В Kubernetes-окружениях административные задачи "второго дня" часто вызывают отдельные затруднения у администраторов и devops'ов. Резервное копирование не исключение. Бэкап контейнеризированных приложений значительно отличается по своей сути от бэкапов традиционных сред, и требует специфичных решений. Вендоры все активнее подключаются к таким задачам. Буквально вчера стало известно о партнерстве Veeam с компанией Kasten, которая изначально занимается резервированием контейнерных сред. Потираем руки, ждём классных зрелых решений
https://www.veeam.com/blog/kasten-partnership-kubernetes-backup.html
https://www.veeam.com/blog/kasten-partnership-kubernetes-backup.html
Veeam Software Official Blog
Veeam and Kasten partner to deliver Kubernetes-native backup
We’re excited to share that we are partnering with Kasten, the leaders in backup solutions for containerized workloads. Kasten’s K10 Data Management Platform, purpose-built for Kubernetes, provides enterprise operations teams an easy-to-use, scalable, and…
А как часто ваши разработчики по уважительной или не очень причине переносят релиз?
Но сегодня не об этом, давайте заглянем внутрь control plane Kubernetes, в самое его сердце - etcd. Статья хоть и на английском, но в качестве первого знакомства более чем. “A Closer Look At Etcd: The Brain Of A Kubernetes Cluster” by Luc Juggery https://link.medium.com/lYkBARzUI6
Но сегодня не об этом, давайте заглянем внутрь control plane Kubernetes, в самое его сердце - etcd. Статья хоть и на английском, но в качестве первого знакомства более чем. “A Closer Look At Etcd: The Brain Of A Kubernetes Cluster” by Luc Juggery https://link.medium.com/lYkBARzUI6
Medium
A Closer Look at Etcd: The Brain of a Kubernetes Cluster
What etcd contains and how it organizes information
Привет! Если вы немного путаетесь во всех этих SAST, DAST и IAST, то в этой статье неплохо описаны основы, которые помогут понять в чем концептуальная разница указанных подходов к тестированию безопасности приложений. А еще в статье есть ссылки на описание логики работы пассивного и активного IAST (да-да, даже внутри "одного класса" тоже есть небольшие нюансы :) ) https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/
Hdiv Security
What is IAST? All About Interactive Application Security Testing | Hdiv Security
IAST (Interactive Application Security Testing) finds security vulnerabilities in applications by using a modern detection approach useful through the SDLC
Подробная инструкция о том, как развернуть Red Hat OpenShift версии 3.11 силами ИБ-шника. Из статьи вы узнаете о компонентах платформы, требованиях к архитектуре и сложностях, с которыми можно столкнуться при установке: https://habr.com/ru/company/jetinfosystems/blog/503618/
Хабр
Как Sec примерил сбрую Ops, или deploy Red Hat OKD 3.11 for dummies
Привет, друзья! Прошлой осенью мне по работе понадобилось протестировать решения для защиты сред контейнеризации (я работаю ИБ-инженером), но готового стенда с...
Охайо! Тема сегодняшнего номера - встроенные механизмы безопасности Security Context. Предлагаем разобраться с деталями и разложить все по полочкам как для Kubernetes, так и для Red Hat OpenShift.
Security Context нужны для контроля доступа контейнеров к ресурсам хостов кластера. Они контролируют сразу несколько аспектов: запуск привилегированных контейнеров, доступ к функциям ядра linux хоста, использование директорий хоста и не только (об этом подробнее читайте по ссылкам).
Security Context задаются в спецификации пода (раздел spec yaml-файла) и могут распространяться как на под, так и на конкретный контейнер в поде. Security Context могут задаваться с помощью политик. В этом случае под/контейнер запускается с конкретной политикой, которая автоматически прописывает нужные параметры конфигурации в yaml-файл пода. Сами политики создаются на уровне кластера и назначаются пользователям или сервисным учетным записям, которые могут управлять образами и контейнерами.
А теперь про главные отличия между политиками Kubernetes и Red Hat OpenShift:
📍В Red Hat OpenShift - Security Context Constraints
📍В Kubernetes - Pod Security Policy
📍Политики в обоих оркестраторах практически одинаковые, используются разные apiVersion
📍В Kubernetes отсутствуют преднастроенные политики
📍В Red Hat OpenShift присутствует набор предопределенных политик, больше опций настроек и есть приоритеты
Want to know more?
