'Dirty Pipe' Linux vulnerability that allows an attacker to overwrite data in arbitrary read-only files:
https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/
The vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847
#security #linux
https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/
The vulnerability
CVE-2022-0847
:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847
#security #linux
ZDNet
'Dirty Pipe' Linux vulnerability discovered
Max Kellermann explained that the vulnerability affects Linux Kernel 5.8 and later versions.
Fix CVE-2022-0847 for Amazon Linux:
https://alas.aws.amazon.com/cve/html/CVE-2022-0847.html
#security #AmazonLinux
https://alas.aws.amazon.com/cve/html/CVE-2022-0847.html
#security #AmazonLinux
Telegram
aws_notes
'Dirty Pipe' Linux vulnerability that allows an attacker to overwrite data in arbitrary read-only files:
https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/
The vulnerability CVE-2022-0847:
https://cve.mitre.org/cgi-bin/cven…
https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/
The vulnerability CVE-2022-0847:
https://cve.mitre.org/cgi-bin/cven…
Network Infrastructure Security Guidance:
https://media.defense.gov/2022/Mar/01/2002947139/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDANCE_20220301.PDF
#security #network #design
https://media.defense.gov/2022/Mar/01/2002947139/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDANCE_20220301.PDF
Contents
1. Introduction
2. Network architecture and design
3. Security maintenance
4. Authentication, authorization, and accounting
5. Administrator accounts and passwords
6. Remote logging and monitoring
7. Remote administration and network services
8. Routing
9. Interface ports
10. Notification banners
11. Conclusion
#security #network #design
Security Overview of AWS Fargate:
https://d1.awsstatic.com/whitepapers/AWS_Fargate_Security_Overview_Whitepaper.pdf
#Fargate #security
https://d1.awsstatic.com/whitepapers/AWS_Fargate_Security_Overview_Whitepaper.pdf
#Fargate #security
Хорошие комментарии от Андрея Девяткина по AWS Startup Security Baseline:
https://fivexl.io/blog/fivexl-reaction/
Особенно солидарен по пункту
📓 AWS Prescriptive Guidance — AWS Startup Security Baseline (AWS SSB)
#security
https://fivexl.io/blog/fivexl-reaction/
Особенно солидарен по пункту
Enforce a password policy
, ведь IAM users в идеале быть не должно вообще, потому этот пункту заведомо ущербный.📓 AWS Prescriptive Guidance — AWS Startup Security Baseline (AWS SSB)
#security
fivexl.io
FivexL’s Reaction to the AWS Security Baseline for Startups
FivexL shares its outlook on AWS Security Guidelines for startups. Find out how to improve your AWS security efficiently.
The Security Design of the AWS Nitro System
https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/the-nitro-system-journey.html
The AWS Nitro System is a combination of purpose-built server designs, data processors, system management components, and specialized firmware which provide the underlying platform for all Amazon EC2 instances launched since the beginning of 2018.
Three key components of the Nitro System achieve these goals:
◻️ Purpose-built Nitro Cards — Hardware devices designed by AWS that provide overall system control and input/output (I/O) virtualization independent of the main system board with its CPUs and memory.
◻️ The Nitro Security Chip — Enables a secure boot process for the overall system based on a hardware root of trust, the ability to offer bare metal instances, as well as defense in depth that offers protection to the server from unauthorized modification of system firmware.
◻️ The Nitro Hypervisor — A deliberately minimized and firmware-like hypervisor designed to provide strong resource isolation, and performance that is nearly indistinguishable from a bare metal server.
This paper provides a high-level introduction to virtualization and the fundamental architectural change introduced by the Nitro System.
#Nitro #security
https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/the-nitro-system-journey.html
The AWS Nitro System is a combination of purpose-built server designs, data processors, system management components, and specialized firmware which provide the underlying platform for all Amazon EC2 instances launched since the beginning of 2018.
Three key components of the Nitro System achieve these goals:
◻️ Purpose-built Nitro Cards — Hardware devices designed by AWS that provide overall system control and input/output (I/O) virtualization independent of the main system board with its CPUs and memory.
