Всем привет!
Можно долго ругать (или хвалить) Dependency-Check, но сегодня не об этом ☺️ В статье приведен интересный пример того, как можно визуализировать информацию о зависимостях и сделать аналитику более интерактивной для восприятия!
🍭 Потребуется Neo4J база данных, установленный Dependency-Check
🍭 Сканируем исходный код, получаем данные, загружаем в БД
🍭 …
🍭 Visualize it! При помощи разных запросов
Примеры реализации и запросов, а также ссылка на repo проекта доступна в статье.
P.S. Поздравляем вас с наступающими праздниками, желаем отлично отдохнуть и набраться сил!!! ☺️☺️☺️
Можно долго ругать (или хвалить) Dependency-Check, но сегодня не об этом ☺️ В статье приведен интересный пример того, как можно визуализировать информацию о зависимостях и сделать аналитику более интерактивной для восприятия!
🍭 Потребуется Neo4J база данных, установленный Dependency-Check
🍭 Сканируем исходный код, получаем данные, загружаем в БД
🍭 …
🍭 Visualize it! При помощи разных запросов
Примеры реализации и запросов, а также ссылка на repo проекта доступна в статье.
P.S. Поздравляем вас с наступающими праздниками, желаем отлично отдохнуть и набраться сил!!! ☺️☺️☺️
Medium
How to create a Software Bill of Materials in Neo4J
Graph databases are very useful when we try to represent data in a friendly visual way. One of the best use cases i can think of for a…
Привет!
По ссылке доступен repo, который поможет познакомиться с OPA Gatekeeper и Kyverno. Помимо теории доступны небольшие примеры, которые можно воссоздать, используя Minikube.
Материал кратко раскрывает такие темы, как:
🍭 Что такое OPA и OPA Gatekeeper
🍭 Что такое Kyverno
🍭 Верхнеуровневое сравнение OPA Gatekeeper и Kyverno
🍭 Создание отдельных Minikube инсталляций, установка решений
🍭 Создание простых политик (контроль наличия label) с OPA Gatekeeper и Kyverno
Код всех примеров можно найти в самом repo. Кроме того, в материалах можно найти много полезных ссылок, которые могут быть интересны для ознакомления
По ссылке доступен repo, который поможет познакомиться с OPA Gatekeeper и Kyverno. Помимо теории доступны небольшие примеры, которые можно воссоздать, используя Minikube.
Материал кратко раскрывает такие темы, как:
🍭 Что такое OPA и OPA Gatekeeper
🍭 Что такое Kyverno
🍭 Верхнеуровневое сравнение OPA Gatekeeper и Kyverno
🍭 Создание отдельных Minikube инсталляций, установка решений
🍭 Создание простых политик (контроль наличия label) с OPA Gatekeeper и Kyverno
Код всех примеров можно найти в самом repo. Кроме того, в материалах можно найти много полезных ссылок, которые могут быть интересны для ознакомления
GitHub
GitHub - developer-guy/policy-as-code-war: OPA Gatekeeper vs Kyverno
OPA Gatekeeper vs Kyverno. Contribute to developer-guy/policy-as-code-war development by creating an account on GitHub.
Привет!
По ссылке доступна статья, в которой описывается возможная атака на Vanilla Kubernetes.
Автор предлагает следующее:
🍭 Поиск публично доступных kubelet API
🍭 Использование kubelet API для реализации RCE
🍭 Запуск shell в контейнере, запущенном на node
🍭 Идентификация credentials, получение доступа к API-серверу с cluster-admin привилегиями
🍭 Запуск привилегированного контейнера с последующим escape на node
Некоторые из этапов атаки можно реализовать из-за default настроек, которые могут быть (или уже) «отключены», например, анонимная аутентификация к kubelet при установке через kubeadm. Альтернативный пример – Tiller и Helm v2 (который был deprecated в ноября 2020), но все равно есть те, кто его использует. Поэтому на наш взгляд статья неплохо подойдет в качестве обучающего материала.
Статья подробная, с примерами и ссылками на интересные материалы.
P.S. В статье есть этап поиска публично доступных API с использованием Shodan. Напоминаем, что подобные упражнения (даже с благими целями) могут привести к ответственности, вплоть до уголовной. Поэтому крайне рекомендуем начинать с Minikube-части, тем самым эмулируя ситуацию, когда «мы уже нашли интересующий нас API»
По ссылке доступна статья, в которой описывается возможная атака на Vanilla Kubernetes.
Автор предлагает следующее:
🍭 Поиск публично доступных kubelet API
🍭 Использование kubelet API для реализации RCE
🍭 Запуск shell в контейнере, запущенном на node
🍭 Идентификация credentials, получение доступа к API-серверу с cluster-admin привилегиями
🍭 Запуск привилегированного контейнера с последующим escape на node
Некоторые из этапов атаки можно реализовать из-за default настроек, которые могут быть (или уже) «отключены», например, анонимная аутентификация к kubelet при установке через kubeadm. Альтернативный пример – Tiller и Helm v2 (который был deprecated в ноября 2020), но все равно есть те, кто его использует. Поэтому на наш взгляд статья неплохо подойдет в качестве обучающего материала.
