В интересной статье Securing Multi-Cluster ArgoCD автор описывает своё решение по поднятию и развертыванию безопасного мультикластерного Argo CD.

В Argo есть возможность добавлять удаленные кластера, но есть проблема – это происходит благодаря Service Account и токену связанного с ним для аутентификации на удаленном кластере. Автор предлагает решить проблему с помощью oidc-proxy и короткоживущих токенов.

26 сентября в 11:00 мы решили провести вебинар/стрим "С чего начать защиту кластера Kubernetes?".

Вебинар для тех, кто только начинает заниматься вопросами безопасности контейнерных сред на базе Kubernetes и не знает всех тонкостей микросервисной инфраструктуры. Обычно мы рассказываем что-то очень хардкорное, глубокое, а тут решили отойти от этого и показать как провести успешный и легкий старт в данной теме.

Рассмотрим:
- какие минимально-необходимые меры принимать для защиты кластера в моменте
- как постепенно наращивать уровень безопасности
- какие минимальные действия и вложения могут дать наибольший результат
- как не пропасть в рутине исправления множества уязвимостей
- как подходить к решению задачи при помощи Luntry

Зарегистрироваться можно тут.

P.S. В комментариях к данному посту можете написать свои вопросы/проблемы что у вас сейчас возникают или возникали при старте. И мы постараемся все это рассмотреть на стриме.

В эту пятницу 13 мы вам принесли не страшные истории про атаки и взломы, а супер свежие записи докладов с eBPF Summit 2024. Тут можно ознакомиться с расписанием и описанием докладов, а тут посмотреть все видео. Конечно же, безопасность тут не обошли стороной:
- Living on the Edge - securing containers on embedded platforms using eBPF
- Demystifying eBPF security: Navigating risks, safeguards, and best practices
- Security Assessment of the eBPF Verifier
- Towards Secure Kernel Extensibility With eBPF

Всем хороших выходных!

Совсем тихо и не заметно вышла новая версия cri-o v1.31.0. Из интересных новых фич можно отметить:

- Add fine-grained SupplementalGroups control for enhanced security
- Added support for the Kubernetes OCI / image Volume Source

Также нельзя не отметить, что в новом релизе cri-o теперь использует crun вместо runc.

Ко всему прочему была пофикшена high уязвимость CVE-2024-5154, благодаря которой злоумышленник мог создавать файлы на хостовой системе через symlink. Эксплуатация довольно простая, достаточно было собрать и запустить образ на основе такого Dockerfile:

FROM docker.io/library/busybox as source
RUN mkdir /extra && cd /extra && ln -s ../../../../../../../../root etc

FROM scratch

COPY --from=source /bin /bin
COPY --from=source /lib /lib
COPY --from=source /extra

После запуска такого контейнера, под управлением cri-o, на хосте будет создан файл /host/mtab.

Рассмотрим сегодня достаточно интересный инструмент с необычной функциональностью!

crik это акроним к Checkpoint and Restore in Kubernetes. Под капотом у него естественно criu, а сам он состоит из двух компонент: обертки для запуска приложений, делающей снимки и восстанавливающей из них, и kubernetes-контроллера, подсказывающему первому компоненту, что ему сейчас нужно делать.

При этом пока в Kubernetes эта фича заезжает тяжело из-за кучи нюансов, особенностей container runtime и тд, то данная реализация абсолютно от этого свободна! НО нужно запускать приложение через эту обертку...

Еще об инструменте можно узнать из доклада "The Party Must Go on - Resume Pods After Spot Instance Shut Down".

20 сентября в 16:00 в Москве в рамках встречи SDL сообщества наша команда Luntry поучаствует в круглом столе “Практические аспекты внедрения безопасной разработки”. Там в хорошей, дружной атмосфере пообсуждаем с коллегами насущные задачи и проблемы.

Вчера, в Брюсселе, прошла конференция fwd:cloudsec Europe 2024. Большинство докладов с этой конференции так или иначе затрагивает специфику западных облаков, но всё же доклад Kubernetes Audit Log Gotchas мы не могли обойти стороной.

В докладе автор в очередной раз напоминает о важности использования Kubernetes Audit Log Policy, а затем рассматривает преимущества и недостатки реализации этого механизма в EKS/GKE/AKS/OKE/Open Shift/Self-managed кластерах.

Трансляция с конференции доступа по ссылке тут.

Всем, привет!

Наша команда Luntry продолжает расти и развиваться вместе с клиентами. И мы снова готовы пополнить наши ряды классными Go-разработчиками Middle и Senior уровня ;) Откликнуться можно тут или написать контакту в профиле канала. Если вам или вашим друзьям интересно решать не тривиальные задачи связанные с высокими нагрузками и информационной безопасности в области контейнеризации и Kubernetes, то вам определённо к нам!

Коротенькая заметка "What Determines if a Kubernetes Node is Ready?", объясняющая по каким признакам определяется, что Node готова. Из нее вы узнаете какие 7 условий должны выполниться успешно, чтобы получить заветное Ready.

Сегодня мы хотим рассказать о kubelogin – это kubectl плагин для Kubernetes OpenID Connect аутентификации. Также известен как kubectl oidc-login.

Принцип его работы довольно простой: при запуске kubectl, kubelogin открывает страницу, где можно залогиниться через провайдера. Получив токен от провайдера, он передается в kubectl и используется для доступа в Kubernetes API.

Сегодня в 15:00, в Санкт-Петербурге, в рамках конференции NeoQUEST-2024 наша команда Luntry выступит с докладом “Экскурсия по матрицам угроз для контейнеров и Kubernetes”. Подробно поговорим об основных матрицах угроз для контейнеров и K8s, а также проведем их сравнение друг с другом и поможем разобраться в запутанных и интригующих процессах, происходящих внутри.