◻️ The Nitro Security Chip — Enables a secure boot process for the overall system based on a hardware root of trust, the ability to offer bare metal instances, as well as defense in depth that offers protection to the server from unauthorized modification of system firmware.
◻️ The Nitro Hypervisor — A deliberately minimized and firmware-like hypervisor designed to provide strong resource isolation, and performance that is nearly indistinguishable from a bare metal server.
This paper provides a high-level introduction to virtualization and the fundamental architectural change introduced by the Nitro System.
#Nitro #security
🆕 Amazon Security Lake:
https://aws.amazon.com/blogs/aws/preview-amazon-security-lake-a-purpose-built-customer-owned-data-lake-service/
Security Lake automatically collects logs for:
√ AWS Health Dashboard
√ CloudTrail
√ Firewall Manager
√ GuardDuty
√ IAM Access Analyzer
√ Inspector
√ Lambda
√ Macie
√ Route 53
√ S3
√ Security Hub
√ Systems Manager Patch Manager
√ VPC
Security Lake automatically partitions and converts incoming log data to a storage and query-efficient Apache Parquet and OCSF format.
Security Lake supports third-party sources providing OCSF security data, including Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Project, Trend Micro, Vectra AI, VMware, Wiz, and Zscaler.
#Security_Lake
https://aws.amazon.com/blogs/aws/preview-amazon-security-lake-a-purpose-built-customer-owned-data-lake-service/
Security Lake automatically collects logs for:
√ AWS Health Dashboard
√ CloudTrail
√ Firewall Manager
√ GuardDuty
√ IAM Access Analyzer
√ Inspector
√ Lambda
√ Macie
√ Route 53
√ S3
√ Security Hub
√ Systems Manager Patch Manager
√ VPC
Security Lake automatically partitions and converts incoming log data to a storage and query-efficient Apache Parquet and OCSF format.
Security Lake supports third-party sources providing OCSF security data, including Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Project, Trend Micro, Vectra AI, VMware, Wiz, and Zscaler.
#Security_Lake
Amazon
Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service | Amazon Web Services
To identify potential security threats and vulnerabilities, customers should enable logging across their various resources and centralize these logs for easy access and use within analytics tools. Some of these data sources include logs from on-premises infrastructure…
🔐 Взлом RSA 2048 с помощью квантовых компьютеров ⁉️
🇨🇳 22 декабря 2022-го года было опубликовано исследование китайских учёных, где говорится о возможности взлома RSA 2048 с применением квантовых компьютеров, доступных уже сейчас, а не лет через 10, как до этого предполагалось.
🔑 С помощью предложенного алгоритма удалось вычислить 2048-битный ключ на компьютере с 372 кубитами, в то время, как ранее для такого предполагалось, что потребуется 4000-8000+ кубитов, из чего и делалось предположение NIST, что такая технологическая возможность будет достигнута лишь к тридцатым годам.
📌 Известный гуру по безопасности Bruce Schneier
написал в своём блоге, что к этому нужно относиться очень серьёзно:
https://www.schneier.com/blog/archives/2023/01/breaking-rsa-with-a-quantum-computer.html
📚 Roger Grimes, автор книги Cryptography Apocalypse: Preparing for the Day When Quantum Computing Breaks Today's Crypto, нагнетает ещё больше в своей заметке «Has the Quantum Break Just Happened?»:
https://community.spiceworks.com/topic/2472644-has-the-quantum-break-just-happened
💻 Где говорится, что 432 кубита ломают RSA 2048, в то время как IBM уже в этом году грозится выпустить 1000-кубитный компьютер. В частности про этот прогноз было на слайдах re:Invent 2020 — Building post-quantum cryptography for the cloud.
⚠ Он также отмечает, что данное исследование делает уязвимым все Lattice-based алгоритмы, которые были совсем недавно приняты NIST в качестве защиты для Post Quantum эпохи шифрования.
🔒 Со своей стороны отмечу, что уже доступный в AWS KMS алгоритм BIKE, который попал в NIST PQC Round 4, принадлежит к Code-based типу алгоритмов и потому не попадает под этот вектор атаки. Если, конечно, всё это подтвердится (исследование будет доказано). 😀
🔺Но даже если и не подтвердится, то, всё равно — тема обеспечения безопасности во "внезапно" наступившей эпохе квантовых компьютеров — резко возрастёт, когда все осознают, что чуть меньше, чем всё, базирующееся на привычном ассиметричном шифровании (HTTPS, WiFi, Auth etc), может быть взломано.