Статья подробная, с примерами и ссылками на интересные материалы.
P.S. В статье есть этап поиска публично доступных API с использованием Shodan. Напоминаем, что подобные упражнения (даже с благими целями) могут привести к ответственности, вплоть до уголовной. Поэтому крайне рекомендуем начинать с Minikube-части, тем самым эмулируя ситуацию, когда «мы уже нашли интересующий нас API»
Medium
Attacking Kubernetes clusters using the Kubelet API
Knock-knockin’ on kubelet’s door. From the doormat to full node access.
Всем привет!
В начале года SNYK запустил серию опросов для подготовки отчета о состоянии ИБ в Cloud Native. В символичную дату, 4 мая (Да прибудет с Вами Сила!) ребята сделали отчет «State of Cloud Native Application Security» доступным и интерактивным!
Некоторые findings:
🍭 99% респондентов считают обеспечение ИБ значимым аспектом их Cloud Native стратегии
🍭 78% workloads представляют из себя контейнеры и serverless
🍭 50% опрошенных практикуют Infrastructure as Code
🍭 56% - были проблемы ИБ, связанные с misconfiguration
🍭 60% - повышение озабоченности об ИБ при переходе в Cloud Native
🍭 72% команд устраняют критичные недостатки за 1 неделю (рассматриваются команды, обладающие значительной автоматизации процессов)
Остальную информацию, выводы и инфографику можно посмотреть в самом отчете ☺️
В начале года SNYK запустил серию опросов для подготовки отчета о состоянии ИБ в Cloud Native. В символичную дату, 4 мая (Да прибудет с Вами Сила!) ребята сделали отчет «State of Cloud Native Application Security» доступным и интерактивным!
Некоторые findings:
🍭 99% респондентов считают обеспечение ИБ значимым аспектом их Cloud Native стратегии
🍭 78% workloads представляют из себя контейнеры и serverless
🍭 50% опрошенных практикуют Infrastructure as Code
🍭 56% - были проблемы ИБ, связанные с misconfiguration
🍭 60% - повышение озабоченности об ИБ при переходе в Cloud Native
🍭 72% команд устраняют критичные недостатки за 1 неделю (рассматриваются команды, обладающие значительной автоматизации процессов)
Остальную информацию, выводы и инфографику можно посмотреть в самом отчете ☺️
Snyk
Cloud Native Application Security Report | Snyk
New research reveals 60% of organizations have increased security concerns since adopting cloud native. Read the full State of Cloud Native Application Security report for all of the latest trends.
import this
- при помощи такой команды можно увидеть «Zen of Python» и на наш взгляд она отлично подходит для описания того, что приведено в статье «Nine Pillars of DevOps Best Practices».
Автор собрал общие практики, про которые важно помнить при развитии DevSecOps и "разбил" их по нескольким категориям
🍭 Leadership Practices for DevOps
Тезисы о том, на что обращать внимание при работе с командой
🍭 Collaborative Culture Practices for DevOps
Тезисы о развитии взаимодействия, обмена опытом и эффективности
🍭 Design-for-DevOps Practices for DevOps
Тезисы об «облике» программного обеспечения
🍭 Continuous Integration Practices for DevOps
Тезисы о сборке программного обеспечения
🍭 Continuous Testing Practices for DevOps
Тезисы о тестах и их использовании
🍭 Elastic Infrastructure Practices for DevOps
Тезисы о создании масштабируемого и поддерживаемого контура разработки
🍭 Continuous Monitoring Practices for DevOps
Тезисы про мониторинг, его автоматизацию
🍭 Continuous Security Practices for DevOps
Тезисы про обеспечения ИБ, ответственность сторон и автоматизацию
🍭 Continuous Delivery Practices for DevOps
Тезисы про оптимизацию и корректное выстраивание процесса deployment
На первый взгляд может показаться, что «это общие слова ни о чем». Но если читать вдумчиво, то из этого может получиться неплохой инструмент оценки того, что реализовано, что можно и нужно реализовать, что важно не забыть. Надеемся, что статья будет вам полезной!
P.S. Поздравляем всех с наступающим праздником 9-го мая!!! С Днем Победы!!!
- при помощи такой команды можно увидеть «Zen of Python» и на наш взгляд она отлично подходит для описания того, что приведено в статье «Nine Pillars of DevOps Best Practices».
