Безопасность GitOps
Что такое Безопасность GitOps?
Безопасность GitOpsПрактики безопасности для GitOps-процессов, в которых декларативное желаемое состояние инфраструктуры и приложений хранится в Git и приводится в соответствие с продакшеном автоматическим контроллером.
GitOps использует Git как единственный источник истины и инструменты вроде Argo CD или Flux для постоянной синхронизации кластеров с этим состоянием. Поэтому фокус безопасности смещается на репозиторий Git, идентичности коммитеров, контроли пул-реквестов и сам GitOps-контроллер. Ключевые практики: защита веток, подписанные коммиты и теги, CODEOWNERS, обязательные ревью, отсутствие секретов в репозитории (Sealed Secrets, External Secrets, SOPS, интеграции с Vault), policy-as-code (OPA Gatekeeper, Kyverno), проверка подписей образов (Cosign), минимальные права контроллера и отправка журналов аудита. Также важно не позволять контроллеру применять непросмотренные манифесты, вредоносные Helm-чарты или неподписанные образы. Неправильные настройки позволяют злоумышленникам перейти от единичного мерджа к полному захвату кластера.
● Примеры
- 01
Argo CD, синхронизирующийся только с защищённой и подписанной веткой main с проверкой подписи образов через Cosign.
- 02
Использование Sealed Secrets, чтобы шифрованные манифесты безопасно лежали в Git.
● Частые вопросы
Что такое Безопасность GitOps?
Практики безопасности для GitOps-процессов, в которых декларативное желаемое состояние инфраструктуры и приложений хранится в Git и приводится в соответствие с продакшеном автоматическим контроллером. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Безопасность GitOps?
Практики безопасности для GitOps-процессов, в которых декларативное желаемое состояние инфраструктуры и приложений хранится в Git и приводится в соответствие с продакшеном автоматическим контроллером.
Как защититься от Безопасность GitOps?
Защита от Безопасность GitOps обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность GitOps?
Распространённые альтернативные названия: Защищённый GitOps.