🎄 С новым квантовым годом! 😁
#security #KMS
🇨🇳 22 декабря 2022-го года было опубликовано исследование китайских учёных, где говорится о возможности взлома RSA 2048 с применением квантовых компьютеров, доступных уже сейчас, а не лет через 10, как до этого предполагалось.
🔑 С помощью предложенного алгоритма удалось вычислить 2048-битный ключ на компьютере с 372 кубитами, в то время, как ранее для такого предполагалось, что потребуется 4000-8000+ кубитов, из чего и делалось предположение NIST, что такая технологическая возможность будет достигнута лишь к тридцатым годам.
📌 Известный гуру по безопасности Bruce Schneier
написал в своём блоге, что к этому нужно относиться очень серьёзно:
https://www.schneier.com/blog/archives/2023/01/breaking-rsa-with-a-quantum-computer.html
📚 Roger Grimes, автор книги Cryptography Apocalypse: Preparing for the Day When Quantum Computing Breaks Today's Crypto, нагнетает ещё больше в своей заметке «Has the Quantum Break Just Happened?»:
https://community.spiceworks.com/topic/2472644-has-the-quantum-break-just-happened
💻 Где говорится, что 432 кубита ломают RSA 2048, в то время как IBM уже в этом году грозится выпустить 1000-кубитный компьютер. В частности про этот прогноз было на слайдах re:Invent 2020 — Building post-quantum cryptography for the cloud.
⚠ Он также отмечает, что данное исследование делает уязвимым все Lattice-based алгоритмы, которые были совсем недавно приняты NIST в качестве защиты для Post Quantum эпохи шифрования.
🔒 Со своей стороны отмечу, что уже доступный в AWS KMS алгоритм BIKE, который попал в NIST PQC Round 4, принадлежит к Code-based типу алгоритмов и потому не попадает под этот вектор атаки. Если, конечно, всё это подтвердится (исследование будет доказано). 😀
🔺Но даже если и не подтвердится, то, всё равно — тема обеспечения безопасности во "внезапно" наступившей эпохе квантовых компьютеров — резко возрастёт, когда все осознают, что чуть меньше, чем всё, базирующееся на привычном ассиметричном шифровании (HTTPS, WiFi, Auth etc), может быть взломано.
🎄 С новым квантовым годом! 😁
#security #KMS
📓 Лучшее сравнение "NIST CSF vs ISO 27001/2 vs NIST 800-53 vs SCF", что видел. Отлично подойдёт для тех, кто хочет глубоко разобраться в теме.
https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf-vs-scf
Главное на картинке в заголовке сверху:
1️⃣ Cамый всеобъемлющий стандарт Secure Controls Framework (SCF). Если вы параноик и хотите потратить весь свой бюджет на кибербезопасность, тогда смело делайте всё по этому стандарту.
2️⃣ NIST 800-53 есть его подмножество SCF. Если вам потребуется работать с военными или государственными структурами США, тогда сразу ориентируйтесь на NIST 800-53.
3️⃣ ISO 27001/2 есть его подмножество NIST 800-53. В статье кратко и доступно описана путаница 27001 vs 27002 — почему два стандарта. Расписано, почему многие бизнесы любят его использовать — он не настолько суров, а при этом очень популярен, особенно в крупных компаниях.
4️⃣ NIST CSF — самый простой, этим и хорош. Потому рекомендуется с него начинать небольшим компаниям.
Таблица внизу показывает ландшафт различных compliance с координатами по охвату и популярности типа квадрантов Gartner. При некоторой спорности, помогает сориентироваться и выстроить своё понимание, как соотносятся между собой PCI-DSS, HIPAA, FedRAMP, а также другие популярные и не очень стандарты.