- Про политики в Kubernetes
- Про политики в Red Hat OpenShift
Security Context нужны для контроля доступа контейнеров к ресурсам хостов кластера. Они контролируют сразу несколько аспектов: запуск привилегированных контейнеров, доступ к функциям ядра linux хоста, использование директорий хоста и не только (об этом подробнее читайте по ссылкам).
Security Context задаются в спецификации пода (раздел spec yaml-файла) и могут распространяться как на под, так и на конкретный контейнер в поде. Security Context могут задаваться с помощью политик. В этом случае под/контейнер запускается с конкретной политикой, которая автоматически прописывает нужные параметры конфигурации в yaml-файл пода. Сами политики создаются на уровне кластера и назначаются пользователям или сервисным учетным записям, которые могут управлять образами и контейнерами.
А теперь про главные отличия между политиками Kubernetes и Red Hat OpenShift:
📍В Red Hat OpenShift - Security Context Constraints
📍В Kubernetes - Pod Security Policy
📍Политики в обоих оркестраторах практически одинаковые, используются разные apiVersion
📍В Kubernetes отсутствуют преднастроенные политики
📍В Red Hat OpenShift присутствует набор предопределенных политик, больше опций настроек и есть приоритеты
Want to know more?
- Про политики в Kubernetes
- Про политики в Red Hat OpenShift
kubernetes.io
Pod Security Policies
Removed feature PodSecurityPolicy was deprecated in Kubernetes v1.21, and removed from Kubernetes in v1.25. Instead of using PodSecurityPolicy, you can enforce similar restrictions on Pods using either or both:
Pod Security Admission a 3rd party admission…
Pod Security Admission a 3rd party admission…
Пятница! Ничего серьезного, только то, о чем мечтал каждый мальчик!
А мечтал он о том, чтобы сделать собственную игруи все это в итоге привело его в ИТ и он стал менеджером, в независимости от ее сложности - это мог быть тетрис, мог быть арканоид, а могла быть MMORPG. Стоп, что?
Да, все так ) А заодно можно поковыряться в недрах Terraform на классных примерах, благодаря творчеству Scott Winkler:
🎮 Видео про разворачивание игры: Terraform & MMORPG
🎮 GitHub Scott'a: Scott's GitHub
🎮 Ссылка на его книгу (она платная): Terraform in Action!
Кстати, а девушки тоже хотели/хотят быть частью GameDev-индустрии? Расскажите об этом в чате, не стесняйтесь! :)
HashiCorp: Infrastructure enables innovation
Deploying a Multi-Cloud MMORPG with Terraform, Nomad, and Consul
See how a multi-cloud container orchestration platform and MMORPG workload can be deployed in 2 steps with Terraform.
А мечтал он о том, чтобы сделать собственную игру
Да, все так ) А заодно можно поковыряться в недрах Terraform на классных примерах, благодаря творчеству Scott Winkler:
🎮 Видео про разворачивание игры: Terraform & MMORPG
🎮 GitHub Scott'a: Scott's GitHub
🎮 Ссылка на его книгу (она платная): Terraform in Action!
Кстати, а девушки тоже хотели/хотят быть частью GameDev-индустрии? Расскажите об этом в чате, не стесняйтесь! :)
HashiCorp: Infrastructure enables innovation
Deploying a Multi-Cloud MMORPG with Terraform, Nomad, and Consul
See how a multi-cloud container orchestration platform and MMORPG workload can be deployed in 2 steps with Terraform.
HashiCorp
Deploying a Multi-Cloud MMORPG with Terraform, Nomad, and Consul
See how a multi-cloud container orchestration platform and MMORPG workload can be deployed in 2 steps with Terraform.
Всем привет!
Спасибо, что были с нами на вебинарах! Как говорит мой шеф: "Не надо грустить, что это прошло, надо радоваться, что это было!".
Обещали - делаем! Набор полезных ссылок с сегодняшнего DevSec вебинара:
📎 Лучшие практики по разработке Dockerfile
📎 Trufflehog (ищет секреты в git)
📎 Bandit (SAST для Python)
📎 SNYK (анализ open source компонент)
📎 Prisma Cloud (комплексная защита контейнеров)
📎 Contrast Security ("пассивный" IAST)
📎 DefectDojo (консолидация информации по дефектам)
Надеемся, что наши вебинары были вам интересны и полезны! Если есть идеи, как сделать еще лучше - пишите на dso@jet.su 🙂
До встречи во втором сезоне?
