SNYK_CNAS.pdf
8.9 MB
Всем привет!
В приложении новая книга от Guy Podjarny (одного из сооснователей SNYK), посвященная вопросам обеспечения ИБ для Cloud Native приложений.
Книга состоит из 4-х разделов:
🍭 Digital Transformation. Размышления автора на тему изменения компаний, развитию тезиса «every company is a software company»
🍭 Dev-First Security. Раздел о взаимодействии между разработчиками и ИБ-специалистами
🍭 Securing the Entire Cloud Native App. Об изменении в подходах и способах защиты, характерных для Cloud Native
🍭 Adapting to Dev-First CNAS. Мысли о том, как стоит изменить org structure, tooling и priorities для создания адекватной программы защиты
В приложении новая книга от Guy Podjarny (одного из сооснователей SNYK), посвященная вопросам обеспечения ИБ для Cloud Native приложений.
Книга состоит из 4-х разделов:
🍭 Digital Transformation. Размышления автора на тему изменения компаний, развитию тезиса «every company is a software company»
🍭 Dev-First Security. Раздел о взаимодействии между разработчиками и ИБ-специалистами
🍭 Securing the Entire Cloud Native App. Об изменении в подходах и способах защиты, характерных для Cloud Native
🍭 Adapting to Dev-First CNAS. Мысли о том, как стоит изменить org structure, tooling и priorities для создания адекватной программы защиты
Всем привет!
Ещё один аспект ИБ, на который стоит обратить внимание. В статье от CyberArk приводится подробное описание нюансов, связанных с kubelet, которые могут повлиять на его безопасность.
Немного о kubelet:
Это агент - элемент кластера, который запускается на каждой ноде и используется для решения определенных задач, к которым относятся регистрация ноды в кластере, создание подов или взаимодействие с API-сервером для получения инструкций.
Глобально проблематика сводится к 2-м ключевым моментам:
🍡Дефолтная конфигурация Kubernetes-кластера запускает kubelet с параметром, разрешающим анонимный доступ к kubelet API. Это значит, что при получении доступа к сети, в которой расположена нода кластера, можно без авторизации выполнять API запросы к kubelet, установленном на ней.
🍡Kubelet имеет недокументированный API. Чтобы в этом убедиться, авторы статьи изучили сайт с документаций Kubernetes и просмотрели его исходный код. Смысл в том, что это недокументированное API позволяет выполнять прямые операции с подами (контейнерами) на нодах, такие как запуск конкретных команд в контейнере и т. д.
Для простоты и удобства использования CyberArk разработал утилиту, которая называется kubeletctl. Она упрощает работу с kubelet API и поддерживает отправку всех возможных запросов. Авторы статьи приводят пошаговое описание с использованием инструмента от сканирования сети до получения конкретных результатов (кстати, результаты в консоли отображаются в очень удобном формате), а также описывают рекомендации по настройке kubelet.
Использование этой утилиты будет полезно как разработчикам, так и специалистам по ИБ, как минимум, для выявления описанной проблемы. Утилиту можно скачать отсюда: https://github.com/cyberark/kubeletctl
Ещё один аспект ИБ, на который стоит обратить внимание. В статье от CyberArk приводится подробное описание нюансов, связанных с kubelet, которые могут повлиять на его безопасность.
Немного о kubelet:
Это агент - элемент кластера, который запускается на каждой ноде и используется для решения определенных задач, к которым относятся регистрация ноды в кластере, создание подов или взаимодействие с API-сервером для получения инструкций.
Глобально проблематика сводится к 2-м ключевым моментам:
🍡Дефолтная конфигурация Kubernetes-кластера запускает kubelet с параметром, разрешающим анонимный доступ к kubelet API. Это значит, что при получении доступа к сети, в которой расположена нода кластера, можно без авторизации выполнять API запросы к kubelet, установленном на ней.
🍡Kubelet имеет недокументированный API. Чтобы в этом убедиться, авторы статьи изучили сайт с документаций Kubernetes и просмотрели его исходный код. Смысл в том, что это недокументированное API позволяет выполнять прямые операции с подами (контейнерами) на нодах, такие как запуск конкретных команд в контейнере и т. д.