Отдельно добавлю, что в AWS есть сервис Security Hub, который следит за всеми требованиями согласно этих стандартов применимо к AWS сервисам. И недавно появилась поддержка версии NIST 800-53 v.5:
https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html
А до этого у Security Hub появилась фича "Consolidated Control Findings" и теперь все проблемы можно увидеть сразу в одном месте:
https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings
Реально удобно, AWS Security Hub — must-have для безопасности! 👍
#security #compliance #SecurityHub
https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf-vs-scf
Главное на картинке в заголовке сверху:
1️⃣ Cамый всеобъемлющий стандарт Secure Controls Framework (SCF). Если вы параноик и хотите потратить весь свой бюджет на кибербезопасность, тогда смело делайте всё по этому стандарту.
2️⃣ NIST 800-53 есть его подмножество SCF. Если вам потребуется работать с военными или государственными структурами США, тогда сразу ориентируйтесь на NIST 800-53.
3️⃣ ISO 27001/2 есть его подмножество NIST 800-53. В статье кратко и доступно описана путаница 27001 vs 27002 — почему два стандарта. Расписано, почему многие бизнесы любят его использовать — он не настолько суров, а при этом очень популярен, особенно в крупных компаниях.
4️⃣ NIST CSF — самый простой, этим и хорош. Потому рекомендуется с него начинать небольшим компаниям.
Таблица внизу показывает ландшафт различных compliance с координатами по охвату и популярности типа квадрантов Gartner. При некоторой спорности, помогает сориентироваться и выстроить своё понимание, как соотносятся между собой PCI-DSS, HIPAA, FedRAMP, а также другие популярные и не очень стандарты.
Отдельно добавлю, что в AWS есть сервис Security Hub, который следит за всеми требованиями согласно этих стандартов применимо к AWS сервисам. И недавно появилась поддержка версии NIST 800-53 v.5:
https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html
А до этого у Security Hub появилась фича "Consolidated Control Findings" и теперь все проблемы можно увидеть сразу в одном месте:
https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings
Реально удобно, AWS Security Hub — must-have для безопасности! 👍
#security #compliance #SecurityHub
Cedar — будущая замена AWS IAM
Возможно у заголовка не хватает вопросительного знака в конце, но я воздержусь. Сегодня зарелизился Cedar policy language:
AWS Blog 🔗 https://aws.amazon.com/blogs/opensource/using-open-source-cedar-to-write-and-enforce-custom-authorization-policies/
🔗 https://www.cedarpolicy.com/
📚 https://docs.cedarpolicy.com/
Написанный на Rust, легковесный движок для авторизации ваших (любых) приложений. Можно было бы считать очередным-надцатым стандартом, если бы не одно, а точней, целых два НО:
https://www.cedarpolicy.com/en/integrations
Cedar УЖЕ используется в двух свежевышедших сервисах AWS Verified Access и Amazon Verified Permissions.
Так что очень стоит присмотреться и разобраться.
Примеры:
#Cedar #security
Возможно у заголовка не хватает вопросительного знака в конце, но я воздержусь. Сегодня зарелизился Cedar policy language:
AWS Blog 🔗 https://aws.amazon.com/blogs/opensource/using-open-source-cedar-to-write-and-enforce-custom-authorization-policies/
🔗 https://www.cedarpolicy.com/
📚 https://docs.cedarpolicy.com/
Написанный на Rust, легковесный движок для авторизации ваших (любых) приложений. Можно было бы считать очередным-надцатым стандартом, если бы не одно, а точней, целых два НО:
https://www.cedarpolicy.com/en/integrations
Cedar УЖЕ используется в двух свежевышедших сервисах AWS Verified Access и Amazon Verified Permissions.
Так что очень стоит присмотреться и разобраться.
Примеры:
permit(
principal,
action == Action::"editPhoto",
resource
)
when {
principal.department == "HardwareEngineering"
&&
principal.jobLevel >= 5
}
forbid ( principal, action, resource )
unless {
context.authentication.usedMFA
};
#Cedar #security
Amazon
Using Open Source Cedar to Write and Enforce Custom Authorization Policies | Amazon Web Services
Learn how to use the open source Cedar language and the SDK using an example application, TinyTodo. We present examples of TinyTodo permissions as Cedar policies and how TinyTodo uses the Cedar authorization engine to ensure that only intended users are granted…
Sensitive IAM Actions
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
GitHub
GitHub - primeharbor/sensitive_iam_actions: Crowdsourced list of sensitive IAM Actions
Crowdsourced list of sensitive IAM Actions. Contribute to primeharbor/sensitive_iam_actions development by creating an account on GitHub.
