Разработать DevSecOps модели
Создайте пользовательскую диаграмму Helm для Falco IDS с пользовательским правилом.
Пользовательское правило должно вызывать оповещение, когда пользователь создает файл "/tmp/".
2. Настройка доверия между Circled и GCP:
Создайте доверительные отношения между учетной записью Circled (или CircleCI) и учетной записью GCP.
Убедитесь, что назначены необходимые разрешения и роли для федеративного доступа.
3. Развертывание Falco Helm Chart на кластере GKE с помощью Terraform:
Используйте Terraform для автоматизации развертывания диаграммы Falco Helm на кластере GKE.
Убедитесь, что Falco правильно настроена на мониторинг кластера на предмет подозрительной активности на основе пользовательского правила.
4. Запуск оповещения с помощью сценария оболочки:
Напишите сценарий оболочки, включающий необходимые команды kubectl для создания файла "/tmp/" в капсуле.
Запустите этот сценарий из задания Circled, используя федеративную идентификацию (сопоставив учетную запись Circled с учетной записью службы GCP с необходимыми правами в GKE).
5. Проследите за срабатыванием предупреждения в журналах Google Stackdriver Logging или Falco.
6. Разверните Suricata на узле GKE:
Разверните Suricata на одном из узлов кластера GKE. Для этого можно использовать DaemonSets, чтобы Suricata работала на всех узлах.
7. Создание пользовательского правила Suricata:
Создайте пользовательское правило Suricata, которое будет вызывать оповещение, если какой-либо процесс из капсулы подключается к порту 13666.
Настройте приемник для оповещений Suricata:
Настройте приемник или интеграцию, которая будет получать оповещения, генерируемые Suricata. Для мониторинга оповещений Suricata можно использовать систему агрегации журналов или пользовательский сценарий.
8. Автоматическое уничтожение бота:
Напишите сценарий или создайте процесс, который будет отслеживать оповещения Suricata на предмет соединений с портом 13666.
Если такое соединение обнаружено, сценарий должен использовать Kubernetes API для идентификации и удаления стручка, связанного с вредоносной активностью.