Автор собрал общие практики, про которые важно помнить при развитии DevSecOps и "разбил" их по нескольким категориям
🍭 Leadership Practices for DevOps
Тезисы о том, на что обращать внимание при работе с командой
🍭 Collaborative Culture Practices for DevOps
Тезисы о развитии взаимодействия, обмена опытом и эффективности
🍭 Design-for-DevOps Practices for DevOps
Тезисы об «облике» программного обеспечения
🍭 Continuous Integration Practices for DevOps
Тезисы о сборке программного обеспечения
🍭 Continuous Testing Practices for DevOps
Тезисы о тестах и их использовании
🍭 Elastic Infrastructure Practices for DevOps
Тезисы о создании масштабируемого и поддерживаемого контура разработки
🍭 Continuous Monitoring Practices for DevOps
Тезисы про мониторинг, его автоматизацию
🍭 Continuous Security Practices for DevOps
Тезисы про обеспечения ИБ, ответственность сторон и автоматизацию
🍭 Continuous Delivery Practices for DevOps
Тезисы про оптимизацию и корректное выстраивание процесса deployment
На первый взгляд может показаться, что «это общие слова ни о чем». Но если читать вдумчиво, то из этого может получиться неплохой инструмент оценки того, что реализовано, что можно и нужно реализовать, что важно не забыть. Надеемся, что статья будет вам полезной!
P.S. Поздравляем всех с наступающим праздником 9-го мая!!! С Днем Победы!!!
DevOps.com
Best of 2021 – Nine Pillars of DevOps Best Practices
By following the nine pillars of practices in this blog, organizations can achieve the performance potential that DevOps has to offer.
В августе Linux исполнится 30 лет. И если кто ещё не читал книжку Just for fun - крайне рекомендую. Без Линуса Торвальдса не было бы не то что Docker и Kubernetes, даже git. Страшно вспомнить время, когда мы всей командой переходили с CVS на SVN и поглядывали на первые, но уже такие удобные сборки git, а старшие коллеги матерились, что и так все работает, пусть не очень удобно.
Но пост не о том. Сам мастер Торвальдс хоть и говорит все время, что он простой инженер, своими действиями, а не указами и философиями, влияет не только на этот мир. Даже на Марсе самая распространенная ОС - Linux ;) Не хочу вытаскивать отдельные цитаты из интервью, обе части достойны прочтения. Enjoy!
https://www.tag1consulting.com/blog/interview-linus-torvalds-linux-and-git и
https://www.tag1consulting.com/blog/interview-linus-torvalds-open-source-and-beyond-part-2
Но пост не о том. Сам мастер Торвальдс хоть и говорит все время, что он простой инженер, своими действиями, а не указами и философиями, влияет не только на этот мир. Даже на Марсе самая распространенная ОС - Linux ;) Не хочу вытаскивать отдельные цитаты из интервью, обе части достойны прочтения. Enjoy!
https://www.tag1consulting.com/blog/interview-linus-torvalds-linux-and-git и
https://www.tag1consulting.com/blog/interview-linus-torvalds-open-source-and-beyond-part-2
Tag1 Consulting
An Interview With Linus Torvalds: Linux and Git - Part 1 30 Years Of Linux
Thirty years ago, Linus Torvalds was a 21 year old student at the University of Helsinki when he first released the Linux Kernel. His announcement started, “I’m doing a (free) operating system (just a hobby, won't be big and professional…)”. Three decades…
Всем привет!
SNYK «открыли» бесплатный доступ к Snyk Code – SAST, о котором мы писали ранее. Для бесплатного использования дается 100 сканирований в месяц, при этом важно помнить, что решение на 100% облачное, но для собственных тестов может быть интересно.
Поддерживаются следующие языки:
🍭 Java
🍭 JavaScript
🍭 Python
🍭 TypeScript
Доступна интеграция с CI/CD (Jenkins, либо через CLI) и IDE (Visual Studio Code, PyCharm, Intellij IDEA). Из любопытного – очень интересная система рекомендаций о том, «сколько раз был найдена схожая проблема», «как ее решали другие» с примерами исходного кода!
SNYK «открыли» бесплатный доступ к Snyk Code – SAST, о котором мы писали ранее. Для бесплатного использования дается 100 сканирований в месяц, при этом важно помнить, что решение на 100% облачное, но для собственных тестов может быть интересно.
Поддерживаются следующие языки:
🍭 Java
🍭 JavaScript
🍭 Python
🍭 TypeScript
Доступна интеграция с CI/CD (Jenkins, либо через CLI) и IDE (Visual Studio Code, PyCharm, Intellij IDEA). Из любопытного – очень интересная система рекомендаций о том, «сколько раз был найдена схожая проблема», «как ее решали другие» с примерами исходного кода!
Snyk
Snyk Code is now available for free | Snyk
Snyk Code now offers up to 100 vulnerability scans for free. This modern SAST joins Snyk Open Source and Snyk Container in our Free plan.
Всем привет!
Небольшая, но крайне поучительная статья доступна по ссылке. Суть ее очень проста и кроется в названии – «Everyone might be a cluster-admin in your Kubernetes cluster»
На примере реально существующего проекта "Spekt8" (а идея и правда заманчивая - красивая визуализация взаимодействия сущностей внутри кластера) автор показывает, что может произойти, если не задумываясь делать deploy проектов/утилит до их изучения.