The world's most advanced cloud security conference — fwd:cloudsec 2023
Day 1
• https://www.youtube.com/watch?v=JCphc30kFSw
• https://www.youtube.com/watch?v=up4nfzeXYlU
Day 2
• https://www.youtube.com/watch?v=ZvdYgL6b9xE
• https://www.youtube.com/watch?v=B3t-mUU_fRU
#security #video
Day 1
• https://www.youtube.com/watch?v=JCphc30kFSw
• https://www.youtube.com/watch?v=up4nfzeXYlU
Day 2
• https://www.youtube.com/watch?v=ZvdYgL6b9xE
• https://www.youtube.com/watch?v=B3t-mUU_fRU
#security #video
Что такое S3 DSSE-KMS:
https://aws.amazon.com/blogs/aws/new-amazon-s3-dual-layer-server-side-encryption-with-keys-stored-in-aws-key-management-service-dsse-kms/
На текущий момент для S3 объектов доступно 4 типа шифрования:
1️⃣ Server-side encryption with S3 managed keys (SSE-S3)
2️⃣ Server-side encryption with KMS (SSE-KMS)
3️⃣ Server-side encryption with customer-provided encryption keys (SSE-C)
4️⃣ Dual-layer server-side encryption with keys stored in KMS (DSSE-KMS)
Если упростить, то это SSE-S3 + SSE-KMS/SSE-C в одном флаконе. То есть 4️⃣ = 1️⃣ + 2️⃣ или 3️⃣.
Если чуть более подробней, то стоит глянуть официальный ролик «Announcing Amazon S3 dual-layer server-side encryption (DSSE-KMS)»:
https://www.youtube.com/watch?v=VtpyPqYke-w
Где есть табличка сравнения типов.
К сожалению, нужно делать поправку на то, что табличка слишком маркетинговая, нужно будет сделать свою.
Если же есть желание разобраться подробней, то вот первоисточник — Data-at-Rest Capability Package V5.0:
https://www.nsa.gov/Portals/75/documents/resources/everyone/csfc/capability-packages/(U)%20Data-at-Rest%20Capability%20Package%20v5.0.pdf
В котором описано ужесточение требований к шифрованию. В нём, в отличие от документа четвёртой версии, появляется понятие "двухуровновой" защиты:
«Data-at-Rest (DAR) Capability Packages (CP) version 5.0 enables customers to implement two independent layers of encryption for the purpose of providing protection for stored information on the End User Device or DAR protected system, while in a powered off or unauthenticated state.
This CP takes lessons learned from proof-of-concept demonstrations that have implemented the Commercial National Security Algorithm Suite, modes of operation, standards, and protocols.
These demonstrations included a layered use of Commercial Off-the-Shelf products for the protection of classified information.»
Из которого следует, что одного слоя шифрования теперь недостаточно. То есть нельзя просто зашифровать весь диск/раздел/файл криптостойким алгоритмом. Нужно реализовать такой подход дважды (и обязательно с разными кредами).
Если сравнивать это с ноутбуком, то требуется иметь шифрованный диск и вводить пароль при старте компьютера. А после при доступу к нужному файлу/диску ещё раз вводить (другой) пароль.
SSE-S3 в этом сравнении — AWS за нас каждый раз вводил такой пароль "при старте компьютера". Это, так называемое, "шифрование для галочки", которое лишь защищает от того, что накопители враги вдруг выкрадут из датацентра, а там всё зашифровано. В терминах DAR CP v.5 это "outer layer" — внешний уровень защиты.
SSE-KMS или SSE-C при таком раскладе это внутренний уровень защиты ("inner layer").
Раньше можно было включить или SSE-S3 (который нонче по дефолту) или SSE-KMS/SSE-C. А с помощью DSSE-KMS включаются и работают (под капотом) сразу два уровня — все объекты шифруются дважды.