Если у вас есть пожелания, что именно вы хотите увидеть - пишите в чат! Форматы тоже приветствуются! ) Это может быть теория и практика, может быть просто набор команд для поднятия стенда, да все, что угодно! :)
Спасибо, что были с нами на вебинарах! Как говорит мой шеф: "Не надо грустить, что это прошло, надо радоваться, что это было!".
Обещали - делаем! Набор полезных ссылок с сегодняшнего DevSec вебинара:
📎 Лучшие практики по разработке Dockerfile
📎 Trufflehog (ищет секреты в git)
📎 Bandit (SAST для Python)
📎 SNYK (анализ open source компонент)
📎 Prisma Cloud (комплексная защита контейнеров)
📎 Contrast Security ("пассивный" IAST)
📎 DefectDojo (консолидация информации по дефектам)
Надеемся, что наши вебинары были вам интересны и полезны! Если есть идеи, как сделать еще лучше - пишите на dso@jet.su 🙂
До встречи во втором сезоне?
Если у вас есть пожелания, что именно вы хотите увидеть - пишите в чат! Форматы тоже приветствуются! ) Это может быть теория и практика, может быть просто набор команд для поднятия стенда, да все, что угодно! :)
Docker Documentation
Building best practices
Hints, tips and guidelines for writing clean, reliable Dockerfiles
На днях вышел первый релиз Docker Enterprise от Mirantis. В релиз ноутс:
📍K8s on Windows
📍GPU support
📍Istio Ingress
📍A new UCP Installer
📍Upgrade to K8s 1.17
Если кто давно не смотрел Docker Enterprise, то UCP - это Universal Control Plane, а installer - Mirantis Launchpad. Все вместе создает дает функционал, аналогичный Rancher или Advanced Cluster Manager от Red Hat.
https://www.mirantis.com/blog/announcing-docker-enterprise-3-1-general-availability/
📍K8s on Windows
📍GPU support
📍Istio Ingress
📍A new UCP Installer
📍Upgrade to K8s 1.17
Если кто давно не смотрел Docker Enterprise, то UCP - это Universal Control Plane, а installer - Mirantis Launchpad. Все вместе создает дает функционал, аналогичный Rancher или Advanced Cluster Manager от Red Hat.
https://www.mirantis.com/blog/announcing-docker-enterprise-3-1-general-availability/
Mirantis
Announcing Docker Enterprise 3.1 General Availability| Mirantis
Привет!
Бывают случаи, когда конфиденциальная информация попадает в систему контроля версий. git rm secrets.txt не сработает. Почему? Потому что данные останутся в других commits из-за логики работы git. Он должен помнить. Все. Такая вот у него нелегкая задача.
Что же делать в таком случае, как удалить все упоминания файла, как переписать историю?
В этом случае можно воспользоваться механизмом самого git: git filter-branch и указать требуемые параметры. Единственный недостаток (если у вас большой repo) - скорость работы.
Но! И это можно решить! Есть специализированный инструмент, который работает по схожему принципу, но быстрее - BFG repo cleaner (у кого еще возникли Doom/Quake-ассоциации? :))
Просто посмотрите видео, которое приведено по ссылке на инструмент: https://rtyley.github.io/bfg-repo-cleaner/
Не забывайте, что переписывать историю - опасно и сперва обсудите все с командой, чтобы вносимые изменения не оказали на их работу негативного воздействия :)
Бывают случаи, когда конфиденциальная информация попадает в систему контроля версий. git rm secrets.txt не сработает. Почему? Потому что данные останутся в других commits из-за логики работы git. Он должен помнить. Все. Такая вот у него нелегкая задача.
Что же делать в таком случае, как удалить все упоминания файла, как переписать историю?
В этом случае можно воспользоваться механизмом самого git: git filter-branch и указать требуемые параметры. Единственный недостаток (если у вас большой repo) - скорость работы.