Например, предоставление cluster-admin всем pods в default namespace. И да, это требуется согласно инструкции.
Кроме примеров того, как можно развить тему автор подготовил небольшой проект, который наглядно показывает, как эксплуатировать указанную уязвимость. Ознакомиться с ним можно по ссылке.
PS У статьи нет preview, поэтому дублируем ссылку: https://www.jeffgeerling.com/blog/2020/everyone-might-be-cluster-admin-your-kubernetes-cluster
Небольшая, но крайне поучительная статья доступна по ссылке. Суть ее очень проста и кроется в названии – «Everyone might be a cluster-admin in your Kubernetes cluster»
На примере реально существующего проекта "Spekt8" (а идея и правда заманчивая - красивая визуализация взаимодействия сущностей внутри кластера) автор показывает, что может произойти, если не задумываясь делать deploy проектов/утилит до их изучения.
Например, предоставление cluster-admin всем pods в default namespace. И да, это требуется согласно инструкции.
Кроме примеров того, как можно развить тему автор подготовил небольшой проект, который наглядно показывает, как эксплуатировать указанную уязвимость. Ознакомиться с ним можно по ссылке.
PS У статьи нет preview, поэтому дублируем ссылку: https://www.jeffgeerling.com/blog/2020/everyone-might-be-cluster-admin-your-kubernetes-cluster
GitHub
GitHub - geerlingguy/k8s-pod-rbac-breakout: Kubernetes Pod RBAC Breakout
Kubernetes Pod RBAC Breakout. Contribute to geerlingguy/k8s-pod-rbac-breakout development by creating an account on GitHub.
Всем пятница!
Если вы знаете, что общего у Netflix, обезьян и хаоса, то эта статья вам понравится! По ссылке доступна подборка Chaos Engineering Tools, которые можно применять в k8s!
🍭 kube-monkey. Один из первых проектов 2016 года. Суть проста – запускается по расписанию, выбирает deployment-жертвы, у которых в течение дня будут удаляться pods
🍭 chaoskube. Аналогично предыдущему – «убивает» pod в произвольном namespace раз в 10 минут (по умолчанию)
🍭 Chaos Mesh. Более продвинутый инструмент: помимо «убийства» pod может делать cpu/memory burn, сетевые проблемы (delay, packet repeats), нарушать работу IO и не только
🍭 Litmus Chaos. Все по-взрослому, позволяет проводить «эксперименты», обладает полноценной документацией
🍭 Chaos Toolkit. Python-инструменты, обладает набором расширений, один из которых – chaostoolkit-kubernetes. Позволяет управлять контейнерами, сервисами, больше – по ссылке!
🍭 KubeInvaders. А про этот вариант мы уже как-то писали ☺️
Перед использованием указанных выше инструментов НАСТОЙЧИВО РЕКОМЕНДУЕМ ЧИТАТЬ ДОКУМЕНТАЦИЮ, тк последствия могут быть не самые приятные. Всем хорошим выходных! ☺️☺️☺️
Если вы знаете, что общего у Netflix, обезьян и хаоса, то эта статья вам понравится! По ссылке доступна подборка Chaos Engineering Tools, которые можно применять в k8s!
🍭 kube-monkey. Один из первых проектов 2016 года. Суть проста – запускается по расписанию, выбирает deployment-жертвы, у которых в течение дня будут удаляться pods
🍭 chaoskube. Аналогично предыдущему – «убивает» pod в произвольном namespace раз в 10 минут (по умолчанию)
🍭 Chaos Mesh. Более продвинутый инструмент: помимо «убийства» pod может делать cpu/memory burn, сетевые проблемы (delay, packet repeats), нарушать работу IO и не только
🍭 Litmus Chaos. Все по-взрослому, позволяет проводить «эксперименты», обладает полноценной документацией
🍭 Chaos Toolkit. Python-инструменты, обладает набором расширений, один из которых – chaostoolkit-kubernetes. Позволяет управлять контейнерами, сервисами, больше – по ссылке!
🍭 KubeInvaders. А про этот вариант мы уже как-то писали ☺️
Перед использованием указанных выше инструментов НАСТОЙЧИВО РЕКОМЕНДУЕМ ЧИТАТЬ ДОКУМЕНТАЦИЮ, тк последствия могут быть не самые приятные. Всем хорошим выходных! ☺️☺️☺️
Palark
Open Source solutions for chaos engineering in Kubernetes
This article reviews existing tools for implementing chaos engineering in K8s including kube-monkey, chaoskube, Chaos Mesh, Litmus Chaos, Chaos Toolkit, some games, and even more.
Всем привет!
Если вы на пути (или задумываете) о сдаче экзамена Certified Kubernetes Security Specialist (CKS), то этот вебинар может быть вам полезен.
