"Латаем огрехи в образах приложений с помощью Kubernetes" – Анатолий Карпенко, Luntry

"Мечтают ли антивирусы о docker-образах?" – Владимир Капистка, samokat. tech

"Все ли Service Mesh одинаковы полезны для ИБ?" – Максим Чудновский, СберТех

"От стандартных к нестандартным методам управления секретами в контейнерах" – Валерий Кунавин

"Linux user namespace в чертогах Kubernetes" – Дмитрий Евдокимов, Luntry

"Мультитенантность в Kubernetes: есть ли серебряная пуля?" – Константин Аксенов, Флант

"Строим заборы между сервисами", – Андрей Бойцев, Яндекс Финтех

"Вы еще не читаете Kubernetes Audit Log? Тогда мы идем к вам!" – Алиса Кириченко, Лаборатория Числитель

Мы завершили БеКон 2024. Всем, большое спасибо за участие!

В официальном блоге Kubernetes вышла статья "10 Years of Kubernetes". Тоесть у K8s День Рождение, отсчитывая от первого коммита на GitHub! В статье описаны различные вехи, история и будущее развития. Всем не равнодушным обязательно к прочтению =)

P.S. Если у вас есть вопросы по докладам со вчерашнего БеКон, то пишите их в комментариях к соответствующим слайдам и докладчики ответят на них.

P.S.S. Исторически случайно случилось, что БеКон проходит рядом с ДР k8s - мелочь, а приятно)

В завершение этой недели хотим поделиться статьей – "Six Critical Blindspots While Securing Argo CD". Будет очень актуально, если вы используете (или планируете использовать) ArgoCD в качестве GitOps оператора в своей инфраструктуре.

В статье автор рассказывает о 6 принципах, которым необходимо следовать, чтобы сделать использование ArgoCD максимально безопасным:

1) Use a dedicated project for the control plane
2) Argo resources are for Argo admins only
3) Delete the “default” project
4) Block ClusterRoleBindings in (most) projects
5) Narrow roles on remote clusters
6) Have a CVE response plan ready

Всем, привет!

У нас есть опросник по итогам БеКон 2024 - он лежит здесь. Нам очень важна обратная связь от всех кто участвовал, чтобы следующую нашу конференцию еще лучше. И это не возможно без вашей помощи. Заранее большое спасибо за вашу помощь!

Определенно в следующим году мы немного расширим подход к отбору докладов и можно будет присылать свои заявки ;)

И еще раз всем спасибо, что пришли и поддержали нас на конференции)

Очень хардкорная статья "Flipping Pages: An analysis of a new Linux vulnerability in nf_tables and hardened exploitation techniques" для любителей атак через уязвимости ядра. Примечательна она тем что данный случай рассматривается в рамках KernelCTF (о котором мы не однократно писали и который вышел из kCTF). А также что для успешной атаки тут требуется unprivileged-user namespaces, о котором мы рассказывали в одном из наших докладов на последнем БеКон ;)

Если во время пентеста вы оказались на Node и вам потребовалось собрать данные с etcd, а набирать в консоле kubectl и etcdctl не хочется, то вот этот скрипт может вам помочь.

4 июля в 17:00 в рамках конференции Kuber Conf /24 от Yandex Cloud наша команда Luntry представит доклад "Механизмы Kubernetes против атак supply chain" на треке Безопасность.

Поговорим про проблематику и актуальность Supply Chain, а также рассмотрим как можно защититься от этого встроенными механизмами Kubernetes.

Мероприятие будет доступно как офлайн, так и онлайн. Необходима предварительная регистрация.

Недавно увидели статью "A Guide To Kubernetes Logs That Isn't A Vendor Pitch" в канале нашего хорошего товарища Сергея Солдатова. А сегодня хотим поделиться своими впечатлениями о ней.

На первый взгляд она очень массивная, но на самом деле большую ее часть занимают скриншоты и примеры событий, логов. Но если вы начнете ее читать, то потратите минут 7-10. В начале автор говорит, что нужно собирать логи с 4 уровней:
- Code
- Container
- Cluster
- Cloud

Постоянные читатели нашего канала явно узнают в это "The 4C's of Cloud Native Kubernetes security" ;) Основной ориентир тут на уровень Cluster и естественно главный действующий герой это Kubernetes Audit Log cо своей AuditPolicy. Статья очень общая и каких-то откровений, новшеств там нет ... И честно не очень то и далеко ушла от официальной документации.

Тут бы мы больше рекомендовали посмотреть слайды (видео будет позже) "Вы еще не читаете Kubernetes Audit Log? Тогда мы идем к вам!" – Алиса Кириченко с БеКон 2024.

Сегодня делимся вами слайдами с доклада "PIVOT!" — Bouncing between your app, your cluster and your cloud с прошедшей конференции KCD Zurich 2024.

В докладе автор рассказал о распространненых векторах атак для Managed Kubernetes в EKS, AKS и GKE. О некоторых из них (как и об инструменте MKAT, который упоминается в докладе) мы уже рассказывали на канале [1,2].

Тем не менее, данные слайды можно использовать как cheatsheet с полезными техниками для проведения пентеста в Managed Kubernetes.

Очень хорошая заметка "Stop worrying about ‘allowPrivilegeEscalation’", но с очень противоречивым названием, которое привело к тому, что автору потом пришлось к началу стать добавить еще пояснение.

Материал обязателен к изучению, но не обращайте внимание на название. Также внимания заслуживает и доклад "Латаем огрехи в образах приложений с помощью Kubernetes" с БеКон 2024 нашего коллеги Анатолия Карпенко, где ‘allowPrivilegeEscalation’ также освещается ;)

Всем, привет!

Рады сообщить, что стали доступны фотографии с нашей конференции БеКон 2024!

Taking a look at the Kube-Proxy API – очередная статья от Rory McCune, на этот раз о Kube-Proxy API.

В Kubernetes есть несколько компонентов, которые предоставляют API (например, kube-apiserver или kubelet). Но мало кто знает, что kubeproxy также предоставляет API.

В статье упоминается несколько эндпоинтов, но наиболее интересным выглядит эндпоинт /metrics – в ответе возвращаются prometheus метрики, а также информация о том какие feature gates включены в кластере. Наверняка это будет полезно, если вы исследуете Managed Kubernetes (когда у вас нет доступа к Control Plane).

Тут нельзя не упомянуть доклад "How Attackers Use Exposed Prometheus Server to Exploit Kubernetes Clusters", в котором авторы рассказали какую информацию может извлечь атакующий из торчащих наружу Prometheus endpoints, и как это можно использовать для атаки.

Время идет, а проникновение через публично доступный Docker Engine никуда не девается.

В статье "Attackers deploying new tactics in campaign targeting exposed Docker APIs" разбирается недавняя атака, которая как по мне ничем особо не примечательная. Тут только атакующие написали несколько новых вспомогательных инструментов и все.

Помните, что наружу публиковать Docker API не надо и что на него также можно навесить Policy Engine. Об этом рассказывал Павел Сорокин на БеКон 2023 в докладе "OPA с shared Docker executor".