Привет!
По ссылке можно ознакомиться с инструментом KubeStriker, который позволяет анализировать дефекты ИБ кластера контейнеризации, связанные с misconfiguration.
Его можно использовать для self-hosted кластеров, а также для облачных версий – AWS, GKE, Azure AKS.
Примеры возможностей решения, согласно документации:
🍭 Идентификация большого количества нарушений в IAM
🍭 Возможность анализа некоторых Network Policy
🍭 Запуск команд внутри контейнера и отображение обратной связи
🍭 Возможность генерации отчетности по результатам работы
Решение обладает web-интерфейсом, позволяющим упростить восприятие результатов анализа, его можно встроить в CI/CD-конвейер. С идеями развития продукта можно ознакомиться в roadmap
По ссылке можно ознакомиться с инструментом KubeStriker, который позволяет анализировать дефекты ИБ кластера контейнеризации, связанные с misconfiguration.
Его можно использовать для self-hosted кластеров, а также для облачных версий – AWS, GKE, Azure AKS.
Примеры возможностей решения, согласно документации:
🍭 Идентификация большого количества нарушений в IAM
🍭 Возможность анализа некоторых Network Policy
🍭 Запуск команд внутри контейнера и отображение обратной связи
🍭 Возможность генерации отчетности по результатам работы
Решение обладает web-интерфейсом, позволяющим упростить восприятие результатов анализа, его можно встроить в CI/CD-конвейер. С идеями развития продукта можно ознакомиться в roadmap
GitHub
GitHub - vchinnipilli/kubestriker: A Blazing fast Security Auditing tool for Kubernetes
A Blazing fast Security Auditing tool for Kubernetes - vchinnipilli/kubestriker
Всем привет!
По ссылке доступна крайне интересная подборка под названием «Modern-Unix». Все предельно просто – развитие идей существующих утилит/команд для оптимизации/ускорения/адаптации/повышения производительности/прочих грехов человечества!
Если немного подробней, то:
Сам repo – просто агрегатор, ссылки непосредственно на утилиты находятся внутри него. Некоторые утилиты больше похожи на «игрушки», а некоторые могут оказаться весьма полезными. Надеемся, что какая-то утилита придется вам по вкусу ☺️
P.S. На наш взгляд в подборке точно не хватило
По ссылке доступна крайне интересная подборка под названием «Modern-Unix». Все предельно просто – развитие идей существующих утилит/команд для оптимизации/ускорения/адаптации/повышения производительности/
🍭 bat. Почти как cat, только с подсветкой синтаксиса и возможностью интеграции с git🍭 lsd. Нет, не пропаганда. LSDeluxe – «продвинутая» версия ls, преимущественно с подсветкой и иконками🍭 delta. Наглядный diff, достаточно удобно🍭 jq. Без комментариев, просто «швейцарский нож» для JSON🍭 tldr. «Упрощенный» man с практическими примерами🍭 curlie. Смесь curl и HTTPie и многое другое!Сам repo – просто агрегатор, ссылки непосредственно на утилиты находятся внутри него. Некоторые утилиты больше похожи на «игрушки», а некоторые могут оказаться весьма полезными. Надеемся, что какая-то утилита придется вам по вкусу ☺️
P.S. На наш взгляд в подборке точно не хватило
yq (аналога jq для YAML), ознакомиться можно по ссылкеGitHub
GitHub - ibraheemdev/modern-unix: A collection of modern/faster/saner alternatives to common unix commands.
A collection of modern/faster/saner alternatives to common unix commands. - ibraheemdev/modern-unix
Всем привет!
Amazon подготовили небольшой цикл статей, посвященных Policy-as-Code решениям. В первой части можно ознакомиться с тем, что это такое, с базовыми принципами работы.