Предположу, что из-за двойного шифрования скорость работы может снизиться, пока не видел упоминания про влияние на скорость работы.
По стоимости DSSE-KMS получается дороже, чем SSE-KMS/SSE-C, так как S3 bucket keys (кэширование KMS ключей на уровне S3 бакета) для этого типа недоступно (как минимум, пока).
#S3 #security
https://aws.amazon.com/blogs/aws/new-amazon-s3-dual-layer-server-side-encryption-with-keys-stored-in-aws-key-management-service-dsse-kms/
На текущий момент для S3 объектов доступно 4 типа шифрования:
1️⃣ Server-side encryption with S3 managed keys (SSE-S3)
2️⃣ Server-side encryption with KMS (SSE-KMS)
3️⃣ Server-side encryption with customer-provided encryption keys (SSE-C)
4️⃣ Dual-layer server-side encryption with keys stored in KMS (DSSE-KMS)
Если упростить, то это SSE-S3 + SSE-KMS/SSE-C в одном флаконе. То есть 4️⃣ = 1️⃣ + 2️⃣ или 3️⃣.
Если чуть более подробней, то стоит глянуть официальный ролик «Announcing Amazon S3 dual-layer server-side encryption (DSSE-KMS)»:
https://www.youtube.com/watch?v=VtpyPqYke-w
Где есть табличка сравнения типов.
К сожалению, нужно делать поправку на то, что табличка слишком маркетинговая, нужно будет сделать свою.
Если же есть желание разобраться подробней, то вот первоисточник — Data-at-Rest Capability Package V5.0:
https://www.nsa.gov/Portals/75/documents/resources/everyone/csfc/capability-packages/(U)%20Data-at-Rest%20Capability%20Package%20v5.0.pdf
В котором описано ужесточение требований к шифрованию. В нём, в отличие от документа четвёртой версии, появляется понятие "двухуровновой" защиты:
«Data-at-Rest (DAR) Capability Packages (CP) version 5.0 enables customers to implement two independent layers of encryption for the purpose of providing protection for stored information on the End User Device or DAR protected system, while in a powered off or unauthenticated state.
This CP takes lessons learned from proof-of-concept demonstrations that have implemented the Commercial National Security Algorithm Suite, modes of operation, standards, and protocols.
These demonstrations included a layered use of Commercial Off-the-Shelf products for the protection of classified information.»
Из которого следует, что одного слоя шифрования теперь недостаточно. То есть нельзя просто зашифровать весь диск/раздел/файл криптостойким алгоритмом. Нужно реализовать такой подход дважды (и обязательно с разными кредами).
Если сравнивать это с ноутбуком, то требуется иметь шифрованный диск и вводить пароль при старте компьютера. А после при доступу к нужному файлу/диску ещё раз вводить (другой) пароль.
SSE-S3 в этом сравнении — AWS за нас каждый раз вводил такой пароль "при старте компьютера". Это, так называемое, "шифрование для галочки", которое лишь защищает от того, что накопители враги вдруг выкрадут из датацентра, а там всё зашифровано. В терминах DAR CP v.5 это "outer layer" — внешний уровень защиты.
SSE-KMS или SSE-C при таком раскладе это внутренний уровень защиты ("inner layer").
Раньше можно было включить или SSE-S3 (который нонче по дефолту) или SSE-KMS/SSE-C. А с помощью DSSE-KMS включаются и работают (под капотом) сразу два уровня — все объекты шифруются дважды.
Предположу, что из-за двойного шифрования скорость работы может снизиться, пока не видел упоминания про влияние на скорость работы.
По стоимости DSSE-KMS получается дороже, чем SSE-KMS/SSE-C, так как S3 bucket keys (кэширование KMS ключей на уровне S3 бакета) для этого типа недоступно (как минимум, пока).
