Некоторые заметки по итогам митапа Яндекс‑а. Зафиксирую, чтобы не забылось. Для тех, кто не смотрел, полное видео уже доступно.

1. Прикольная тема из Яндекс Финтех про "одна команда — один Gold­en Image":

"У нас большой стек. У нас сервисы пишутся и на Kotlin, и на плюсах, и для разных языков мы используем разные Gold­en Image‑ы. Но стараемся, чтобы внутри команды, которая пишет на одном фреймворке и на одном языке сформировался какой-то единый образ, который будет использоваться внутри этой команды. У нас есть набор этих золотых образов, которые используются конкретными командами. Все контейнеры, которые получаются мы пушим в наш reg­istry. Вопрос сколько их сложный, т.к. у нас микросервисная архитектура и у нас очень много микросервисов."

➡️ Вопрос: Используете ли вы dis­tro­less образы в Банке, да и в Яндексе в целом, к примеру Google dis­tro­less, чтобы минимизировать поверхность атаки и уменьшить размер самих образов?
Ответ: нет, но очень хотим к этому прийти
➡️ Вопрос: Если не секрет, что у вас за базовый образ? Аstra Lin­ux? 😉
Ответ: отвечу, что такой же как и во всем Яндексе )

Вполне возможно это секрет полишинеля на основе какого Lin­ux-дистрибутива базовые образы в Яндексе делают, но я не знаю. Если кто знает — шепните в личку, любопытно. 😉

2. То, что Яндекс Финтеху комфортно в Яндекс Облаке это понятное дело. Но будет ли так же комфортно другим банкам и финтехам?

➡️Вопрос: Возвращаясь к сертификации банка в облаке по стандартам PCI DSS и ГОСТам. Я смогу запустить такой банк в я.облаке и получить содействие при прохождении аудита со стороны Команды облака или это единичный случай для «родственной» компании?
Ответ: Можно это получить как отдельную услугу в Облаке.
➡️ Вопрос: прям услуга Облака или рекомендованная внешняя команда?
Ответ: В Облаке есть архитекторы и pre­mi­um sup­port.

3. В Wild­ber­ries и Яндекс Финтех для организации привилегированного доступа к Lin­ux-инфраструктуре используют Tele­port. Почему именно его? Как минимум половина доклада команды Wild­ber­ries была про обоснование этого выбора. Очень подробно и убедительно. Единственное жаль, что тема в основном крутилась про то как безопасно дать доступ до нужных серверов и дать/не дать root‑а, но не про хитрое ограничение прав пользователя на хосте. А это у Wild­ber­ries есть, т.к. Tele­port у них сильно допиленный:

"Команда переписала админку Teleport‑а полностью с нуля. Написала свой PAM-модуль, который учитывает роли, которые передаются телепортом при аутентификации и на основе этого настраивает sudo. Но мы сегодня про это подробно не рассказывали, потому что оно опять же не поместилось."

Про sudo тема интересная, будем ждать следующего раза. 🙂