🔒 Как защитить API: 6 ключевых аспектов безопасности

API выступает важным звеном с пользователем, но одновременно является частой точкой риска в вопросах безопасности.

Для эффективной защиты API следует обеспечить:

1. Проверку подлинности и управление доступом

Надежные методы идентификации пользователей и четкое разграничение прав доступа — базовые меры против несанкционированного проникновения.

Современные протоколы, такие как OAuth 2.0 и JWT, позволяют корректно аутентифицировать пользователей и ограничивать их действия, что существенно снижает вероятность взлома.

2. Использование HTTPS

Шифрование данных при передаче с помощью HTTPS гарантирует сохранность информации от перехвата и подделки.

Это базовый уровень безопасности для API. В статье представлены дополнительные критически важные рекомендации, без которых ваш API под угрозой.

➡️ Остальные аспекты ждут вас в статье

🐸Библиотека devops'a #буст

Почему мы решили писать собственный Object Storage для новой платформы MWS?

🔗Рассказываем в статье в хабе DevCloud от MWS на Хабр

Вы узнаете:
⏺️Почему нам не подошли даже зрелые решения вроде Ceph RGW
⏺️С какими техническими ограничениями и компромиссами мы столкнулись при оценке альтернатив
⏺️Как устроено наше собственное S3-совместимое хранилище — и зачем мы вообще его делаем
⏺️Как архитектура с Golang, PostgreSQL и Kafka даёт гибкость и масштабируемость

⏩️Подписаться на хаб

❓ На чьей стороне вы

🔥 — Windows/Linux
❤️ — macOS

🐸Библиотека devops'a #развлекалово

🧑‍💻 Практический пример для Ansible

Основной элемент в Ansible — это playbook, который описывает последовательность задач для выполнения на удалённых серверах.

1️⃣ Определите цель плейбука

Чтобы написать хороший плейбук нужно определиться с его целью. Цель должна быть чётко сформулирована, например: установка пакетов, настройка сервисов, деплой приложения.

2️⃣ Определите основные переменные и хосты в inventory.ini

Inventory.ini — это стандартный файл инвентаризации в Ansible, где перечисляются хосты и группы хостов, на которых будут выполняться плейбуки.

[webservers]
web1.example.com
web2.example.com

[dbservers]
db1.example.com
db2.example.com

[backup_server]
backup-server.example.com

[all:vars]
ansible_user=admin
ansible_ssh_private_key_file=~/.ssh/id_rsa

3️⃣ Напишите сам плейбук

Затем можно написать сам плейбук. Как пример — плейбук, шифрует архив с помощью GPG и загружает на удалённый сервер хранения:

- name: Резервное копирование с шифрованием и загрузкой
  hosts: localhost
  vars:
    backup_files:
      - /etc/nginx/nginx.conf
      - /var/www/html
    backup_dest: /tmp/backup.tar.gz
    gpg_recipient: "[email protected]"
  tasks:
    - name: Создать архив с файлами
      archive:
        path: "{{ backup_files }}"
        dest: "{{ backup_dest }}"

    - name: Зашифровать архив GPG
      command: "gpg --output {{ backup_dest }}.gpg --encrypt --recipient {{ gpg_recipient }} {{ backup_dest }}"
      args:
        removes: "{{ backup_dest }}"

    - name: Копировать зашифрованный архив на удалённый сервер
      copy:
        src: "{{ backup_dest }}.gpg"
        dest: "/backup/{{ inventory_hostname }}_backup.gpg"
      delegate_to: backup_server

4️⃣ Вынесите переменные в отдельный файл

Это может быть небольшой файл, который можно переиспользовать:

backup_files:
  - /etc/nginx/nginx.conf
  - /var/www/html
backup_dest: /tmp/backup.tar.gz
gpg_recipient: "[email protected]"

Бонус: плейбук для создания кастомного ASCII-арт баннера на удалённых серверах.

- name: Создать ASCII-арт баннер на сервере
  hosts: all
  become: yes
  tasks:
    - name: Установить figlet для генерации ASCII-арта
      apt:
        name: figlet
        state: present
        update_cache: yes

    - name: Сгенерировать ASCII баннер и записать в файл /etc/motd
      shell: echo "Welcome to $(hostname)" | figlet > /etc/motd
      args:
        creates: /etc/motd

Ansible можно использовать не только для настройки, но и для улучшения пользовательского опыта.

🐸Библиотека devops'a #буст

Как мы в облаке MWS строим сети в Kubernetes и раздаём одинаковые IP на разные ВМ

🔗Читайте новые статьи в хабе DevCloud от MWS на Хабр:
➡️про Multus CNI и multi-homed поды
➡️про DHCP-сервер облака и раздачу IP в VRF

Рассказываем, как развиваем overlay-сеть платформы собственной разработки:

⏺️ почему Multus + Cilium — must-have для multi-homed подов
⏺️ как устроен DHCP в мире, где 192.168.0.1 могут быть у сотни клиентов
⏺️ зачем VPP прокидывает Option 82, и как мы ловили баги

⏩️Подпишись на хаб DevCloud от MWS, если интересна внутренняя кухня облаков.