Но! И это можно решить! Есть специализированный инструмент, который работает по схожему принципу, но быстрее - BFG repo cleaner (у кого еще возникли Doom/Quake-ассоциации? :))
Просто посмотрите видео, которое приведено по ссылке на инструмент: https://rtyley.github.io/bfg-repo-cleaner/
Не забывайте, что переписывать историю - опасно и сперва обсудите все с командой, чтобы вносимые изменения не оказали на их работу негативного воздействия :)
rtyley.github.io
BFG Repo-Cleaner by rtyley
A simpler, faster alternative to git-filter-branch for deleting big files and removing passwords from Git history.
KubiScan - это open source утилита, разработанная компанией CyberArk. Она собирает информацию о том, где и какие расширенные привилегии используются на уровне кластера Kubernetes, если в основе контроля доступа лежит RBAC. Утилита также работает на Red Hat OpenShift, несмотря на название :)
KubiScan будет полезен ИТ-администраторам и ИБ-специалистам, чтобы получать полноценную картину о том, что творится с правами на уровне кластеров, особенно в больших инфраструктурах.
KubiScan выявляет потенциально опасные сущности и отображает найденную информацию о них:
📍Роли - Roles\ClusterRoles
📍Привязки ролей к пользователям - RoleBindings\ClusterRoleBindings
📍Пользователи - Subjects (Users, Groups and ServiceAccounts)
📍Поды и контейнеры - Pods\Containers
KubiScan также делает дампы токенов (поды) и выводит список подов, в которые пробрасываются токены через папки на хосте или переменные окружения и др.
Ссылка на утилиту:
https://github.com/cyberark/KubiScan
Ниже представлены примеры выводов экрана.
KubiScan будет полезен ИТ-администраторам и ИБ-специалистам, чтобы получать полноценную картину о том, что творится с правами на уровне кластеров, особенно в больших инфраструктурах.
KubiScan выявляет потенциально опасные сущности и отображает найденную информацию о них:
📍Роли - Roles\ClusterRoles
📍Привязки ролей к пользователям - RoleBindings\ClusterRoleBindings
📍Пользователи - Subjects (Users, Groups and ServiceAccounts)
📍Поды и контейнеры - Pods\Containers
KubiScan также делает дампы токенов (поды) и выводит список подов, в которые пробрасываются токены через папки на хосте или переменные окружения и др.
Ссылка на утилиту:
https://github.com/cyberark/KubiScan
Ниже представлены примеры выводов экрана.
kubernetes.io
Using RBAC Authorization
Role-based access control (RBAC) is a method of regulating access to computer or network resources based on the roles of individual users within your organization.
RBAC authorization uses the rbac.authorization.k8s.io API group to drive authorization decisions…
RBAC authorization uses the rbac.authorization.k8s.io API group to drive authorization decisions…
Привет!
Сегодня рассказываем про сегментирование контейнерной сети для защиты приложений. Мы рекомендуем использовать несколько инструментов и следовать простым советам:
📍Network Policy
С помощью Network Policy можно контролировать сетевой трафик внутри и между namespaces. В дополнение к ним можно использовать сторонние средства, которые позволяют визуализировать сетевые потоки.
📍Service Mesh
Service Mesh могут быть полезны тем что, реализуют маршрутизацию и поиск микросервисов, используя штатные механизмы безопасности. Настройку этих механизмов можно реализовать с помощью политик, в которых указываются протоколы и другие важные настройки.
📍L7 Firewall
Контроль контейнерной сети возможен на L3/4. Для защиты непосредственно веб-приложений рекомендуем использовать L7 Firewall.
📍Разделение по нодам или кластерам
Мы рекомендуем разделять приложения по разным нодам или кластерам. Это можно делать, исходя из чувствительности данных, compliance-требований или по принадлежности к командам разработки.
Stay tuned! Еще расскажем о миксе подходов, чтобы приложения были максимально защищенными
Сегодня рассказываем про сегментирование контейнерной сети для защиты приложений. Мы рекомендуем использовать несколько инструментов и следовать простым советам:
📍Network Policy
С помощью Network Policy можно контролировать сетевой трафик внутри и между namespaces. В дополнение к ним можно использовать сторонние средства, которые позволяют визуализировать сетевые потоки.
📍Service Mesh
Service Mesh могут быть полезны тем что, реализуют маршрутизацию и поиск микросервисов, используя штатные механизмы безопасности. Настройку этих механизмов можно реализовать с помощью политик, в которых указываются протоколы и другие важные настройки.