Ребята из Sysdig рассмотрят:
🍭 Обзор вопросов и их типов, которые будут на экзамене
🍭 Знания каких инструментов из перечня CNCF потребуются/помогут
🍭 Как «управлять временем» при сдаче экзамена – на что обращать внимание в первую очередь
🍭 Обзор примеров из жизни
Вебинар назначен на 20 мая, на 19:00!
Если вы на пути (или задумываете) о сдаче экзамена Certified Kubernetes Security Specialist (CKS), то этот вебинар может быть вам полезен.
Ребята из Sysdig рассмотрят:
🍭 Обзор вопросов и их типов, которые будут на экзамене
🍭 Знания каких инструментов из перечня CNCF потребуются/помогут
🍭 Как «управлять временем» при сдаче экзамена – на что обращать внимание в первую очередь
🍭 Обзор примеров из жизни
Вебинар назначен на 20 мая, на 19:00!
Sysdig
Webinars – Sysdig
Explore Sysdig Webinars and learn how Sysdig is converging security and compliance with DevOps for cloud native production deployments.
Всем привет!
Завтра в 16:00 мы проведем вебинар по нашей любимой теме.
На вебинаре:
🍏 Расскажем про недостатки в дефолтных настройках kubernetes
🍏 Покажем атаку на контейнерный кластер в прямом эфире
🍏 Расскажем и покажем, как оценить угрозы кластера и защититься от них
🍏 Пришлем полезных материалов по теме ИБ в контейнерах
Если интересно — присоединяйтесь, будем рады видеть.
Регистрация
Завтра в 16:00 мы проведем вебинар по нашей любимой теме.
На вебинаре:
🍏 Расскажем про недостатки в дефолтных настройках kubernetes
🍏 Покажем атаку на контейнерный кластер в прямом эфире
🍏 Расскажем и покажем, как оценить угрозы кластера и защититься от них
🍏 Пришлем полезных материалов по теме ИБ в контейнерах
Если интересно — присоединяйтесь, будем рады видеть.
Регистрация
Всем привет!
Хотим мы того или нет, но compliance – неотъемлемая часть ИБ. Например, PCI DSS. И, рано или поздно (для тех, кто имеет отношение к индустрии платежных карт) встанет вопрос – а что делать с требованиями в контейнерных средах?
В статье дается несколько рекомендаций относительно того, как именно можно использовать штатные и не очень возможности для повышения уровня ИБ и выполнении требований стандарта.
Например:
🍭 Firewall configuration. Использование CNI, поддерживающего реализацию Network Policy (подробнее об этом можно почитать тут и тут)
🍭 Encryption of transmission over public networks. Использование Cert-manager для управления X.509 сертификатами
🍭 Use of antivirus software (proactive security). Комбинированный подход с использованием Security Context, Falco и OPA для ограничения потенциальных возможностей контейнера и/или идентификации некорректных действий
🍭 Regularly test security systems and processes. Использование подписи образов на базе Notary совместно сда-да опять оно OPA для контроля запуска только дозволенных в качестве реализации “change detection”
Больше советов и деталей можно найти в статье. Главное помнить, что это не детальный «how to», а скорее размышления на тему, да и реализация compliance-требований в мире ИБ во многом наука творческая ☺️
Хотим мы того или нет, но compliance – неотъемлемая часть ИБ. Например, PCI DSS. И, рано или поздно (для тех, кто имеет отношение к индустрии платежных карт) встанет вопрос – а что делать с требованиями в контейнерных средах?
В статье дается несколько рекомендаций относительно того, как именно можно использовать штатные и не очень возможности для повышения уровня ИБ и выполнении требований стандарта.
Например:
🍭 Firewall configuration. Использование CNI, поддерживающего реализацию Network Policy (подробнее об этом можно почитать тут и тут)
🍭 Encryption of transmission over public networks. Использование Cert-manager для управления X.509 сертификатами
🍭 Use of antivirus software (proactive security). Комбинированный подход с использованием Security Context, Falco и OPA для ограничения потенциальных возможностей контейнера и/или идентификации некорректных действий
🍭 Regularly test security systems and processes. Использование подписи образов на базе Notary совместно с
Больше советов и деталей можно найти в статье. Главное помнить, что это не детальный «how to», а скорее размышления на тему, да и реализация compliance-требований в мире ИБ во многом наука творческая ☺️
elastisys
PCI DSS compliance in Kubernetes-based platforms - elastisys
Kubernetes alone does not help achieve PCI DSS compliance. We cover the 12 requirements of how fintech businesses can make it more compliant.
Привет!
По ссылке доступна еще одна awesome-подборка, на этот раз посвященная плагинам для kubectl!
Плагины структурированы по логическим направлениям: RBAC, Linting, Debugging, Networking, Security, Exec и т.д.
