Kubernetes: диаграмма-как-код!

Всем привет!

Начинаем новую рабочую неделю с чего-нибудь простого, а именно – k8s-to-mermaid! Утилиты, которая позволяет визуализировать связь ресурсов Kubernetes в виду Mermaid-диаграмм.

На вход подается набор манифестов, после чего она их обрабатывает и генерирует Mermaid class diagrams.

Связи ресурсов определяются по следующим типам:
🍭 Uses. Например, Deployment использует некий ConfigMap
🍭 Mounts. Используется в случае, если ресурс монтирует volume. Пример - StatefulSet использует PersistentVolumeClaim
🍭 Targets. Отображение Services, «направленных» на ресурсы на основании селекторов
🍭 Controls. Показывает HorizontalPodAutoscaler, контролирующий Deployment и/или StatefulSet
🍭 Applies To: Отображение NetworkPolicy, примененную к определенным ресурсам

Пример того, что получается «на выходе» можно посмотреть в repo проекта.

Если вам интересны тема «Диаграммы, как код», то про это мы писали тут, тут и тут.

А вы используете нечто подобное?

Подпись образов контейнеров с Sigstore и HashiCorp Vault

Всем привет!

В статье Автор описывает как собрать решение, позволяющее подписывать образы контейнеров и проверять наличие и валидность подписи перед их запуском.

Для этого используются: Cosign (CLI-утилита для подписи образов), Policy Controller (Admission Controller, который будет проверять наличие подписи и ее валидность) и HashiCorp Vault (для хранения ключей, используемых для подписи).

А дальше та самая инструкция:
🍭 Генерация ключей для подписи
🍭 Настройка разрешений для подписи и ее проверки
🍭 Подпись образов контейнеров
🍭 Настройка Policy Controller
🍭 Тестирование!

Каждый шаг детально описан, есть примеры конфигурационных файлов и используемых команд.

В конце статьи есть раздел, в котором описан набор ограничений, с которыми можно столкнуться, если вы решите реализовать нечто подобное у себя.

Open Source Security and Risk Analysis Report

Всем привет!

В приложении можно скачать отчет (~ 32 страницы) от Blackduck, посвященный вопросам обеспечения безопасности при работе с open source.

В отчете можно найти много статистики. Например:
🍭 Количество ПО, при разработке которого используется open source
🍭 Насколько увеличился % использования open source при разработке ПО
🍭 Топ-10 наиболее «популярных» CWE (да-да, Improper Input Validation все еще на первом месте)
🍭 Использование open source компонентов, которые не обновляются и многое другое

Цифры, пояснения, комментарии – все на месте, как и у любых аналогичных отчетов.

В целом материал очень неплох для просмотра «по диагонали» и понимания общей картины происходящего в мире open source.

Методика ИБ-оценки web-приложений

Всем привет!

В repo можно найти объемный материал, в котором структурирована информация о том, как проводить анализ безопасности web-приложений.

В материале представлены все ключевые области, на которые стоит обращать внимание, а также рекомендации о том, как и что лучше сделать.

Информация структурирована по разделам:
🍭 Discovery
🍭 Configuration
🍭 Design
🍭 AuthN/Z
🍭 Input Handling
🍭 Cryptography

Для каждого раздела описывается что надо делать и (не всегда) чем это можно (рекомендуется) проверять.

Например, для AuthN Автор разбирает вопросы, связанные с Password Recovery, Account Management, MFA, управления сессиями.

В итоге получилось отличное руководство, которое можно и нужно использовать при проведении аудитов web-приложений.

Либо, если у вас уже есть опыт в подобных работах
– найти что-то новое для себя и переиспользовать ☺️

Рекомендуем!

Kube-recycle-bin: «корзина» для Kubernetes

Всем привет!

Небольшой пятничный пост, который может быть полезен тем, кто иногда удалял то, чего не стоило и хотел «быстро вернуть все как было».

Да, есть специальные backup-решения, но, иногда, их использование можно описать фразой «пушкой по воробьям». Бывают случаи, когда требуется нечто попроще.

В repo можно ознакомиться с проектов Kube-recycle-bin. Принцип ровно такой же, как у знакомой «Корзины». Мы что-то удаляем. Оно не удаляется навсегда и, при необходимости, это что-то можно восстановить.