🛠 Подборка проектов для прокачки скиллов

На реддите поделились большой подборкой бесплатных проектов и ресурсов для прокачки навыков DevOps и Linux. Спешим поделиться с вами.

• Linux Upskill Challenge — челленджи для прокачки навыков работы с Linux.

• OverTheWire Wargames — игровые задания по безопасности и Linux.

• AWS Workshops — интерактивные воркшопы по AWS и DevOps.

• KodeKloud Free Labs — бесплатные лабораторные работы для практики DevOps.

• Sad Servers Scenarios — сценарии для тренировки администрирования.

• Iximiuz Labs — практические задания для DevOps и безопасности.

• DevOps Upskill Challenge — проекты и упражнения для изучения DevOps.

• Engineer KodeKloud Practice — практические задачи по DevOps и облачным технологиям.

• Cloud Resume Challenge — интересный проект по облачным навыкам и инфраструктуре.

• Learn Git Branching — интерактивное обучение Git.

• Play with Docker Labs — sandbox для экспериментов с Docker.

• Kubernetes Goat — тренажёр для изучения Kubernetes.

• DevOps Exercises by Bregman Arie — набор упражнений для практики.

• DevOps Daily — ежедневные задачи и новости DevOps.

• SRE Bootcamp Exercises — упражнения для SRE-инженеров.

💾 Сохраните подборку, чтобы не потерять и обязательно поделитесь с коллегами

🐸Библиотека devops'a #буст

👨‍💻 Технический долг под прикрытием

Вокруг фича флагов столько шума, что кажется, будто без них никак. Но давайте смотреть правде в глаза: этот инструмент имеет свои серьёзные плюсы и недостатки. Сейчас разберёмся.

Плюсы feature flags:

+ Можно включать и выключать функции в любое время, даже после деплоя.

+ Возможность быстро отключить нерабочую или багованную функциональность без полного отката.

+ Поддержка A/B тестирования и постепенного развертывания.

+ Код можно внедрять «в тёмную», активируя позже.

Минусы feature flags:

- Неочищенные флаги превращают код в сложный для понимания и поддержки.

- Флаги в разных окружениях могут рассинхронизироваться и приводить к неожиданным багам.

- Изменения через UI платформ часто не отражаются в Git, что мешает отслеживанию.

- Управление токенами и доступом часто организовано недостаточно строго.

- Платформы не всегда хорошо вписываются в существующие CI/CD процессы.

- Масштабирование и цены могут вырасти непредсказуемо.

💬 Как думаете, фича флаги это мастхев или без них намного лучше? Делитесь мыслями в комментариях 👇

🐸Библиотека devops'a #междусобойчик

🛠 Скрипты на C#

В последнем обновлении .NET появилась незаметная, но мощная фича: теперь вы можете писать C#-скрипты — без csproj, без IDE, без явной сборки — и запускать их как обычные shell-скрипты.

Пример:

#!/usr/bin/dotnet run
Console.WriteLine("Привет из .NET!");

Теперь можно написать команду запуска C# скрипта в shebang.

CLI автоматически компилирует одиночный C#-файл, под капотом создаёт временный проект и исполняет его.

Получается не так быстро как bash скрипты, но эта фича позволяет разработчикам попробовать себя в девопс не изучая специфичные инструменты.

🐸Библиотека devops'a #буст

⭐️ Обзор ключевых анонсов Red Hat Summit 2025

На прошедшей неделе состоялся Red Hat Summit 2025, где компания представила ряд значимых новинок в области искусственного интеллекта, гибридных облаков и операционных систем. Среди анонсов:

— Red Hat AI Inference Server. Новая платформа для оптимизации вывода ИИ-моделей в гибридных облаках, поддерживающая любые модели и ускорители.

— Red Hat Enterprise Linux 10. Обновлённая версия ОС с поддержкой квантово-устойчивого шифрования, интеграцией с ИИ и улучшенной безопасностью.

— OpenShift Lightspeed. Виртуальный ассистент на базе ИИ, интегрированный в OpenShift, для упрощения управления инфраструктурой.

— llm-d. Открытый проект для распределённого вывода ИИ-моделей с участием таких компаний, как Google Cloud и NVIDIA.

— Модели Llama. Поддержка моделей Llama от Meta в Red Hat AI, включая оптимизированные версии и интеграцию с vLLM.

— Сотрудничество с NVIDIA. Интеграция OpenShift AI с NVIDIA Enterprise AI Factory для развертывания ИИ-систем с использованием новейших ускорителей.

— Ask Red Hat. Новый ИИ-ассистент в Red Hat Customer Portal, помогающий пользователям быстрее находить ответы и решать проблемы.

Red Hat двигается к интеграции ИИ в гибридные облачные решения и обеспечению открытых стандартов в области ИТ.

➡️ Блог компании

🐸Библиотека devops'a #свежак