А как думаете, там еще требование шифровать database files. Сильно

ли это влияет на latency запросов записи в базу? Правда в той же mongodb encrypt данных вообще только в enterprise (благо есть percona)

шифруй диски, лол, luks и все дела

Там будет просадки по IOPS )))

В зависимости что за железо, если какойнибудь аппаратный рейд из 8 ssd то просадки и не заметишь

ну там хз, там во первых прям четко написано про database files, а не разделы. А во вторых luks мне кажется тормозить будет сильней

виртуалочки, локальные ssd от облака

𝚔𝚟𝚊𝚙𝚜
Как показывает практика, LUKS не такой уж и большо...

Интересно.

тогда тебе нужно full disk encryption

будут

А не знаешь случаем. В pv кластеров yandex это можно включить?

напиши архитектору яндекса

ЯО сейчас вот так шифруют диски https://github.com/yandex-cloud/yc-solution-library-for-security/tree/master/encrypt_and_keys/encrypt_disk_VM, так что можно с 90% уверенностью сказать, что нет такой фичи

а вы логи на worker нодах не шифруете. Ну те что лежат в /var/logs/kubelet ?

не шифруем, от кого?

Параноя все хуже ?

не у меня к сожалению. Но судя по всему такие требования от facebook - требует шифровать всё, где присутсвует platform data -) То есть это сразу enryption at rest в базе (либо шифрование раздела, как обсуждали выше). Но есть же еще логи, в логи легко может попасть id юзера, который дал нам facebook, а следовательно по определнию это platform data, а следовательно это требуется шифровать =) Самое забавное что id юзера от facebook это бесполезная херь, он выделяет этот id на приложение, то есть это даже не id в соц. сети. И непонятно зачем с ним так параонить. Но там определение platform data = все что тебе дает facebook, и id в том числе

а ты не пиши в логи

вот да. Но это надо конролировать. Любой же проггер может сделать print в коде =)

Я видел другой варик. Логи не пишутся в STDOUT а летят в “коннектор” который по mTLS отправляет в эластик

идеально

https://medium.com/@danielhuang37/encrypting-all-your-logs-in-2-easy-steps-using-logrotate-and-peacemakr-8ad9cbfe1b4c

так это херня. Логи же kubelet складывает. Пока там за ротейтится, один фиг какое-то время они будут не шифрованы. Не, тут походу надо отдельный пул нод делать, где /var/logs будет шифрованный

ХЕРНЯ

+

у меня один вопрос. зачем такая шиза?

Да об этом не подумал, тут тогда как-то в реалтайме через эту приблуду прогонять с rsyslog демона.

kubelet напрямую логи же складывает. В нем вроде нет настройки их перенаправлять в rsyslog

Enforce encryption at rest for all Platform Data storage (e.g., all database files, backups, object storage buckets) Platform Data” means any information, data, or other content you obtain from us, through Platform or through your App, whether directly or indirectly and whether before, on, or after the date you agree to these Terms, including data anonymized, aggregated, or derived from such data. Требование аггрегированные и анонимизированные данные тоже =)

по всякому можно

это cri решает

не факт, вроде таки kubelet https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/ --container-log-max-files --container-log-max-size

да ты прав > When using a CRI container runtime, the kubelet is responsible for rotating the logs and managing the logging directory structure. The kubelet sends this information to the CRI container runtime and the runtime writes the container logs to the given location. The two kubelet parameters containerLogMaxSize and containerLogMaxFiles in kubelet config file can be used to configure the maximum size for each log file and the maximum number of files allowed for each container respectively.