Примеры того, что можно найти:
🍭 kubectl-who-can // RBAC – утилита, позволяющая понять полномочия по отношению к сущности Kubernetes
🍭 kubectl-neat // Linting – утилита, упрощающая восприятие JSON/YAML вывода, путем «устранения лишней» информации
🍭 kubectl-debug // Debug – запускает контейнер внутри целевого pod для выполнения debugging
🍭 ksniff // Networking – sniffing трафика с использованием wireshark и tcpdump
🍭 kubectl-kubesec // Security – анализ запущенных требований на соответствие требованиям ИБ
🍭 kubectl-enter // Exec – exec на node с использованием kubectl
И многое другое! Надеемся, что каждый найдет что-то интересное/подходящее для себя ☺️
По ссылке доступна еще одна awesome-подборка, на этот раз посвященная плагинам для kubectl!
Плагины структурированы по логическим направлениям: RBAC, Linting, Debugging, Networking, Security, Exec и т.д.
Примеры того, что можно найти:
🍭 kubectl-who-can // RBAC – утилита, позволяющая понять полномочия по отношению к сущности Kubernetes
🍭 kubectl-neat // Linting – утилита, упрощающая восприятие JSON/YAML вывода, путем «устранения лишней» информации
🍭 kubectl-debug // Debug – запускает контейнер внутри целевого pod для выполнения debugging
🍭 ksniff // Networking – sniffing трафика с использованием wireshark и tcpdump
🍭 kubectl-kubesec // Security – анализ запущенных требований на соответствие требованиям ИБ
🍭 kubectl-enter // Exec – exec на node с использованием kubectl
И многое другое! Надеемся, что каждый найдет что-то интересное/подходящее для себя ☺️
GitHub
GitHub - ishantanu/awesome-kubectl-plugins: Curated list of kubectl plugins
Curated list of kubectl plugins. Contribute to ishantanu/awesome-kubectl-plugins development by creating an account on GitHub.
Всем привет!
По ссылке доступно небольшое, но интересное руководство, которое позволит познакомиться с Falco - инструментом обеспечения runtime защиты для контейнеров.
Рассматриваются такие вопросы, как:
🍭 Установка Falco при помощи Helm
🍭 Идентификация «Terminal Shell in Container»
🍭 Идентификация «Contact Kubernetes API Server From Container»
🍭 Идентификация «Checking if shell is a container environment»
Для каждой вредоносной активности приводится пример ее реализации, а также правило Falco, которое позволяет ее идентифицировать.
По ссылке доступно небольшое, но интересное руководство, которое позволит познакомиться с Falco - инструментом обеспечения runtime защиты для контейнеров.
Рассматриваются такие вопросы, как:
🍭 Установка Falco при помощи Helm
🍭 Идентификация «Terminal Shell in Container»
🍭 Идентификация «Contact Kubernetes API Server From Container»
🍭 Идентификация «Checking if shell is a container environment»
Для каждой вредоносной активности приводится пример ее реализации, а также правило Falco, которое позволяет ее идентифицировать.
Falco
An Introduction to Kubernetes Security using Falco
A quick introduction to Kubernetes security monitoring using Falco
Всем привет!
Еще один занятный пример того, как можно объединять Dev, Sec и Ops миры! Что будет, если взять CIS Benchmarks, Inspec (Sec-часть), Ansible (Ops-часть) и Allure (Dev-часть)?
Получится отличный инструмент визуализации текущего состояния hardening элементов ИТ-инфраструктуры по требованиям ИБ
По ссылке доступен проект, автор которого:
🍭 Взял наработки с https://dev-sec.io/
🍭 Добавил образ, который реализует Inspec проверки
🍭 Перенаправил результаты в Allure
Получился наглядный инструмент представления информации о реализованных настройках, позволяющий реализовывать, в том числе, trend-analysis.
А если захочется автоматизировать устранение идентифицированных недостатков при помощи Inspec – всегда можно обратиться к Ansible, материалы которого представлены на все том же https://dev-sec.io ☺️
Еще один занятный пример того, как можно объединять Dev, Sec и Ops миры! Что будет, если взять CIS Benchmarks, Inspec (Sec-часть), Ansible (Ops-часть) и Allure (Dev-часть)?
Получится отличный инструмент визуализации текущего состояния hardening элементов ИТ-инфраструктуры по требованиям ИБ
По ссылке доступен проект, автор которого:
🍭 Взял наработки с https://dev-sec.io/
🍭 Добавил образ, который реализует Inspec проверки
🍭 Перенаправил результаты в Allure
Получился наглядный инструмент представления информации о реализованных настройках, позволяющий реализовывать, в том числе, trend-analysis.
А если захочется автоматизировать устранение идентифицированных недостатков при помощи Inspec – всегда можно обратиться к Ansible, материалы которого представлены на все том же https://dev-sec.io ☺️
GitHub
GitHub - presidenten/cis-benchmark-allure-reporter: Convert dev-sec.io CIS benchmarks to Allure reports
Convert dev-sec.io CIS benchmarks to Allure reports - GitHub - presidenten/cis-benchmark-allure-reporter: Convert dev-sec.io CIS benchmarks to Allure reports
Привет!