Далее авторы анализируют такие решения, как:
🍭 OPA/Classic
🍭 OPA/Gatekeeper
🍭 MagTape
🍭 k-rail (доступно во второй части статьи)
🍭 Kyverno (доступно во второй части статьи, про него мы еще писали отдельно)
Помимо краткого описания решений и возможности их использования в зависимости от предпочитаемого подхода (например, изучать REGO или использовать более Kubernetes-native подходы) в статье много примеров и ссылок на полезные статьи и материалы. В завершении автор приводит простую и удобную табличку, которой можно пользоваться при выборе оптимального инструмента
Amazon подготовили небольшой цикл статей, посвященных Policy-as-Code решениям. В первой части можно ознакомиться с тем, что это такое, с базовыми принципами работы.
Далее авторы анализируют такие решения, как:
🍭 OPA/Classic
🍭 OPA/Gatekeeper
🍭 MagTape
🍭 k-rail (доступно во второй части статьи)
🍭 Kyverno (доступно во второй части статьи, про него мы еще писали отдельно)
Помимо краткого описания решений и возможности их использования в зависимости от предпочитаемого подхода (например, изучать REGO или использовать более Kubernetes-native подходы) в статье много примеров и ссылок на полезные статьи и материалы. В завершении автор приводит простую и удобную табличку, которой можно пользоваться при выборе оптимального инструмента
Amazon
Policy-based countermeasures for Kubernetes – Part 1 | Amazon Web Services
Choosing the right policy-as-code solution This is Part 1 in a two part series where we discuss policy-as-code solutions. As more organizations adopt containerization as a delivery strategy, the need for automated security, compliance, and privacy controls…
Привет!
Falco в большей степени известен тем, что помогает реализовывать runtime защиту в кластерах контейнерной оркестрации. Однако, его функционал можно использовать, в том числе для анализа логов Kubernetes с целью идентификации инцидентов.
По ссылке приведен пример, в котором демонстрируется:
🍭 Настройка логирования Kubernetes для перенаправления логов в Falco
🍭 Использование Falcosidekick, который расширяет перечень возможных output для alerting (по умолчанию доступно только 5)
🍭 «Включение» логирования в Kubernetes при помощи AuditPolicy
🍭 Отображение информации в web-интерфейсе Falcosidekick
Все просто, понятно, доступно и с примерами!
Falco в большей степени известен тем, что помогает реализовывать runtime защиту в кластерах контейнерной оркестрации. Однако, его функционал можно использовать, в том числе для анализа логов Kubernetes с целью идентификации инцидентов.
По ссылке приведен пример, в котором демонстрируется:
🍭 Настройка логирования Kubernetes для перенаправления логов в Falco
🍭 Использование Falcosidekick, который расширяет перечень возможных output для alerting (по умолчанию доступно только 5)
🍭 «Включение» логирования в Kubernetes при помощи AuditPolicy
🍭 Отображение информации в web-интерфейсе Falcosidekick
Все просто, понятно, доступно и с примерами!
GitHub
GitHub - developer-guy/falco-analyze-audit-log-from-k3s-cluster: Detect intrusions that happened in your Kubernetes cluster through…
Detect intrusions that happened in your Kubernetes cluster through audit logs using Falco - GitHub - developer-guy/falco-analyze-audit-log-from-k3s-cluster: Detect intrusions that happened in your...
Всем привет!
Если Вам нравятся тестовые приложения, позволяющие собственными руками проэксплуатировать уязвимости (DVWA, DVNA, KubeGoat, JuiceShop и т.д.), то вам понравится и это – InjuredAndroid!
Да, это заведомо уязвимое мобильное приложение, доступное для образовательных целей. Можно поискать такие флаги как:
🍭 Login
🍭 Exported Activity
🍭 Exported Broadcast Receiver
🍭 SQLite и другие
А если возникнут сложности, то можно обратиться к статье, где автор делает walkthrough и рассказывает про то, как можно эксплуатировать уязвимости ☺️
Если Вам нравятся тестовые приложения, позволяющие собственными руками проэксплуатировать уязвимости (DVWA, DVNA, KubeGoat, JuiceShop и т.д.), то вам понравится и это – InjuredAndroid!