Для простоты и удобства использования CyberArk разработал утилиту, которая называется kubeletctl. Она упрощает работу с kubelet API и поддерживает отправку всех возможных запросов. Авторы статьи приводят пошаговое описание с использованием инструмента от сканирования сети до получения конкретных результатов (кстати, результаты в консоли отображаются в очень удобном формате), а также описывают рекомендации по настройке kubelet.
Использование этой утилиты будет полезно как разработчикам, так и специалистам по ИБ, как минимум, для выявления описанной проблемы. Утилиту можно скачать отсюда: https://github.com/cyberark/kubeletctl
Cyberark
Using Kubelet Client to Attack the Kubernetes Cluster
In this blog post, we are going to look at the Kubernetes agent, kubelet (see Figure 1), which is responsible for the creation of the containers inside the nodes and show how it can be...
Всем привет!
Существует множество holywar и рассуждений на тему компетенций – что должен уметь «современный InfoSec» или что он должен понимать с точки зрения техники? Рассматривается не DevOps, а «в общем», хотя многие темы применимы и в нашей любимой тематике.
В статье автор собрал собственное представления ответа на этот вопрос. Получилось 50 пунктов (все они посвящены технике, compliance/regulatory/methodology вопросы не рассматриваются), например:
🍭 Умение «читать» CVE, понимать, что значат «коды» и оценки
🍭 Основы работы с HTTP (например, отправлять запросы), понимание заголовков
🍭 Использование API (например, через curl), как извлекать данные и что такое jq
🍭 Базовое использование nmap
🍭 Разбираться в Unix permission model и многое другое
Особенно удобно то, что в подборке есть ссылки на множество материалов, с которыми можно ознакомиться для «прокачки» навыка, который вас заинтересовал.
А согласны ли Вы с таким списком? Или он неполный/избыточный/чересчур/иное?..
Существует множество holywar и рассуждений на тему компетенций – что должен уметь «современный InfoSec» или что он должен понимать с точки зрения техники? Рассматривается не DevOps, а «в общем», хотя многие темы применимы и в нашей любимой тематике.
В статье автор собрал собственное представления ответа на этот вопрос. Получилось 50 пунктов (все они посвящены технике, compliance/regulatory/methodology вопросы не рассматриваются), например:
🍭 Умение «читать» CVE, понимать, что значат «коды» и оценки
🍭 Основы работы с HTTP (например, отправлять запросы), понимание заголовков
🍭 Использование API (например, через curl), как извлекать данные и что такое jq
🍭 Базовое использование nmap
🍭 Разбираться в Unix permission model и многое другое
Особенно удобно то, что в подборке есть ссылки на множество материалов, с которыми можно ознакомиться для «прокачки» навыка, который вас заинтересовал.
А согласны ли Вы с таким списком? Или он неполный/избыточный/чересчур/иное?..
www.netmeister.org
(Technical) Infosec Core Competencies
An
incomplete list of (technical) things just about anybody working
in Information Security would benefit from knowing.
incomplete list of (technical) things just about anybody working
in Information Security would benefit from knowing.
Привет!
По ссылке можно ознакомиться с инструментом KubeStriker, который позволяет анализировать дефекты ИБ кластера контейнеризации, связанные с misconfiguration.
Его можно использовать для self-hosted кластеров, а также для облачных версий – AWS, GKE, Azure AKS.
Примеры возможностей решения, согласно документации:
🍭 Идентификация большого количества нарушений в IAM
🍭 Возможность анализа некоторых Network Policy
🍭 Запуск команд внутри контейнера и отображение обратной связи
🍭 Возможность генерации отчетности по результатам работы
Решение обладает web-интерфейсом, позволяющим упростить восприятие результатов анализа, его можно встроить в CI/CD-конвейер. С идеями развития продукта можно ознакомиться в roadmap
По ссылке можно ознакомиться с инструментом KubeStriker, который позволяет анализировать дефекты ИБ кластера контейнеризации, связанные с misconfiguration.
Его можно использовать для self-hosted кластеров, а также для облачных версий – AWS, GKE, Azure AKS.