📍L7 Firewall
Контроль контейнерной сети возможен на L3/4. Для защиты непосредственно веб-приложений рекомендуем использовать L7 Firewall.
📍Разделение по нодам или кластерам
Мы рекомендуем разделять приложения по разным нодам или кластерам. Это можно делать, исходя из чувствительности данных, compliance-требований или по принадлежности к командам разработки.
Stay tuned! Еще расскажем о миксе подходов, чтобы приложения были максимально защищенными
И снова седая ночь пятница!
Впереди выходные, можно чуть расслабиться и посмотреть сериал. Хотя, я бы порекомендовал кое-что получше:
Курс CS50 от Гарварда, который рассказывает про основы программирования!
Очень доступно, просто и, главное, захватывающе! Да, обучение может быть захватывающим, да еще настолько, что любой сериал позавидует :) Разорвать адресную книгу для объяснения бинарного поиска? Почему бы и нет!
Кому это может быть интересно? Всем! Те, кто знают программирование могут почерпнуть для себя подходы к его объяснению, а те, кто не знают - смогут разобраться и понять, что к чему :)
И все это доступно благодаря ребятам из Vert Dider, которые провели колоссальную работу по переводу курса. За что им огромное спасибо!
Всем хороших выходных!
Впереди выходные, можно чуть расслабиться и посмотреть сериал. Хотя, я бы порекомендовал кое-что получше:
Курс CS50 от Гарварда, который рассказывает про основы программирования!
Очень доступно, просто и, главное, захватывающе! Да, обучение может быть захватывающим, да еще настолько, что любой сериал позавидует :) Разорвать адресную книгу для объяснения бинарного поиска? Почему бы и нет!
Кому это может быть интересно? Всем! Те, кто знают программирование могут почерпнуть для себя подходы к его объяснению, а те, кто не знают - смогут разобраться и понять, что к чему :)
И все это доступно благодаря ребятам из Vert Dider, которые провели колоссальную работу по переводу курса. За что им огромное спасибо!
Всем хороших выходных!
YouTube
Основы программирования: Легендарный Гарвардский курс CS50
Весь курс CS50 - https://javarush.com/s/course_cs50
Первая лекция курса «Основы программирования» https://javarush.com/quests/lectures/questharvardcs50.level00.lecture00
Знаете, как называется самый популярный в мире университетский курс? Это CS50, «Основы…
Первая лекция курса «Основы программирования» https://javarush.com/quests/lectures/questharvardcs50.level00.lecture00
Знаете, как называется самый популярный в мире университетский курс? Это CS50, «Основы…
Доброго понедельника! Подборка обучалок от Red Hat:
📍Бесплатный курс для разработчиков Introduction to OpenShift Applications https://www.redhat.com/en/engage/do101-introduction-openshift-s-202004060642
📍Серия бесплатных курсов по Ansible Automates https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview?sc_cid=7013a000002DlyOAAS
📍Бесплатный курс Red Hat Enterprise Linux Technical Overview https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
📍Больше бесплатных курсов тут
https://www.redhat.com/en/services/training-and-certification?learning_options=free_courses
📍Учебный ответ вирусу от Red Hat
https://servicesblog.redhat.com/2020/04/24/red-hat-provides-free-learning-opportunities/
📍Бесплатный курс для разработчиков Introduction to OpenShift Applications https://www.redhat.com/en/engage/do101-introduction-openshift-s-202004060642
📍Серия бесплатных курсов по Ansible Automates https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview?sc_cid=7013a000002DlyOAAS
📍Бесплатный курс Red Hat Enterprise Linux Technical Overview https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
📍Больше бесплатных курсов тут
https://www.redhat.com/en/services/training-and-certification?learning_options=free_courses
📍Учебный ответ вирусу от Red Hat
https://servicesblog.redhat.com/2020/04/24/red-hat-provides-free-learning-opportunities/
Redhat
DO101: Introduction to OpenShift Applications
Всем привет!
На последнем вебинаре мы рассказывали, в том числе, о стандартах ИБ и модели зрелости, которые можно использовать для вдохновения при поиске новых активностей по DevSecOps! И обещали поделиться с Вами, что с радостью делаем:
📍The Building Security in Maturity Model: BSIMM
📍OWASP Software Assurance Maturity Model: SAMM (и ссылка на github)
📍OWASP DevSecOps Maturity Model: DSOMM (и ссылка на github)
Кстати, если Ваш выбор упал на SAMM, то есть удобный online-калькулятор для проведения самооценки :)
Рассматриваемый перечень не является конечным, однако, может послужить отличным стартом или позволит усилить существующую практику за счет консолидации информации о том, что делают компании по всему миру!