Да, это заведомо уязвимое мобильное приложение, доступное для образовательных целей. Можно поискать такие флаги как:
🍭 Login
🍭 Exported Activity
🍭 Exported Broadcast Receiver
🍭 SQLite и другие
А если возникнут сложности, то можно обратиться к статье, где автор делает walkthrough и рассказывает про то, как можно эксплуатировать уязвимости ☺️
GitHub
GitHub - B3nac/InjuredAndroid: A vulnerable Android application that shows simple examples of vulnerabilities in a ctf style.
A vulnerable Android application that shows simple examples of vulnerabilities in a ctf style. - B3nac/InjuredAndroid
Всем привет!
Утилита Sealed Secrets от Bitnami Labs
предназначена для шифрования секретов Kubernetes.
Зачем?
Основное назначение - это безопасное хранение секретов, используемых в кластере, на уровне Git.
Например, если вы используете ArgoCD для реализации GitOps и в Git-е храните secret.yaml в «голом» виде, то эта утилита может вам пригодиться, чтобы этого избежать.
Из чего состоит?
🍡Контроллер/оператор
🍡Утилита kubeseal
Как работает?
Kubeseal шифрует секрет с использованием асимметричного шифрования. Расшифровать этот секрет может только контроллер, развёрнутый в кластере.
Зашифрованный секрет представляет собой объект Kubernetes с kind: SealedSecret.
Выглядит он примерно так:
И эту конфигурацию можно положить в Git вместо стандартного секрета.
Не без нюансов. SealedSecret связан с Secret, после прохождения процедуры usealing, в Kubernetes появляется стандартный Secret, поэтому защита секрета по факту реализуется только снаружи кластера, остальное решается стандартно - настройка RBAC в кластере.
Больше информации можно получить по ссылке: https://github.com/bitnami-labs/sealed-secrets
Утилита Sealed Secrets от Bitnami Labs
предназначена для шифрования секретов Kubernetes.
Зачем?
Основное назначение - это безопасное хранение секретов, используемых в кластере, на уровне Git.
Например, если вы используете ArgoCD для реализации GitOps и в Git-е храните secret.yaml в «голом» виде, то эта утилита может вам пригодиться, чтобы этого избежать.
Из чего состоит?
🍡Контроллер/оператор
🍡Утилита kubeseal
Как работает?
Kubeseal шифрует секрет с использованием асимметричного шифрования. Расшифровать этот секрет может только контроллер, развёрнутый в кластере.
Зашифрованный секрет представляет собой объект Kubernetes с kind: SealedSecret.
Выглядит он примерно так:
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
name: mysecret
namespace: mynamespace
spec:
encryptedData:
foo: AgBy3i4O...И эту конфигурацию можно положить в Git вместо стандартного секрета.
Не без нюансов. SealedSecret связан с Secret, после прохождения процедуры usealing, в Kubernetes появляется стандартный Secret, поэтому защита секрета по факту реализуется только снаружи кластера, остальное решается стандартно - настройка RBAC в кластере.
Больше информации можно получить по ссылке: https://github.com/bitnami-labs/sealed-secrets
GitHub
GitHub - bitnami-labs/sealed-secrets: A Kubernetes controller and tool for one-way encrypted Secrets
A Kubernetes controller and tool for one-way encrypted Secrets - bitnami-labs/sealed-secrets
Всем привет!
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта(маркетинг?), созданная Open AI.
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
GitHub
GitHub Copilot · Your AI pair programmer
GitHub Copilot works alongside you directly in your editor, suggesting whole lines or entire functions for you.
Привет!
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
GitHub
GitHub - ossf/scorecard: OpenSSF Scorecard - Security health metrics for Open Source
OpenSSF Scorecard - Security health metrics for Open Source - ossf/scorecard
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Всем привет!