Примеры возможностей решения, согласно документации:
🍭 Идентификация большого количества нарушений в IAM
🍭 Возможность анализа некоторых Network Policy
🍭 Запуск команд внутри контейнера и отображение обратной связи
🍭 Возможность генерации отчетности по результатам работы
Решение обладает web-интерфейсом, позволяющим упростить восприятие результатов анализа, его можно встроить в CI/CD-конвейер. С идеями развития продукта можно ознакомиться в roadmap
GitHub
GitHub - vchinnipilli/kubestriker: A Blazing fast Security Auditing tool for Kubernetes
A Blazing fast Security Auditing tool for Kubernetes - GitHub - vchinnipilli/kubestriker: A Blazing fast Security Auditing tool for Kubernetes
Всем привет!
По ссылке доступна крайне интересная подборка под названием «Modern-Unix». Все предельно просто – развитие идей существующих утилит/команд для оптимизации/ускорения/адаптации/повышения производительности/прочих грехов человечества!
Если немного подробней, то:
Сам repo – просто агрегатор, ссылки непосредственно на утилиты находятся внутри него. Некоторые утилиты больше похожи на «игрушки», а некоторые могут оказаться весьма полезными. Надеемся, что какая-то утилита придется вам по вкусу ☺️
P.S. На наш взгляд в подборке точно не хватило
По ссылке доступна крайне интересная подборка под названием «Modern-Unix». Все предельно просто – развитие идей существующих утилит/команд для оптимизации/ускорения/адаптации/повышения производительности/
🍭 bat. Почти как cat, только с подсветкой синтаксиса и возможностью интеграции с git🍭 lsd. Нет, не пропаганда. LSDeluxe – «продвинутая» версия ls, преимущественно с подсветкой и иконками🍭 delta. Наглядный diff, достаточно удобно🍭 jq. Без комментариев, просто «швейцарский нож» для JSON🍭 tldr. «Упрощенный» man с практическими примерами🍭 curlie. Смесь curl и HTTPie и многое другое!Сам repo – просто агрегатор, ссылки непосредственно на утилиты находятся внутри него. Некоторые утилиты больше похожи на «игрушки», а некоторые могут оказаться весьма полезными. Надеемся, что какая-то утилита придется вам по вкусу ☺️
P.S. На наш взгляд в подборке точно не хватило
yq (аналога jq для YAML), ознакомиться можно по ссылкеGitHub
GitHub - ibraheemdev/modern-unix: A collection of modern/faster/saner alternatives to common unix commands.
A collection of modern/faster/saner alternatives to common unix commands. - ibraheemdev/modern-unix
Всем привет!
Amazon подготовили небольшой цикл статей, посвященных Policy-as-Code решениям. В первой части можно ознакомиться с тем, что это такое, с базовыми принципами работы.
Далее авторы анализируют такие решения, как:
🍭 OPA/Classic
🍭 OPA/Gatekeeper
🍭 MagTape
🍭 k-rail (доступно во второй части статьи)
🍭 Kyverno (доступно во второй части статьи, про него мы еще писали отдельно)
Помимо краткого описания решений и возможности их использования в зависимости от предпочитаемого подхода (например, изучать REGO или использовать более Kubernetes-native подходы) в статье много примеров и ссылок на полезные статьи и материалы. В завершении автор приводит простую и удобную табличку, которой можно пользоваться при выборе оптимального инструмента
Amazon подготовили небольшой цикл статей, посвященных Policy-as-Code решениям. В первой части можно ознакомиться с тем, что это такое, с базовыми принципами работы.
Далее авторы анализируют такие решения, как:
🍭 OPA/Classic
🍭 OPA/Gatekeeper
🍭 MagTape
🍭 k-rail (доступно во второй части статьи)
🍭 Kyverno (доступно во второй части статьи, про него мы еще писали отдельно)
Помимо краткого описания решений и возможности их использования в зависимости от предпочитаемого подхода (например, изучать REGO или использовать более Kubernetes-native подходы) в статье много примеров и ссылок на полезные статьи и материалы. В завершении автор приводит простую и удобную табличку, которой можно пользоваться при выборе оптимального инструмента
Amazon
Policy-based countermeasures for Kubernetes – Part 1 | Amazon Web Services
Choosing the right policy-as-code solution This is Part 1 in a two part series where we discuss policy-as-code solutions. As more organizations adopt containerization as a delivery strategy, the need for automated security, compliance, and privacy controls…
Привет!