Работает это примерно так:
🍭 Создаем Recycling Policy, в которых описано что помещать в корзину и в каких namespaces
🍭 Создаем тестовые ресурсы
🍭 Удаляем их
🍭 Проверяем содержимое «корзины»
🍭 Восстанавливаем в случае необходимости

Kube-recycle-bin поддерживает все ресурсы Kubernetes. Подробнее с проектом можно ознакомиться в репозитории.

А с вашей точки зрения – полезная ли утилита или просто «развлечение на вечер пятницы»?

Dynamic Dev (Sec) Ops Roadmap

Всем привет!

Сегодня хотим познакомить вас с open source проектом, в котором приведен roadmap того, что нужно знать для погружения в мир Dev (Sec) Ops.

Материал разбит на части:
🍭 Foundations. Основы, ключевые термины, краткие объяснения
🍭 Projects. Реализация проекта с использованием определенных средств автоматизации
🍭 Interview. Советы о том, как их проходить, какие вопросы могут задавать
🍭 Growth. Дополнительная информация. Например, SRE, DevSecOps и т.д.

Материал находится в стадии активного развития, поэтому не все разделы заполнены или насыщены информацией с «равномерной плотностью».

Тем не менее, внутри можно найти много полезного – от простых объяснений до ссылок на полезные материалы и средства автоматизации процессов Dev (Sec) Ops.

Cheat-Sheet Collection! DevOps и IT!

Всем привет!

По ссылке доступен repo, в котором можно найти еще одну awesome подборку один набор Cheat Sheets на все случаи жизни (ну почти).

Например:
🍭 Nginx
🍭 Docker
🍭 Redis
🍭 Linux
🍭 VIM (куда без него) и не только!

Зачастую для каждой отдельно взятой технологии приводится набор «азов» и базовых команд.

Например, как собрать и запустить контейнер, положить его в реестр и как узнать информацию о том, из чего образ «состоит».

Тем не менее информация может быть полезна при начале изучения технологий или в качестве небольшой шпаргалки на случай, если вы чем-то пользуетесь, но не часто и каждый раз надо вспоминать «тот самый флаг».

А вы делаете для себя подобные подборки? Если да, то где их храните и как ими управляете?

DeepWiki: автоматическое описание repo!

Всем привет!

Команда Cognition Labs (разработчики Devin) создали проект DeepWiki, с которым может ознакомиться каждый желающий.

Если кратко, то он создает (автоматически) документацию для любого репозитория, ссылку на который ему предоставят.

Основная цель проекта – упростить понимание того, что делает тот или иной проект. Эта цель достигается за счет генерации описания, схем взаимодействия/связи компонентов, типов данных и ссылок на исходный код, на основании которого это подготовлено.

Информация варьируется в зависимости от repo:
🍭 Общая информация (что это такое, зачем это нужно)
🍭 Основные компоненты
🍭 Детализация сведений об основных компонентах
🍭 Функции безопасности и не только

В DeepWiki можно «отправить» любой public repo и получить о нем сведения. На текущий момент в нем уже есть информация о более чем 100 проектах, включая Kubernetes, Redis, Nginx, Linux и многие другие.

Трудно сказать, насколько точной является информация. Однако, это еще один интересный пример использования нейронных сетей, в том числе для нужд ИБ. Ведь составление документации на ПО – задача достаточно сложная, особенно для проектов, которые находятся на стадии активной разработки.

Если вам хочется больше деталей, то их можно найти в этой статье.

Визуализация логов Kubernetes

Всем привет!

KHI – Kubernetes History Inspector – проект, который позволяет визуализировать логи Kubernetes для повышения удобства работы с ними.

Он агрегирует данные, отображая их в виде timeline, на которых указано что/когда/с чем происходило.

Например:
🍭 История ресурсов. Отображение статуса ресурсов, их манифесты в определенный промежуток времени
🍭 Журналы от разных источников. Общий взгляд на логи, генерируемые разными ресурсами
🍭 Возможность фильтрации. Анализ больших объемов данных на основании выборки, определяемой пользователем

В итоге получается наглядная диаграмма, на которой видна «летопись» происходящего. С примерами можно ознакомиться в repo проекта.

KHI подключается и настраивается очень просто (информацию об этом можно прочесть в Getting Started).