CNCF подготовил отличный материал по обеспечению ИБ в supply chain - Software Supply Chain Best Practices!
В прилагаемой статье рассмотрены 5 областей, на которые стоит обратить внимание:
🍭 Securing the Source Code //Доступы к SCM, создание ролевых моделей, branching, тестирование исходного кода
🍭 Securing the Materials //Использование SCA, формирование SBOM, отслеживание и управление зависимостями, управление trusted package managers и repositories
🍭 Securing the Build Pipelines //Безопасность build workers, максимальная стандартизация pipeline между проектами, реализация принципа pipeline as code
🍭 Securing the Artefacts //Подпись артефактов, защита используемых registry, использование криптографии (если/где необходимо)
🍭 Securing Deployments //Контроль целостности используемых артефактов, контроль актуальности артефактов
Материал получился обширный (45 страниц) и интересный. В статье есть как и общие рекомендации («Важно выстроить процесс управления доступом с соблюдением принципа least privilege»), так и вполне конкретные («Реализуйте commit sign»). Крайне рекомендуем к прочтению!
CNCF подготовил отличный материал по обеспечению ИБ в supply chain - Software Supply Chain Best Practices!
В прилагаемой статье рассмотрены 5 областей, на которые стоит обратить внимание:
🍭 Securing the Source Code //Доступы к SCM, создание ролевых моделей, branching, тестирование исходного кода
🍭 Securing the Materials //Использование SCA, формирование SBOM, отслеживание и управление зависимостями, управление trusted package managers и repositories
🍭 Securing the Build Pipelines //Безопасность build workers, максимальная стандартизация pipeline между проектами, реализация принципа pipeline as code
🍭 Securing the Artefacts //Подпись артефактов, защита используемых registry, использование криптографии (если/где необходимо)
🍭 Securing Deployments //Контроль целостности используемых артефактов, контроль актуальности артефактов
Материал получился обширный (45 страниц) и интересный. В статье есть как и общие рекомендации («Важно выстроить процесс управления доступом с соблюдением принципа least privilege»), так и вполне конкретные («Реализуйте commit sign»). Крайне рекомендуем к прочтению!
GitHub
tag-security/supply-chain-security/supply-chain-security-paper/CNCF_SSCP_v1.pdf at main · cncf/tag-security
🔐CNCF Security Technical Advisory Group -- secure access, policy control, privacy, auditing, explainability and more! - cncf/tag-security
Всем утра!
В конце апреля вышла новая версия container security комбайна Prisma Cloud Compute Edition.
Из крупного:
🍏 Palo Alto добавили интеграцию со своим движком Wildfire для онлайн-проверки вредоносов;
🍏 значительно расширили функционал встроенного WAF — теперь есть интеграция с reCAPTCHA, возможность защиты API и написание собственных правил;
🍏 добавили маппинг событий безопасности на атаки из матрицы MITRE ATT&CK и отображение их на новом дэшборде.
Помимо этого, добавили кастомизацию встроенных ролей, поддержку языка Go для скана репозиториев, заменили шрифты в интерфейсе и многое другое.
Подробности по ссылке.
В конце апреля вышла новая версия container security комбайна Prisma Cloud Compute Edition.
Из крупного:
🍏 Palo Alto добавили интеграцию со своим движком Wildfire для онлайн-проверки вредоносов;
🍏 значительно расширили функционал встроенного WAF — теперь есть интеграция с reCAPTCHA, возможность защиты API и написание собственных правил;
🍏 добавили маппинг событий безопасности на атаки из матрицы MITRE ATT&CK и отображение их на новом дэшборде.
Помимо этого, добавили кастомизацию встроенных ролей, поддержку языка Go для скана репозиториев, заменили шрифты в интерфейсе и многое другое.
Подробности по ссылке.
Всем привет!
Достаточно провокационный заголовок под названием47 ронинов «47 Things To Become a Kubernetes Expert» содержит в себе интересную статью, в которой кратко собрана информация об:
🍭 API
🍭 Implementing controllers
🍭 Components and their collaborations
🍭 Resources
🍭 Networking
🍭 Monitoring
🍭 Access control
Каждый «домен» содержит перечень вопросов и небольшие, но емкие, ответы на них, а иногда и ссылки "на почитать". А что бы вы добавили/убрали из этого списка?
Достаточно провокационный заголовок под названием
🍭 API
🍭 Implementing controllers
🍭 Components and their collaborations
🍭 Resources
🍭 Networking
🍭 Monitoring
🍭 Access control
Каждый «домен» содержит перечень вопросов и небольшие, но емкие, ответы на них, а иногда и ссылки "на почитать". А что бы вы добавили/убрали из этого списка?