Falco в большей степени известен тем, что помогает реализовывать runtime защиту в кластерах контейнерной оркестрации. Однако, его функционал можно использовать, в том числе для анализа логов Kubernetes с целью идентификации инцидентов.
По ссылке приведен пример, в котором демонстрируется:
🍭 Настройка логирования Kubernetes для перенаправления логов в Falco
🍭 Использование Falcosidekick, который расширяет перечень возможных output для alerting (по умолчанию доступно только 5)
🍭 «Включение» логирования в Kubernetes при помощи AuditPolicy
🍭 Отображение информации в web-интерфейсе Falcosidekick
Все просто, понятно, доступно и с примерами!
Falco в большей степени известен тем, что помогает реализовывать runtime защиту в кластерах контейнерной оркестрации. Однако, его функционал можно использовать, в том числе для анализа логов Kubernetes с целью идентификации инцидентов.
По ссылке приведен пример, в котором демонстрируется:
🍭 Настройка логирования Kubernetes для перенаправления логов в Falco
🍭 Использование Falcosidekick, который расширяет перечень возможных output для alerting (по умолчанию доступно только 5)
🍭 «Включение» логирования в Kubernetes при помощи AuditPolicy
🍭 Отображение информации в web-интерфейсе Falcosidekick
Все просто, понятно, доступно и с примерами!
GitHub
GitHub - developer-guy/falco-analyze-audit-log-from-k3s-cluster: Detect intrusions that happened in your Kubernetes cluster through…
Detect intrusions that happened in your Kubernetes cluster through audit logs using Falco - GitHub - developer-guy/falco-analyze-audit-log-from-k3s-cluster: Detect intrusions that happened in your...
Всем привет!
Если Вам нравятся тестовые приложения, позволяющие собственными руками проэксплуатировать уязвимости (DVWA, DVNA, KubeGoat, JuiceShop и т.д.), то вам понравится и это – InjuredAndroid!
Да, это заведомо уязвимое мобильное приложение, доступное для образовательных целей. Можно поискать такие флаги как:
🍭 Login
🍭 Exported Activity
🍭 Exported Broadcast Receiver
🍭 SQLite и другие
А если возникнут сложности, то можно обратиться к статье, где автор делает walkthrough и рассказывает про то, как можно эксплуатировать уязвимости ☺️
Если Вам нравятся тестовые приложения, позволяющие собственными руками проэксплуатировать уязвимости (DVWA, DVNA, KubeGoat, JuiceShop и т.д.), то вам понравится и это – InjuredAndroid!
Да, это заведомо уязвимое мобильное приложение, доступное для образовательных целей. Можно поискать такие флаги как:
🍭 Login
🍭 Exported Activity
🍭 Exported Broadcast Receiver
🍭 SQLite и другие
А если возникнут сложности, то можно обратиться к статье, где автор делает walkthrough и рассказывает про то, как можно эксплуатировать уязвимости ☺️
GitHub
GitHub - B3nac/InjuredAndroid: A vulnerable Android application that shows simple examples of vulnerabilities in a ctf style.
A vulnerable Android application that shows simple examples of vulnerabilities in a ctf style. - B3nac/InjuredAndroid
Всем привет!
Утилита Sealed Secrets от Bitnami Labs
предназначена для шифрования секретов Kubernetes.
Зачем?
Основное назначение - это безопасное хранение секретов, используемых в кластере, на уровне Git.
Например, если вы используете ArgoCD для реализации GitOps и в Git-е храните secret.yaml в «голом» виде, то эта утилита может вам пригодиться, чтобы этого избежать.
Из чего состоит?
🍡Контроллер/оператор
🍡Утилита kubeseal
Как работает?