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
AquaSecurity_Cloud_Native_Threat_Report_2021.pdf
7.5 MB
UPD. Актуальная версия отчета за 2021 год, в предыдущем посте была версия 2020. Спасибо, Денису)
Привет!
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
Anchore_2021_Software_Supply_Chain_Security_Survey_Report_FINAL.pdf
3.9 MB
Привет!
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Всем привет!
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
The New Stack
Open Policy Agent: The Top 5 Kubernetes Admission Control Policies
Without the right policies in place, the extensive power of Kuberentes can result in consequences that are as grand as the designs.
Всем привет!
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок(да, чтобы понять рекурсию надо понять рекурсию). «Проблема» таких awesome, как правило, заключается в том, что они перечисляют инструменты не всегда предоставляя их обзор, пусть и минималистичный.
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Medium
Kubernetes Essential Tools: 2021
Review of the best tools for Kubernetes
Привет!
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
GitHub
GitHub - appvia/krane: Kubernetes RBAC static analysis & visualisation tool
Kubernetes RBAC static analysis & visualisation tool - appvia/krane
Всем привет!
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
ebpf.io
eBPF Summit 2021
Register now for the eBPF Summit 2021, Aug 18-19, 2021, a free virtual event for DevOps, SRE, SecOps, and developers.
Всем привет!
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
GitHub
GitHub - deepfence/ThreatMapper: Open Source Cloud Native Application Protection Platform (CNAPP)
Open Source Cloud Native Application Protection Platform (CNAPP) - deepfence/ThreatMapper
Всех с пятницей!!!
Kubernetes-external-secrets – проект, основная задача которого состоит в извлечении секрета из стороннего хранилища и передачи его сущностям кластера в качестве Secret.
Состоит из двух частей:
🍭 ExternalSecret – CRD – описывает какие данные необходимо извлечь
🍭 Controller – «конвертирует» ExternalSecret в Secret K8S
На текущий момент поддерживаются следующие внешние хранилища: AWS Secrets Manager, AWS System Manager, Akeyless, Hashicorp Vault, Azure Key Vault, Google Secret Manager and Alibaba Cloud KMS Secret Manager.
P.S. Больше информации - архитектура, настройка, примеры использования и т.д. находится в самом repo
Kubernetes-external-secrets – проект, основная задача которого состоит в извлечении секрета из стороннего хранилища и передачи его сущностям кластера в качестве Secret.
Состоит из двух частей:
🍭 ExternalSecret – CRD – описывает какие данные необходимо извлечь
🍭 Controller – «конвертирует» ExternalSecret в Secret K8S
На текущий момент поддерживаются следующие внешние хранилища: AWS Secrets Manager, AWS System Manager, Akeyless, Hashicorp Vault, Azure Key Vault, Google Secret Manager and Alibaba Cloud KMS Secret Manager.
P.S. Больше информации - архитектура, настройка, примеры использования и т.д. находится в самом repo
GitHub
GitHub - external-secrets/kubernetes-external-secrets: Integrate external secret management systems with Kubernetes
Integrate external secret management systems with Kubernetes - external-secrets/kubernetes-external-secrets
Привет!
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
GitHub
GitHub - mhaskar/Bughound: Static code analysis tool based on Elasticsearch
Static code analysis tool based on Elasticsearch. Contribute to mhaskar/Bughound development by creating an account on GitHub.
Привет!
Управление RBAC не самая простая задача, а зачастую около-избыточная (например, когда требуется создавать несколько RoleBinding, которые практически ничем не отличаются).
Для того, чтобы упростить жизнь был разработан RBAC-manager.
Он переопределяет подход к созданию RBAC через дополнительную сущность – RBACDefinition, которая описывает целевое (желаемое) состояние: «Instead of managing role bindings or service accounts directly, you can specify a desired state and RBAC Manager will make the necessary changes to achieve that state».
