DevSecOps Talks
6.55K subscribers
59 photos
71 files
964 links
Рассказываем об актуальном в мире DevSecOps. Канал DevSecOps-команды "Инфосистемы Джет"
Download Telegram
Привет!

Falco в большей степени известен тем, что помогает реализовывать runtime защиту в кластерах контейнерной оркестрации. Однако, его функционал можно использовать, в том числе для анализа логов Kubernetes с целью идентификации инцидентов.

По ссылке приведен пример, в котором демонстрируется:
🍭 Настройка логирования Kubernetes для перенаправления логов в Falco
🍭 Использование Falcosidekick, который расширяет перечень возможных output для alerting (по умолчанию доступно только 5)
🍭 «Включение» логирования в Kubernetes при помощи AuditPolicy
🍭 Отображение информации в web-интерфейсе Falcosidekick

Все просто, понятно, доступно и с примерами!
Всем привет!

Если Вам нравятся тестовые приложения, позволяющие собственными руками проэксплуатировать уязвимости (DVWA, DVNA, KubeGoat, JuiceShop и т.д.), то вам понравится и это – InjuredAndroid!

Да, это заведомо уязвимое мобильное приложение, доступное для образовательных целей. Можно поискать такие флаги как:
🍭 Login
🍭 Exported Activity
🍭 Exported Broadcast Receiver
🍭 SQLite и другие

А если возникнут сложности, то можно обратиться к статье, где автор делает walkthrough и рассказывает про то, как можно эксплуатировать уязвимости ☺️
Всем привет!

Утилита Sealed Secrets от Bitnami Labs
предназначена для шифрования секретов Kubernetes.

Зачем?
Основное назначение - это безопасное хранение секретов, используемых в кластере, на уровне Git.

Например, если вы используете ArgoCD для реализации GitOps и в Git-е храните secret.yaml в «голом» виде, то эта утилита может вам пригодиться, чтобы этого избежать.

Из чего состоит?
🍡Контроллер/оператор
🍡Утилита kubeseal

Как работает?
Kubeseal шифрует секрет с использованием асимметричного шифрования. Расшифровать этот секрет может только контроллер, развёрнутый в кластере.

Зашифрованный секрет представляет собой объект Kubernetes с kind: SealedSecret.
Выглядит он примерно так:

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
name: mysecret
namespace: mynamespace
spec:
encryptedData:
foo: AgBy3i4O...


И эту конфигурацию можно положить в Git вместо стандартного секрета.

Не без нюансов. SealedSecret связан с Secret, после прохождения процедуры usealing, в Kubernetes появляется стандартный Secret, поэтому защита секрета по факту реализуется только снаружи кластера, остальное решается стандартно - настройка RBAC в кластере.

Больше информации можно получить по ссылке: https://github.com/bitnami-labs/sealed-secrets
Всем привет!

На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта (маркетинг?), созданная Open AI.

Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения

Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
Привет!

Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.

Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое

Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Всем привет!

Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».

Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command

Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.

Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
AquaSecurity_Cloud_Native_Threat_Report_2021.pdf
7.5 MB
UPD. Актуальная версия отчета за 2021 год, в предыдущем посте была версия 2020. Спасибо, Денису)
Привет!

По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:

🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies

Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
Anchore_2021_Software_Supply_Chain_Security_Survey_Report_FINAL.pdf
3.9 MB
Привет!

Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:

🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security

И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Всем привет!

По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.

🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику

Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
Всем привет!

Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок (да, чтобы понять рекурсию надо понять рекурсию). «Проблема» таких awesome, как правило, заключается в том, что они перечисляют инструменты не всегда предоставляя их обзор, пусть и минималистичный.

Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только

Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Привет!

Еще один инструмент, который можно использовать для анализа RBACKrane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.

Основные функции:
🍭 RBAC Risk Rules
риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portabilityработает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reportingпредоставляет отчетность в машиночитаемом формате
🍭 Dashboardнаглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting реализован через интеграцию с Slack
🍭 RBAC in the GraphKrane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами

Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
Всем привет!

В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:

🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое

Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)

P.S. Регистрация бесплатная ☺️
Всем привет!

ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:

🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры

Отличие ThreatMapper,
например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM

P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
Всех с пятницей!!!

Kubernetes-external-secrets – проект, основная задача которого состоит в извлечении секрета из стороннего хранилища и передачи его сущностям кластера в качестве Secret.