P.S. – Зарегистрироваться можно по ссылке.

Замечательная визуализация формата имени образа контейнера от Ивана Величко!

Если для вас это было магией, то после такого все встанет на свои места. Очень рекомендуем следить на постами Ивана - там много всего интересного.

Небольшая, но интересная статья "What is the difference between a root process and a containerized root process?" рассказывает о базовых понятиях и принципах изоляции контейнера. Также автор не забывает упоминуть о важности запуска контейнера не из под root.

Будет полезно для всех, кто начинает разбираться в container security.

16-17 сентября прошел Linux Security Summit Europe 2024. С записями можно ознакомиться тут (1,2).

Наше внимание в первую очередь привлек доклад "Restricting Unprivileged User Namespaces in Ubuntu", с которым настоятельно рекомендуем познакомиться. Проблема безопасности Unprivileged User Namespaces в этом году прям очень популярна - ранее на CloudNativeSecurityCon North America 2024 был доклад "User Namespaces in Kubernetes: Security and Flexibility". А еще ранее на нашей конференции БеКон 2024 мы представляли доклад "Linux user namespace в чертогах Kubernetes". Круто что мы в выборе темы доклада попали прям в такую актуальную тему для всего Мира (значит понимаем в трендах) =)

P.S. Мы уже начали заниматься БеКон 2025. И если у вас или у вашей компании есть желании в этом поучаствовать, то самое время задуматься о партнерстве ;)

Сегодня мы хотим поделиться с вами двумя крутыми wiki страницами от нашего товарища Ильи Шапошников:

1) Docker escape - статья посвящена повышению привилегий из докер-контейнера в зависимости от предоставленного доступа. К этому также есть готовые лабы.
2) Kubernetes pentest - статья посвящена тестированию на проникновение Kubernetes.

P.S. Сегодня в 11:00 по Мск будет наш вебинар/стрим на тему "С чего начать защиту кластера Kubernetes?".

Команда исследователей из Datadog Security Research раскрыла новую вредоносную кампанию, нацеленную на Docker и Kubernetes. Как это обычно принято у злоумышленников – они масштабно запускали майнеры, на этот раз, используя мисконфиги в kubelet.

Ресерчеры пока отказываются прямо атрибутировать действия злоумышленников с группировкой TeamTNT, о которой мы как-то рассказывали на канале. Тем не менее ряд инструментов и скриптов, используемых злоумышленниками так или иначе указывают принадлежность или связь с TeamTNT.

Более подробно об исследовании можно почитать по ссылке тут.

На нашем сайте стали доступны слайды и видеозапись вебинара "С чего начать защиту кластера Kubernetes?". Там мы постарались ответить на вопросы:
— Какие минимально-необходимые меры принимать для защиты кластера в моменте;
— Как постепенно наращивать уровень безопасности;
— Какие минимальные действия и вложения могут дать наибольший результат;
— Как не пропасть в рутине исправления множества уязвимостей.

При этом мы достаточно подробно рассмотрели с чего стоит начать в каждом из 7 доменов безопасности Kubernetes в самом начале пути (и немного последующие шаги). Как мы уже говорили на самом вебинаре какой из доменов начинать делать первым зависит от рассматриваемой вашей компании модели угроз, модели нарушителе и поверхности атаки. Это каждый раз уникально и зависит от целей и задачей того или иного кластера. Одно дело это кластер с приложениями, смотрящими в сеть интернет, другое дело build кластера, ML-кластера, кластера в закрытом контуре и т.д.

И как всегда в комментариях будем рады ответить на любые вопросе по данной теме.

P.S. Спасибо всем кто пришел и задавал вопросы!

30 октября на конференции SafeCode 2024 Autumn пройдет воркшоп “Готовим контейнеры полезно и вкусно”. Воркшоп проведут Анатолий Карпенко (Luntry) (также известный как) и Алексей Федулаев (МТС Web Services) (также известный как). Там точно будет полезно, весело и задорно ;)

Если вы запускаете ML нагрузки в своих Kubernetes кластерах, то наверняка слышали про такие решения как NVIDIA Container Toolkit и GPU Operator.

Так вот совсем недавно исследователи из WIZ обнаружили уязвимость в этих продуктах, благодаря которой потенциальный злоумышленник может совершить побег из контейнера. Если быть точным и углубиться в детали, то для эксплуатации атакующий должен запустить нагрузку с заранее заготовленным уязвимым docker image. После этого у него появляется возможность полностью примонтировать файловую систему хоста. Уязвимости присвоен CVE-2024-0132.

Необходимые патчи выпущены в релизах 1.16.2 и 24.6.2 для NVIDIA Container Toolkit и NVIDIA GPU Operator соответственно.

2 октября в 16:30 на AM Life Plus, посвящённой безопасной разработке, DevSecOps в рамках "AM TALK: ТЕХНОЛОГИИ БЕЗ СТЕРЕОТИПОВ" в стиле TEDx наша команда раскроет тему "Как контейнеры и Kubernetes меняют ландшафт угроз". По рассуждаем что нам принес этот новый дивный мир)

Недавно с большим удивлениям для себя открыл что для container-specific OS тоже есть CIS Benchmarks! Конкретно сейчас это есть для: Bottlerocket и Talos. В глаза сразу сильно бросается разница в количестве пунктов по сравнению с ОС общего назначения. В то же Talos их всего около 20. Думаю, что даже и не стоит говорить какой тип ОС проще довести до более защищенного состояния, но есть своя специфика ;)