Kubeseal шифрует секрет с использованием асимметричного шифрования. Расшифровать этот секрет может только контроллер, развёрнутый в кластере.
Зашифрованный секрет представляет собой объект Kubernetes с kind: SealedSecret.
Выглядит он примерно так:
И эту конфигурацию можно положить в Git вместо стандартного секрета.
Не без нюансов. SealedSecret связан с Secret, после прохождения процедуры usealing, в Kubernetes появляется стандартный Secret, поэтому защита секрета по факту реализуется только снаружи кластера, остальное решается стандартно - настройка RBAC в кластере.
Больше информации можно получить по ссылке: https://github.com/bitnami-labs/sealed-secrets
Утилита Sealed Secrets от Bitnami Labs
предназначена для шифрования секретов Kubernetes.
Зачем?
Основное назначение - это безопасное хранение секретов, используемых в кластере, на уровне Git.
Например, если вы используете ArgoCD для реализации GitOps и в Git-е храните secret.yaml в «голом» виде, то эта утилита может вам пригодиться, чтобы этого избежать.
Из чего состоит?
🍡Контроллер/оператор
🍡Утилита kubeseal
Как работает?
Kubeseal шифрует секрет с использованием асимметричного шифрования. Расшифровать этот секрет может только контроллер, развёрнутый в кластере.
Зашифрованный секрет представляет собой объект Kubernetes с kind: SealedSecret.
Выглядит он примерно так:
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
name: mysecret
namespace: mynamespace
spec:
encryptedData:
foo: AgBy3i4O...И эту конфигурацию можно положить в Git вместо стандартного секрета.
Не без нюансов. SealedSecret связан с Secret, после прохождения процедуры usealing, в Kubernetes появляется стандартный Secret, поэтому защита секрета по факту реализуется только снаружи кластера, остальное решается стандартно - настройка RBAC в кластере.
Больше информации можно получить по ссылке: https://github.com/bitnami-labs/sealed-secrets
GitHub
GitHub - bitnami-labs/sealed-secrets: A Kubernetes controller and tool for one-way encrypted Secrets
A Kubernetes controller and tool for one-way encrypted Secrets - bitnami-labs/sealed-secrets
Всем привет!
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта(маркетинг?), созданная Open AI.
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
GitHub
GitHub Copilot · Your AI pair programmer
GitHub Copilot works alongside you directly in your editor, suggesting whole lines or entire functions for you.
Привет!
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
GitHub
GitHub - ossf/scorecard: OpenSSF Scorecard - Security health metrics for Open Source
OpenSSF Scorecard - Security health metrics for Open Source - ossf/scorecard
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Всем привет!
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
AquaSecurity_Cloud_Native_Threat_Report_2021.pdf
7.5 MB
UPD. Актуальная версия отчета за 2021 год, в предыдущем посте была версия 2020. Спасибо, Денису)
Привет!
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
Anchore_2021_Software_Supply_Chain_Security_Survey_Report_FINAL.pdf
3.9 MB
Привет!
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Всем привет!
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
The New Stack
Open Policy Agent: The Top 5 Kubernetes Admission Control Policies
Without the right policies in place, the extensive power of Kuberentes can result in consequences that are as grand as the designs.
Всем привет!
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок(да, чтобы понять рекурсию надо понять рекурсию). «Проблема» таких awesome, как правило, заключается в том, что они перечисляют инструменты не всегда предоставляя их обзор, пусть и минималистичный.
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Medium
Kubernetes Essential Tools: 2021
Review of the best tools for Kubernetes
Привет!
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
GitHub
GitHub - appvia/krane: Kubernetes RBAC static analysis & visualisation tool
Kubernetes RBAC static analysis & visualisation tool - appvia/krane
Всем привет!
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
ebpf.io
eBPF Summit 2021
Register now for the eBPF Summit 2021, Aug 18-19, 2021, a free virtual event for DevOps, SRE, SecOps, and developers.
Всем привет!
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
GitHub
GitHub - deepfence/ThreatMapper: Open Source Cloud Native Application Protection Platform (CNAPP)
Open Source Cloud Native Application Protection Platform (CNAPP) - deepfence/ThreatMapper