Если у вас в голове периодически мелькает мысль написать свой безопасный, надежный, масштабируемый registry с обилием своих крутых фич, то не надо делать ничего с 0! Уже есть для этого целая база!

Проект Distribution от CNCF как раз для этого и существует. Он в очень простой манере в соответствии с OCI Distribution Specification реализует:
- pack
- ship
- store
- deliver

По сути это основная либа для: Docker Hub, GitHub Container Registry, GitLab Container Registry, DigitalOcean Container Registry, CNCF Harbor Project и VMware Harbor Registry.

WIZ, AWS, Google Cloud и Microsoft объединились чтобы создать Zeroday Cloud – некий аналог Pwn2Own в рамках Cloud Native окружения.

У исследователей есть 60 дней чтобы найти и зарепортить уязвимости. Организаторы ждут от ресерчеров прежде всего High и Critical уязвимости с возможностью чтения файлов хоста или выполнения произвольного кода на хосте.

Результаты будут представлены в лайве на Black Hat Europe 10-11 декабря. Призовой фонд составляет 4.5 миллиона долларов. Выплаты в этом ивенте существенно выше, по сравнению с существующим расценками в багбаунти для этих продуктов.

В скоуп попали:

- Kubernetes
- Docker
- Containerd
- Grafana
- GitLab CE
- NVIDIA Container Toolkit
- PostgreSQL

и еще много других проектов, которые живут в публичных облаках. С полными условиями можно ознакомиться по ссылке тут.

P.S – наверняка конец 4-ого квартала принесет нам кучу 0-day.

С 2022 года мы на канале периодически пишем и рассказываем про разработку новых сетевых политик: AdminNetworkPolicy и BaselineAdminNetworkPolicy (1,2,3,4).

Подробнее о них можно узнать с сайта Network Policy API Working Group. При этом судя по записям митингов этой рабочей группы (кто-нибудь кроме нас это смотрит?) есть намеки что они презентуют выход этого API в статус beta в рамках KubeCon + CloudNativeCon North America 2025 10-13 ноября в Атланте.

Что касается не спецификации, а реализации, то сейчас ситуация следующая:

В Calico:
- AdminNetworkPolicy с верcии 3.29
- BaselineAdminNetworkPolicy с версии 3.30

В Antrea:
- AdminNetworkPolicy с верcии 1.13
- BaselineAdminNetworkPolicy с версии 1.13

В Cilium пока безрезультатно - обсуждение идет тут.

В одном из недавних постов на канале мы подсвечивали, то как Validating Admission Policy (VAP) летит на смену Policy Engine в лице самых популярных решений. Сегодня хотим продолжить эту тему статьей "Kyverno vs Kubernetes Policies: How Kyverno Complements and Completes Kubernetes Policy Types".

В статье автор приводит реально отсутствующий важный функционал VAP, но который присутствует в Kyverno – начиная от сканирования background ресурсов и заканчивая использованием Kyverno не только в Kubernetes, а вообще для любых объектов/ресурсов/файлов.

На данный момент можно сказать, что лучший подход –не выбор между Kyverno и VAP, а их совместное использование.

Совсем недавно нам на глаза попался любопытный проект (пускай даже и не особо развивающийся) под названием x11docker.

Данный проект призван решить любопытную задача - безопасный запуск GUI приложений в Docker и Podman контейнерах.

Что же там такого может быть не безопасного!? Вот на эти вопросы очень доходчиво отвечает документация этого решения - это банально может быть полезно в образовательных целях.

А как мы и говорили уже неоднократно так или иначе контейнеры придут на защиту не только серверных приложений, но и пользовательских (1,2).

Мировое сообщество Kubernetes Security обращается ко всем, кто интересуется безопасностью Kubernetes. Всё дело в том, что планируется обновить OWASP Kubernetes Top 10 в ближайшее время и сейчас они проводят опрос для сбора идей и отзывов.

В опроснике есть два новых пункта, которых нет в текущей версии:

1) Overly exposed Kubernetes Components - This looks at the risks of having Kubernetes components directly attached to the Internet, where they could be attacked.

2) Cluster-to-Cloud Lateral Movement - The risk that attackers might be able to leverage Kubernetes cluster access to expand to other cloud systems.