#S3 #security
Amazon
New – Amazon S3 Dual-Layer Server-Side Encryption with Keys Stored in AWS Key Management Service (DSSE-KMS) | Amazon Web Services
Today, we are launching Amazon S3 dual-layer server-side encryption with keys stored in AWS Key Management Service (DSSE-KMS), a new encryption option in S3 that applies two layers of encryption to objects when they are uploaded to an S3 bucket. DSSE-KMS…
Видео с конференции по безопасности контейнеров:
https://www.youtube.com/playlist?list=PL80eyh4Ug9W_808zqJhiRGeXT6JvXpwBk
#containers #kubernetes #security
https://www.youtube.com/playlist?list=PL80eyh4Ug9W_808zqJhiRGeXT6JvXpwBk
#containers #kubernetes #security
У настоящего безопасника нет цели, у него есть лишь сертификации:
https://pauljerimy.com/security-certification-roadmap/
#security
https://pauljerimy.com/security-certification-roadmap/
#security
Paul Jerimy Media
Security Certification Roadmap - Paul Jerimy Media
IT Security Certification Roadmap charting security implementation, architecture, management, analysis, offensive, and defensive operation certifications.
☸️ Confidential Kubernetes
https://kubernetes.io/blog/2023/07/06/confidential-kubernetes/
Реально хорошая статья по состоянию дел с Confidential Computing в отношении Kubernetes. Жаль, без авторов со стороны AWS, потому для человека в теме, по части AWS будут сразу видны некоторые, скажем так, моменты.
1️⃣ «
А-ха-ха. В год, страшное дело, для бизнеса с такими требованиями по безопасности. И особенно смешно с учётом стоимости HSM в Azure: 😃
Hourly usage fee per HSM
Azure Dedicated HSM
2️⃣ Технология Confidential Computing на AWS или AWS Nitro Enclaves, лишь кратко упомянута из-за «
Тут всё верно, целиком согласен. Nitro Enclaves — крутая фича, однако годность её AWS придётся всю жизнь доказывать, т.к. простых путей проверить этого нет и нужно целиком полагаться на авторитет AWS и аудиторов, а не техническую невозможность доступа в изолированное окружение.
3️⃣ AMD SEV — упомянуты лишь Azure и Google. Хотя на AWS теперь тоже доступны SEV-SNP (в то время как на Google лишь SEV-ES).
4️⃣ Скорость работы — реализация Confidential Computing от AMD очень эффективна: «
5️⃣ Смешное название CoCo (Confidential Containers) и возможность запускать Confidential Kubernetes worker nodes вновь распространяется лишь Azure и Google. А правильно было упомянуть, что AWS Nitro Enclaves работает на EKS.
6️⃣ Хорошее и важное замечание «
7️⃣ Constellation — интересная штука, буду признателен, если кто-то поделится опытом использования.
Итого, хорошая статья, очень рекомендую ознакомиться.
#security #ConfidentialComputing #ConfidentialKubernetes
https://kubernetes.io/blog/2023/07/06/confidential-kubernetes/
Реально хорошая статья по состоянию дел с Confidential Computing в отношении Kubernetes. Жаль, без авторов со стороны AWS, потому для человека в теме, по части AWS будут сразу видны некоторые, скажем так, моменты.
1️⃣ «
A managed CloudHSM from AWS costs around $1.50 / hour or ~$13,500 / year.
»А-ха-ха. В год, страшное дело, для бизнеса с такими требованиями по безопасности. И особенно смешно с учётом стоимости HSM в Azure: 😃
Hourly usage fee per HSM
Azure Dedicated HSM
$4.85
2️⃣ Технология Confidential Computing на AWS или AWS Nitro Enclaves, лишь кратко упомянута из-за «
have a different threat model compared to the CPU-based solutions by Intel and AMD
».Тут всё верно, целиком согласен. Nitro Enclaves — крутая фича, однако годность её AWS придётся всю жизнь доказывать, т.к. простых путей проверить этого нет и нужно целиком полагаться на авторитет AWS и аудиторов, а не техническую невозможность доступа в изолированное окружение.
3️⃣ AMD SEV — упомянуты лишь Azure и Google. Хотя на AWS теперь тоже доступны SEV-SNP (в то время как на Google лишь SEV-ES).