RBAC-manager может быть полезен в таких случаях как:
🍭 Обновление прав: не надо удалять/создавать новый RoleBinding, необходимо только обновить RBACDefinition и утилита сделает все остальное
🍭 Удаление RoleBinding: аналогично, необходимо лишь удалить интересующую сущность из RBACDefinition
🍭 И что очень приятно - можно задавать права доступа к нескольким namespace в едином конфигурационном файле
С документацией можно ознакомиться по ссылке. Также можно быстро "познакомиться" с решением и пользой от него в небольшом примере.
Управление RBAC не самая простая задача, а зачастую около-избыточная (например, когда требуется создавать несколько RoleBinding, которые практически ничем не отличаются).
Для того, чтобы упростить жизнь был разработан RBAC-manager.
Он переопределяет подход к созданию RBAC через дополнительную сущность – RBACDefinition, которая описывает целевое (желаемое) состояние: «Instead of managing role bindings or service accounts directly, you can specify a desired state and RBAC Manager will make the necessary changes to achieve that state».
RBAC-manager может быть полезен в таких случаях как:
🍭 Обновление прав: не надо удалять/создавать новый RoleBinding, необходимо только обновить RBACDefinition и утилита сделает все остальное
🍭 Удаление RoleBinding: аналогично, необходимо лишь удалить интересующую сущность из RBACDefinition
🍭 И что очень приятно - можно задавать права доступа к нескольким namespace в едином конфигурационном файле
С документацией можно ознакомиться по ссылке. Также можно быстро "познакомиться" с решением и пользой от него в небольшом примере.
GitHub
GitHub - FairwindsOps/rbac-manager: A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts.
A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts. - FairwindsOps/rbac-manager
Приглашаем на цикл вебинаров DevSecOps, 2-й сезон!
Уже в этот четверг стартует 2-й сезон вебинаров DevSecOps для всех интересующихся. Наша команда Jet DevSecOps Team, включающая спецов по разработке, эксплуатации и безопасности поделится «боевыми» примерами и лайфхаками, полученными в реальных проектах: от мониторинга k8s и организации конвейера GitOps до резервного копирования в Kubernetes и управления «секретами».
На всех вебинарах будет live demo решений! Как всегда вас ждут минимум слайдов, максимум хардкора и полное погружение.
Участие будет интересно DevOps инженерам, разработчикам, ИТ и ИБ специалистам, ИТ-менеджменту.
Расписание вебинаров:
🔹 22 июля, 16:00–17:30 Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
🔹 29 июля, 16:00–17:30 Зачем GitOps в Enterprise
🔹 5 августа, 16:00–17:30 Управление «секретами»: основы
🔹 12 августа, 16:00–17:30 Persistent данные и резервное копирование в кластере
Регистрируйтесь и зовите друзей)
Уже в этот четверг стартует 2-й сезон вебинаров DevSecOps для всех интересующихся. Наша команда Jet DevSecOps Team, включающая спецов по разработке, эксплуатации и безопасности поделится «боевыми» примерами и лайфхаками, полученными в реальных проектах: от мониторинга k8s и организации конвейера GitOps до резервного копирования в Kubernetes и управления «секретами».
На всех вебинарах будет live demo решений! Как всегда вас ждут минимум слайдов, максимум хардкора и полное погружение.
Участие будет интересно DevOps инженерам, разработчикам, ИТ и ИБ специалистам, ИТ-менеджменту.
Расписание вебинаров:
🔹 22 июля, 16:00–17:30 Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
🔹 29 июля, 16:00–17:30 Зачем GitOps в Enterprise
🔹 5 августа, 16:00–17:30 Управление «секретами»: основы
🔹 12 августа, 16:00–17:30 Persistent данные и резервное копирование в кластере
Регистрируйтесь и зовите друзей)