Приятный бонус: 16 июня будет OWASP SAMM User Day Online, регистрация бесплатно! Подробности можно найти по ссылке!
На последнем вебинаре мы рассказывали, в том числе, о стандартах ИБ и модели зрелости, которые можно использовать для вдохновения при поиске новых активностей по DevSecOps! И обещали поделиться с Вами, что с радостью делаем:
📍The Building Security in Maturity Model: BSIMM
📍OWASP Software Assurance Maturity Model: SAMM (и ссылка на github)
📍OWASP DevSecOps Maturity Model: DSOMM (и ссылка на github)
Кстати, если Ваш выбор упал на SAMM, то есть удобный online-калькулятор для проведения самооценки :)
Рассматриваемый перечень не является конечным, однако, может послужить отличным стартом или позволит усилить существующую практику за счет консолидации информации о том, что делают компании по всему миру!
Приятный бонус: 16 июня будет OWASP SAMM User Day Online, регистрация бесплатно! Подробности можно найти по ссылке!
Synopsys
Building Security Maturity Model (BSIMM) Consulting Services | Synopsys
Building Security in Maturity Model security measurement from Synopsys. Learn more at Synopsys.com/software-integrity.html.
Kube-Scan - это open source утилита от Octarine для оценки риска кластера среды оркестрации, в основе которого лежит Kubernetes.
Уровень риска считается для каждой рабочей нагрузки (workload) кластера, исходя из параметров ее текущей конфигурации.
В качестве основы для расчета уровня риска использовалась собственная модель Octarine Kubernetes Common Configuration Scoring System (KCCSS).
Идейно она схожа с Common Vulnerability Scoring System (CVSS), стандартом для расчета уровня риска по уязвимостям, только вместо акцента на уязвимости, делается акцент на конфигурацию и параметры безопасности в ней.
Нужно больше информации?
🍭Ссылка на утилиту: https://github.com/octarinesec/kube-scan
🍭Вебинар о том, что такое KCCSS и как работает kube-scan доступен по ссылке: https://www.cncf.io/webinars/kube-scan-k8s-common-configur-scoring-sys/
P. S. И не путайте с KubiScan от CyberArk, о которой мы уже писали отдельно
Уровень риска считается для каждой рабочей нагрузки (workload) кластера, исходя из параметров ее текущей конфигурации.
В качестве основы для расчета уровня риска использовалась собственная модель Octarine Kubernetes Common Configuration Scoring System (KCCSS).
Идейно она схожа с Common Vulnerability Scoring System (CVSS), стандартом для расчета уровня риска по уязвимостям, только вместо акцента на уязвимости, делается акцент на конфигурацию и параметры безопасности в ней.
Нужно больше информации?
🍭Ссылка на утилиту: https://github.com/octarinesec/kube-scan
🍭Вебинар о том, что такое KCCSS и как работает kube-scan доступен по ссылке: https://www.cncf.io/webinars/kube-scan-k8s-common-configur-scoring-sys/
P. S. И не путайте с KubiScan от CyberArk, о которой мы уже писали отдельно
VMware
VMware Security Solutions
Deliver security that’s built-in & distributed with your control points of users, devices, workloads & network, with fewer tools & silos, & better context.
Всем привет!
Относительно недавно (в апреле 20') вышла книга Liz Rice, посвященная Container Security.
Liz - является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
Книга описывает такие аспекты безопасности контейнеров как:
📍Потенциальные угрозы безопасности
Linux Capabilities
📍Аспекты работы с образами контейнеров
📍Уязвимости ИБ в образах, способы их идентификации
📍Как повысить ИБ в контейнерах (SELinux, AppArmor и т.д.)
📍Аспекты сетевой безопасности и иные темы
Книга не является детальным how-to-guide, однако, позволяет сформировать целостное понимание об аспектах обеспечения ИБ в контейнерах.
Книга доступна по ссылке (для скачивания необходимо указать корпоративный email)
P.S. Если "побегать" по ссылкам (от Solutions до Blog) на сайте Aqua Security то можно найти много интересных отчетов и публикаций по тематике защиты контейнеров :)
Aquasec
Container Security O'Reilly Book
This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate
Относительно недавно (в апреле 20') вышла книга Liz Rice, посвященная Container Security.
