; это отличается от использования шифрование данных в состоянии покоя для ваших собственных рабочих нагрузок, что также может быть хорошей идеей.

Секреты

Секретный API обеспечивает базовую защиту для значения конфигурации, требующие конфиденциальности.

Защита рабочей нагрузки

соблюдение стандартов безопасности Pod Обеспечить убедитесь, что Pods и их контейнеры изолированы соответствующим образом. Вы также можете использовать RuntimeClasses для определения пользовательской изоляции если вам это нужно.

Сетевые политики позволяют вам контролировать сетевой трафик между модулями или между модулями и сетью за пределами вашего кластера.

Вы можете развернуть элементы управления безопасностью из более широкой экосистемы для реализации превентивных мер или средства контроля обнаружения вокруг Pod, их контейнеров и образов, которые в них запускаются.

Контроль доступа

Контролеры допуска это плагины, которые перехватывают запросы API Kubernetes и могут проверять или изменять запросы на основе определенных полей в запросе. Продуманное проектирование Эти контроллеры помогают избежать непреднамеренных сбоев, поскольку API Kubernetes изменение между обновлениями версии. Для рассмотрения дизайна см. Передовая практика Admission Webhook .

Аудит

Kubernetes Ведение журнала аудита обеспечивает хронологический набор записей, относящихся к безопасности и документирующих последовательность действий в кластере. Кластер проверяет действия, генерируемые пользователями, приложениями которые используют API Kubernetes, а также самой плоскостью управления.

Ключевые аспекты безопасности кластера kubernetes:

— Аутентификация и авторизация: обеспечение того, чтобы только авторизованные пользователи и системы могли получить доступ к кластеру Kubernetes. Это включает в себя применение надёжных механизмов аутентификации и определение детальных средств контроля доступа с помощью управления доступом на основе ролей (RBAC) для ограничения действий и сервисов, которые могут выполняться внутри кластера.
— Сетевая безопасность: внедрение сетевых политик для управления взаимодействием между модулями, службами и внешними ресурсами. Сетевая безопасность определяет, как модули могут взаимодействовать с другими модулями и конечными точками сети, помогая предотвратить несанкционированный доступ и потенциальные атаки.
— Защита сервера API: Сервер Kubernetes API является обязательным элементом, который управляет состоянием кластера и данными конфигурации. Защита сервера API предполагает использование шифрования, надёжных методов аутентификации и контроля доступа для предотвращения несанкционированного доступа и защиты конфиденциальных данных.

Обеспечение безопасности кластера Kubernetes — это непрерывный процесс, требующий сочетания передовых методов, инструментов и бдительности.

Шифрование данных в передаче относится к защите информации, которая перемещается между компонентами системы или между системой и её пользователями. В Kubernetes это включает в себя шифрование трафика между нодами, а также между клиентами и API-сервером. Подобная защита данных часто достигается за счёт TLS.

В Kubernetes предоставляется API certificates.k8s.io, который позволяет генерировать TLS сертификаты, подписанные управляемым CA. Эти сертификаты и CA могут быть использованы рабочими нагрузками для установления доверия.

Для того чтобы начать использовать TLS в кластере, необходимо сначала сгенерировать ключи и сертификаты. Существует полно инструментов, наши любимые — cfssl и mkcert. Например, с помощью cfssl можно создать частный ключ и запрос на подпись сертификата, который затем может быть отправлен в Kubernetes API для создания объекта CertificateSigningRequest.

Как и в любом аспекте безопасности, здесь нет одной «серебряной пули». Хорошее шифрование Kubernetes требует комплексного подхода, включающего в себя тщательное планирование, реализацию и постоянную адаптацию к возникающим угрозам.

Вот наверное некоторые аспекты роли Kubernetes в защите данных:

— Аутентификация и авторизация. Kubernetes гарантирует, что только авторизованные пользователи и системы могут получить право входа в кластер. Для этого используются механизмы строгой аутентификации и ролевой контроль доступа (RBAC).