Реализована поддержка Google Cloud, однако, есть возможность использования KHI с «обычным» кластером Kubernetes. Подробнее об этом написано тут.

SimKube: симуляция кластера Kubernetes

Всем привет!

SimKube – проект, который позволяет симулировать поведения кластера Kubernetes в безопасной изолированной среде.

Если просто, то он позволяет «записывать» действия пользователей в кластере и сохранять данные для последующего анализа.

Для этого у него есть несколько компонентов:
🍭 Tracer. Сохраняет события кластера, может быть настроен для сохранения событий. Определяемых пользователем
🍭 Controller. Запускает отдельный Kubernetes кластер и позволяет воспроизводить те самые симуляции
🍭 CLI. Утилита для упрощения взаимодействия с SimKube

Подобное решение может быть полезно, например, при расследовании инцидентов, чтобы понять, что именно и когда произошло.

Больше подробностей – архитектура, установка, настройка, видео с примером работы – можно найти в repo и на сайте с документацией.

AutoFix для исправления ИБ-дефектов кода

Всем привет!

Использование AI уже норма современности и практически все его используют в той или иной мере.

Статические анализаторы исходного кода – не исключение.

В крупную клетку можно выделить 2 основные задачи, где AI (наверное) может очень сильно помочь: разметка и помощь в генерации исправлений, чтобы было безопасно.

Если первая задача (реализация) еще вызывает вопросы, то вторая, кажется, получила статус «пригодности» и используется много у кого.

В прилагаемом отчете можно найти информацию о том, как с этой задачей справились разные анализаторы: Corgea, Amplify, Arnica, Pixee, OX, Aikido, Codacy.

Приводится статистика:
🍭 Fix coverage
🍭 Average fix quality
🍭 Final score

По каждому блоку приводятся комментарии Авторов относительно полученных результатов и возможностей решений: отправка данных в LLM, использование собственных наработок, комбинированный вариант.

В завершении приводится набор сильных и слабых сторон, которые были идентифицированы в рамках исследования.

С полными результатами (Google Таблица) можно ознакомиться тут.

А что вы думаете по поводу использования AI в SAST? Какие задачи он хорошо решает и где может быть использован (на практике, не в теории)?

Обход политик OPA Gatekeeper

Всем привет!

Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.

Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.

Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.

В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ

Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.

В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy (там тоже получится 😊)

Мы на БеКоне!!!

Приходите к нам, чтобы познакомиться лично, поговорить про безопасность контейнеров и не только, обсудить JCSF, да и просто сфотографироваться!!! 😊😊😊

PS У нас есть конфеты и носки!!! :) Ждем вас!!!

Pysa: статический анализатор для Python

Всем привет!

Pysa – «расширение» проекта Pyre (анализ качества кода), которое позволяет проверять исходный код на Python на наличие ИБ-дефектов.

Чтобы запустить Pysa понадобится:
🍭 Установить Pyre, Sapp и Watchman (опционально, для инкрементального сканирования)
🍭 Инициализировать Pysa-проект
🍭 Собрать информацию о ПО с использованием Pyre, включая данные о taint
🍭 Полученные данные отправить в Sapp и работать с результатами в минималистичном web-приложении

Pysa позволяет искать разные ИБ-дефекты, например: RCE, XSS, SQL-инъекции, SSRF и не только. Подробнее можно посмотреть тут.

Подробнее о том, как работает анализатор, способах его конфигурации и возможностях можно найти в документации на проект.

Управление доступом к web-приложениям

Всем привет!

По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.

Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».

Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.

В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL

Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.

В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!

Khronoscope: анализ состояния кластера k8s во времени

Всем привет!

Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.

Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.

С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только

На текущий момент утилита работает с ConfigMap, DaemonSet, Deployments, Namespaces, Nodes, PersistentVolume, Pods, ReplicaSets, Secrets и Services

Документация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.

Поиск изменений и Container Drift

Всем привет!

Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.

Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.

В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов

В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.

Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.

Идентификация угроз в Kubernetes

Всем привет!

Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.

В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).

Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.

Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только

Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.

Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️

Атаки на JSON Web Tokens (JWT)

Всем привет!

JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.

Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.

После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!

Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только

Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.

Коротко, ёмко, без воды и по делу! То, что надо!