Состоит из двух частей:
🍭 ExternalSecret – CRD – описывает какие данные необходимо извлечь
🍭 Controller – «конвертирует» ExternalSecret в Secret K8S

На текущий момент поддерживаются следующие внешние хранилища: AWS Secrets Manager, AWS System Manager, Akeyless, Hashicorp Vault, Azure Key Vault, Google Secret Manager and Alibaba Cloud KMS Secret Manager.

P.S. Больше информации - архитектура, настройка, примеры использования и т.д. находится в самом repo
Привет!

Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).

Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard

Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
Привет!

Управление RBAC не самая простая задача, а зачастую около-избыточная (например, когда требуется создавать несколько RoleBinding, которые практически ничем не отличаются).

Для того, чтобы упростить жизнь был разработан RBAC-manager.
Он переопределяет подход к созданию RBAC через дополнительную сущность – RBACDefinition, которая описывает целевое (желаемое) состояние: «Instead of managing role bindings or service accounts directly, you can specify a desired state and RBAC Manager will make the necessary changes to achieve that state».

RBAC-manager может быть полезен в таких случаях как:
🍭 Обновление прав: не надо удалять/создавать новый RoleBinding, необходимо только обновить RBACDefinition и утилита сделает все остальное
🍭 Удаление RoleBinding: аналогично, необходимо лишь удалить интересующую сущность из RBACDefinition
🍭 И что очень приятно - можно задавать права доступа к нескольким namespace в едином конфигурационном файле

С документацией
можно ознакомиться по ссылке. Также можно быстро "познакомиться" с решением и пользой от него в небольшом примере.
Приглашаем на цикл вебинаров DevSecOps, 2-й сезон!

Уже в этот четверг стартует 2-й сезон вебинаров DevSecOps для всех интересующихся. Наша команда Jet DevSecOps Team, включающая спецов по разработке, эксплуатации и безопасности поделится «боевыми» примерами и лайфхаками, полученными в реальных проектах: от мониторинга k8s и организации конвейера GitOps до резервного копирования в Kubernetes и управления «секретами».

На всех вебинарах будет live demo решений! Как всегда вас ждут минимум слайдов, максимум хардкора и полное погружение.

Участие будет интересно DevOps инженерам, разработчикам, ИТ и ИБ специалистам, ИТ-менеджменту.

Расписание вебинаров:
🔹 22 июля, 16:00–17:30 Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
🔹 29 июля, 16:00–17:30 Зачем GitOps в Enterprise
🔹 5 августа, 16:00–17:30 Управление «секретами»: основы
🔹 12 августа, 16:00–17:30 Persistent данные и резервное копирование в кластере

Регистрируйтесь и зовите друзей)
Всем привет!

Если сказать: «Подпись образов», то большинство подумает про проект «Notary». Однако, Notary не единственный способ реализации, есть альтернатива – «Cosign»!
Подход очень похож – использование Cosign для подписи и OPA для последующей ее валидации перед deploy в кластер. С небольшим примером можно ознакомиться по ссылке.

Принцип работы Cosign достаточно прост:
🍭 Генерация ключевой пары
🍭 Подпись образа контейнера при помощи закрытого ключа, помещение подписи в registry
🍭 Проверка наличия подписи у образа при помощи открытого ключа

На текущий момент Cosign поддерживает реестры: AWS Elastic Container Registry, GCP's Artifact, Registry and Container Registry, Docker Hub, Azure Container Registry, JFrog Artifactory Container Registry, The CNCF distribution/distribution Registry, GitLab Container Registry, GitHub Container Registry, The CNCF Harbor Registry, Digital Ocean Container Registry, Sonatype Nexus Container Registry

P.S. Последний release
Notary был в 2018 году, возможно в скором времени будет обновление v2, с большим количеством нововведений. Очень советуем посмотреть видео по ссылке целиком
Puppet-State-of-DevOps-Report-2021.pdf
6 MB
Всем привет!

Вышел ежегодный State of DevOps Report. Отчет содержит в себе общую информацию по таким темам, как:

🍭 Что же такое DevOps? Размышления на тему 😊
🍭 Какие структуры команд наиболее часто встречаются?
🍭 Что мешает развитию DevOps внутри Компаний?
🍭 Используются ли облачные вычисления и насколько часто?
🍭 Попытки предугадать что будет дальше – «The (future) state of DevOps»

Отчет для чтения, статистика присутствует, но ее не то, чтобы много