Liz - является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
Книга описывает такие аспекты безопасности контейнеров как:
📍Потенциальные угрозы безопасности
Linux Capabilities
📍Аспекты работы с образами контейнеров
📍Уязвимости ИБ в образах, способы их идентификации
📍Как повысить ИБ в контейнерах (SELinux, AppArmor и т.д.)
📍Аспекты сетевой безопасности и иные темы
Книга не является детальным how-to-guide, однако, позволяет сформировать целостное понимание об аспектах обеспечения ИБ в контейнерах.
Книга доступна по ссылке (для скачивания необходимо указать корпоративный email)
P.S. Если "побегать" по ссылкам (от Solutions до Blog) на сайте Aqua Security то можно найти много интересных отчетов и публикаций по тематике защиты контейнеров :)
Aquasec
Container Security O'Reilly Book
This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate
Aquasec
Container Security
VMware vSphere with Kubernetes приносит нам несколько новых уровней абстракции и интересных сущностей.
В то время, как разработчики могут запускать свои приложения в выделенных нативных Kubernetes-кластерах на базе TKG (Tanzu Kubernetes Grid), "под ним" так же существует т.н. Supervisor Cluster. Он позволяет запускать контейнеры, но совсем по-другому. Появляется ряд вопросов:
📍Что такое vSphere Pod Service? Это виртуалка или нет?
📍В каких случаях этим нужно пользоваться?
📍Какой overhead это даёт, и как это сравнимо по производительности с контейнерами на bare metal?
Ответы на эти вопросы и много всего интересного можно найти в статьях вендора:
https://blogs.vmware.com/vsphere/2020/04/vsphere-7-vsphere-pod-service.html
https://blogs.vmware.com/vsphere/2020/05/vsphere-7-vsphere-pods-explained.html
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
В то время, как разработчики могут запускать свои приложения в выделенных нативных Kubernetes-кластерах на базе TKG (Tanzu Kubernetes Grid), "под ним" так же существует т.н. Supervisor Cluster. Он позволяет запускать контейнеры, но совсем по-другому. Появляется ряд вопросов:
📍Что такое vSphere Pod Service? Это виртуалка или нет?
📍В каких случаях этим нужно пользоваться?
📍Какой overhead это даёт, и как это сравнимо по производительности с контейнерами на bare metal?
Ответы на эти вопросы и много всего интересного можно найти в статьях вендора:
https://blogs.vmware.com/vsphere/2020/04/vsphere-7-vsphere-pod-service.html
https://blogs.vmware.com/vsphere/2020/05/vsphere-7-vsphere-pods-explained.html
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
Всем пятница!
Последнее время все только и говорят,что о море и о закате, о том, какой Kubernetes классный! И он такой. Правда.
Однако, нет ничего абсолютного. И Kubernetes не исключение, у него есть своя "темная сторона", которую не стоит скрывать. Иначе можно совершить "ошибку уцелевшего".
Для того, чтобы не допустить ее и посмотреть на Kubernetes более трезвым взглядом, рекомендуем ознакомиться с перечнем статей и видеоматериалов, в которых рассказывается про трудности, с которыми столкнулись специалисты по мере работы с технологией. Возможно это поможет Вам избежать собственных ошибок или решить существующие :)
https://github.com/hjacobs/kubernetes-failure-stories
Последнее время все только и говорят,
Однако, нет ничего абсолютного. И Kubernetes не исключение, у него есть своя "темная сторона", которую не стоит скрывать. Иначе можно совершить "ошибку уцелевшего".
Для того, чтобы не допустить ее и посмотреть на Kubernetes более трезвым взглядом, рекомендуем ознакомиться с перечнем статей и видеоматериалов, в которых рассказывается про трудности, с которыми столкнулись специалисты по мере работы с технологией. Возможно это поможет Вам избежать собственных ошибок или решить существующие :)
https://github.com/hjacobs/kubernetes-failure-stories
GitHub
GitHub - hjacobs/kubernetes-failure-stories: Compilation of public failure/horror stories related to Kubernetes
Compilation of public failure/horror stories related to Kubernetes - hjacobs/kubernetes-failure-stories