Blog of @ymmt2005
47 Things To Become a Kubernetes Expert - Blog of @ymmt2005
I've been leading a project team for 3 years and have developed a large system around Kubernetes. In this article, I'd like to share my knowledge and findings o…
Всем привет!
Буквально на днях появился очередной Awesome! На этот раз посвященный тематике SCA. Скоро надо будет делать Awesome на Awesome’ы (хотя, такой, вероятно, уже есть).
Все достаточно стандартно:
🍭 Статьи и книги для «почитать»
🍭 Немного курсов по тематике (free/paid)
🍭 Информация об инструментах (open source/enterprise)
Надеемся, что repo будет развиваться (появился он совсем-совсем недавно) и материалов будет больше, т.к. тема supply chain attacks достаточно актуальна в последнее время
Буквально на днях появился очередной Awesome! На этот раз посвященный тематике SCA. Скоро надо будет делать Awesome на Awesome’ы (хотя, такой, вероятно, уже есть).
Все достаточно стандартно:
🍭 Статьи и книги для «почитать»
🍭 Немного курсов по тематике (free/paid)
🍭 Информация об инструментах (open source/enterprise)
Надеемся, что repo будет развиваться (появился он совсем-совсем недавно) и материалов будет больше, т.к. тема supply chain attacks достаточно актуальна в последнее время
GitHub
GitHub - hysnsec/awesome-sca: A curated list of Software Component Analysis (SCA) books, courses - free and paid, videos, tools…
A curated list of Software Component Analysis (SCA) books, courses - free and paid, videos, tools, and tutorials. - hysnsec/awesome-sca
Привет!
По ссылке можно найти полезную утилиту - Outdated, которая позволит идентифицировать устаревшие версии образов контейнеров.
Работает она достаточно просто:
🍭 «Пробегает» по namespaces и pods, которые в них размещены
🍭 Для каждого pod собирается информация об image (включая image init-container’ов)
🍭 После происходит «чистка» полученного перечня за счет устранения дубликатов образов
🍭 Утилита собирает данные об image tags в registry
🍭 Сообщает о расхождениях в версиях
Установка достаточно простая, требуется krew. Отдельно хочется отметить semver – подход к наименованию версий образов. Если Вы еще не решили, как это делать у себя, то semver может стать отличной отправной точкой! ☺️
По ссылке можно найти полезную утилиту - Outdated, которая позволит идентифицировать устаревшие версии образов контейнеров.
Работает она достаточно просто:
🍭 «Пробегает» по namespaces и pods, которые в них размещены
🍭 Для каждого pod собирается информация об image (включая image init-container’ов)
🍭 После происходит «чистка» полученного перечня за счет устранения дубликатов образов
🍭 Утилита собирает данные об image tags в registry
🍭 Сообщает о расхождениях в версиях
Установка достаточно простая, требуется krew. Отдельно хочется отметить semver – подход к наименованию версий образов. Если Вы еще не решили, как это делать у себя, то semver может стать отличной отправной точкой! ☺️
GitHub
GitHub - replicatedhq/outdated: Kubectl plugin to find and report outdated images running in a Kubernetes cluster
Kubectl plugin to find and report outdated images running in a Kubernetes cluster - replicatedhq/outdated
Привет!
Если вам интересно тестирование на проникновение (в частности – web приложения), но вы не знали с чего начать, то этот материал сможет помочь!
Ребята из PortSwigger не только подготовили лабораторные работы, но и сделали собственный Learning Path – как на их взгляд лучше всего погружаться в тему.
Рассматриваются такие вещи как:
🍭 Server side topics (SQL injection, Authorization, Directory Traversal…)
🍭 Client side topics (XSS, CSRF, WebSockets…)
🍭 Advanced topics (Insecured deserealiztion, HTTP request smuggling, OAuth authentication…)
Для каждого раздела приводится текстовое описание, немного виде-материалов и, конечно же, лабораторные работы! Все «приправлено» небольшой геймификацией, чтобы было еще интереснее проходить секции и учиться ☺️
Если вам интересно тестирование на проникновение (в частности – web приложения), но вы не знали с чего начать, то этот материал сможет помочь!
Ребята из PortSwigger не только подготовили лабораторные работы, но и сделали собственный Learning Path – как на их взгляд лучше всего погружаться в тему.
Рассматриваются такие вещи как:
🍭 Server side topics (SQL injection, Authorization, Directory Traversal…)
🍭 Client side topics (XSS, CSRF, WebSockets…)
🍭 Advanced topics (Insecured deserealiztion, HTTP request smuggling, OAuth authentication…)
Для каждого раздела приводится текстовое описание, немного виде-материалов и, конечно же, лабораторные работы! Все «приправлено» небольшой геймификацией, чтобы было еще интереснее проходить секции и учиться ☺️
portswigger.net
All Web Security Academy topics | Web Security Academy
An overview of all topics, from beginner to expert level, through the Web Security Academy - brought to you by PortSwigger. Create an account to get started.