— Сетевая безопасность. Kubernetes позволяет контролировать взаимодействие между модулями, службами и внешними ресурсами. Это помогает избежать несанкционированного доступа и предотвратить потенциальные атаки.

— Защита сервера API. Сервер API Kubernetes управляет состоянием кластера и данными конфигурации. Защита сервера включает в себя использование шифрования, методов строгой аутентификации и средств контроля доступа.

— Защита секретов. Kubernetes использует секреты для защиты конфиденциальных данных, таких как пароли и ключи API. Конфиденциальные данные отделены от кода приложения и конфигурационных файлов, что упрощает управление безопасностью и снижает риск утечек данных.

— Защита рабочей нагрузки. Kubernetes реализует политики безопасности, которые ограничивают возможности и привилегии запущенных рабочих нагрузок.

— Аудит. Kubernetes обеспечивает непрерывный мониторинг и протоколирование действий кластера. Это позволяет обнаруживать подозрительные действия и обеспечивает отслеживание для криминалистического анализа в случае инцидента безопасности.

Таким образом, Kubernetes помогает защищать конфиденциальность, целостность и доступность рабочих нагрузок от уязвимостей и угроз. 

Татьяна SP — хорошая система, мы тоже ее рассматривали. Просто эта тема не о том, чем хорошо то или иное решение, а о потребностях бизнеса в мощном портале вообще. 

Олег Рудаков

Если говорить о потребности бизнеса в мощном корпоративном портале:

— Централизованный доступ к информации. Пользователи могут получать доступ к необходимым документам, политикам, инструкциям и обновлениям с любого устройства.

— Оптимизация бизнес-процессов. Объединяя различные бизнес-приложения и процессы на единой платформе, корпоративный портал упрощает повседневные операции.

— Удобная коммуникация. Корпоративный портал делает удобным взаимодействие между командами, работающими удалённо или из разных регионов.

— Усиление бренда и корпоративной культуры. В корпоративном портале сотрудники обмениваются опытом, получают поддержку, обучаются и ощущают себя ценными для компании.

— Автоматизация адаптации новых сотрудников. Портал помогает им быстро заполнять необходимые документы, получать доступ к обучающим материалам и легко связываться с коллегами.

— Анализ и принятие управленческих решений. Интеграция аналитических инструментов позволяет отслеживать KPIs, анализировать производительность сотрудников и оптимизировать бизнес-процессы.

Потребности в корпоративном портале индивидуальны для каждой компании и зависят от многих факторов: наличия существующих систем, корпоративной культуры и специфики бизнеса. 

Татьяна SP — хорошая система, мы тоже ее рассматривали. Просто эта тема не о том, чем хорошо то или иное решение, а о потребностях бизнеса в мощном портале вообще. 

Лицензия Enterpaise это ведь не единственный критерий, по которым вы выбрали создать портал на системе DST Portal, на чем основывались выбрав именно эту систему? 

Иван Тышковец

Конечно нет, посмотрели базовые функции — практически у всех порталов на рынке они очень похожи. Посмотрели GUI различных систем. Оценили стоимость владения (лицензии, в том числе системный софт+проект внедрения, под наши потребности+тех.поддержка). Проранжировали потребности. Для меня важна была возможность дорабатывать портал своими силами (ФОТ php-программиста пока еще ниже, чем java и .net и их проще найти). Оценили срок запуска.

Свели данные в таблицу, в столбцах рассматриваемые системы, в строках критерии по которым выбирали. В ячейках таблицы проставили то насколько система удовлетворяет заявленному критерию. В общем очень субъективно. Оказалось, что нам достаточно решения на базе DST Portal с максимальной лицензией.

Один момент в теме не указал — при выборе системы мы присвоили каждой из потребностей весовой коэффициент от 0 до 1, например быстрый поиск информации — 1, а у проведения внутренних маркетинговых компаний — 0,6. Также присвоили коэффициент таким параметрам как стоимость, срок и GUI = 1

Олег Рудаков

И все???
А мы рассматривали вариант на sharepoint.