4️⃣ Скорость работы — реализация Confidential Computing от AMD очень эффективна: «
SEV-SNP VM overhead is <10%
». Про реализацию от Intel сказано расплывчато, что "hard to benchmark
". Перевожу на простой — полный тормоз. 😁5️⃣ Смешное название CoCo (Confidential Containers) и возможность запускать Confidential Kubernetes worker nodes вновь распространяется лишь Azure и Google. А правильно было упомянуть, что AWS Nitro Enclaves работает на EKS.
6️⃣ Хорошее и важное замечание «
they don't offer a dedicated confidential control plane
» — пока никакое облако не предлагает Confidential Kubernetes мастер-ноды, речь только о workers.7️⃣ Constellation — интересная штука, буду признателен, если кто-то поделится опытом использования.
Итого, хорошая статья, очень рекомендую ознакомиться.
#security #ConfidentialComputing #ConfidentialKubernetes
kubernetes.io
Confidential Kubernetes: Use Confidential Virtual Machines and Enclaves to improve your cluster security
Authors: Fabian Kammel (Edgeless Systems), Mikko Ylinen (Intel), Tobin Feldman-Fitzthum (IBM)
In this blog post, we will introduce the concept of Confidential Computing (CC) to improve any computing environment's security and privacy properties. Further,…
In this blog post, we will introduce the concept of Confidential Computing (CC) to improve any computing environment's security and privacy properties. Further,…
VPC CNI + Kubernetes Network Policies 🎉
https://aws.amazon.com/blogs/containers/amazon-vpc-cni-now-supports-kubernetes-network-policies/
The
Network Policy Agent (
⚠️ Requires VPC CNI plugin v1.14.0 or later.
#EKS #Kubernetes #security
https://aws.amazon.com/blogs/containers/amazon-vpc-cni-now-supports-kubernetes-network-policies/
The
aws-node
pod now includes an additional container, aws-eks-nodeagent
, in order to support Kubernetes Network Policy.Network Policy Agent (
aws-eks-nodeagent
) is available here 🔗 https://github.com/aws/aws-network-policy-agent⚠️ Requires VPC CNI plugin v1.14.0 or later.
#EKS #Kubernetes #security
Amazon
Amazon VPC CNI now supports Kubernetes Network Policies | Amazon Web Services
Introduction Today, we’re excited to announce the native support for enforcing Kubernetes network policies with Amazon VPC Container Networking Interface (CNI) Plugin. You can now use Amazon VPC CNI to implement both pod networking and network policies to…
Интересный рассказ от @pyToshka про open source DevSecOps инструмент Wazuh:
https://www.youtube.com/watch?v=hSXpUj_RkEI
#devsecops #security #compliance #opensource
https://www.youtube.com/watch?v=hSXpUj_RkEI
#devsecops #security #compliance #opensource
YouTube
Юрий Медведев — Wazuh как DevSecOps-платформа
—
Очень часто построение безопасности внутри компании вызывает много сложностей, нервный срыв и дилемму. Заплатить интегратору? Купить дорогую платформу? Оставить все как есть? И все эти вопросы ложатся на ваши плечи.
Юрий покажет одно из решений, которое…
Очень часто построение безопасности внутри компании вызывает много сложностей, нервный срыв и дилемму. Заплатить интегратору? Купить дорогую платформу? Оставить все как есть? И все эти вопросы ложатся на ваши плечи.
Юрий покажет одно из решений, которое…
⚠ Execute malicious code on the
https://blog.plerion.com/hacking-terraform-state-privilege-escalation/
This is the case if someone has access to S3 bucket containing Terraform state file.
#security #terraform
terraform plan
? Yes!https://blog.plerion.com/hacking-terraform-state-privilege-escalation/
This is the case if someone has access to S3 bucket containing Terraform state file.
#security #terraform
Plerion
Hacking Terraform State for Privilege Escalation - Plerion
What can an attacker do if they can edit Terraform state? The answer should be 'nothing' but is actually 'take over your CI/CD pipeline'.
Analysis of 3 million public AMIs for leaked secrets.
https://securitycafe.ro/2024/05/08/aws-cloudquarry-digging-for-secrets-in-public-amis/
#AMI #security
https://securitycafe.ro/2024/05/08/aws-cloudquarry-digging-for-secrets-in-public-amis/
#AMI #security