Опрос включает в себя ряд вариантов, которые могут быть включены в OWASP Kubernetes Top 10, и идея заключается в том, чтобы оценить их от 1 (не должно быть в Top 10) до 5 (обязательно должно быть в Top 10).

С момента, когда мы рассказывали о Security Profiles Operator в прошлый раз, прошло уже довольно много времени и в нём много что изменилось.

Так в последней версии 0.10.0 была добавлена JSON audit logging feature, позволяющая полностью отслеживать происходящее внутри контейнеров. Конечно же всё с помощью eBPF. Всё пишется в отдельный лог файл, где каждая строка содержит информацию о событии: временную метку, имя исполняемого файла, аргументы командной строки, идентификаторы пользователя и группы, а также системные вызовы.

Более подробно с новой фичей можно ознакомиться прочитав статью Auditing user activity in pods and nodes with the Security-Profiles-Operator.

Сегодня хотим рассказать про проект kps-zeroexposure – некую безопасную настройку вокруг kube-prometheus-stack. Сами авторы так объясняют зачем этот проект:

- Targets for etcd, scheduler, controller-manager, and kube-proxy are DOWN.
- The corresponding Kubernetes Services have ClusterIP: None or do not exist.
- Metrics are not reachable unless insecure flags or hostNetwork hacks are used.
- Changing the Kubernetes static pod manifests to bind to 0.0.0.0 is discouraged.

В этом году возвращается легендарная ZeroNights!

И еще осталось пару дней на то чтобы отправить свое исследование на CFP!
Наша команда туда уже заявку отправила и ждет результата. Конечно, тема связанна с безопасностью Kubernetes, а если быть более точным, то аккумуляцию нашего 5 летнего опыта атак на него в рамках аудитов и пентестов ;)

P.S. Ваш покорный слуга стоял у истоков данной конференции и занимался ей 10 лет и с трепетом ждем возвращения)

P.S.S. Забавный факт - в далеком 2021 наша команда Luntry выступала на ZeroNights (это последняя конфа на текущий момент) с темой "Container escapes: Kubernetes edition" и можно сказать, что практически с нее начался наш публичный путь выступлений на тему безопасности контейнеров!

Сегодня хотим поделиться IAMhounddog — инструмент для визуализации связей IAM-ролей, политик и ресурсов в AWS. Он помогает выявлять «вторичные» пути эскалации привилегий, когда низкопривилегированный аккаунт цепочками операций получает доступ к административным ресурсам.

Инструмент экспортирует данные в формат, совместимый с BloodHound, что упрощает анализ attack path. Для работы требуется минимум прав — например, роль типа SecurityAudit или ReadOnlyAccess.

Очень крутые ребята позвали нас поучаствовать в создании образовательного курса "Linux Incident Response & Security", который представляет из себя практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.

Я думаю ни для кого из наших читателей не будет сюрпризом, что отвечать мы там будем за модуль связанный с контейнерами и Kubernetes =) И теорию расскажем и лабораторную работу дадим порешать. В общем, на чем специализируемся, то и рассказываем.

Для нас этот опыт новый, но точно можем сказать не последний ;)
Сейчас мы много работаем над различными проектами в обучающей сфере.

В конце сентября вышла обновленная версия CIS Kubernetes Benchmark – 1.12. В документе представлены нормативные рекомендации по созданию безопасной конфигурации для Kubernetes версий 1.32 – 1.34.

Если сравнивать с предыдущей версией бенчмарка, то изменений не так много. А именно – в проверках, связанных с использованием стойких криптографических примитивах, в Control и Data Plane компонентах, были убран ряд некриптостойких шифров.

В остальном, это такой же CIS Kubernetes Benchmark, как и в предыдущих версиях. Ждать чего-то нового можно будет, только если это "новое" завезут в Kubernetes.

На нашем сайте в разделе Исследований стали доступны видео и слайды выступления "Ретроспектива уязвимостей Kubernetes" с конференции Kubernetes Community Day.

В докладе мы рассмотрели следующие темы:

- K8s CVE feed, как он появился, как наполняется и как выглядит;
- Скоуп, какие таргеты в него входят и что может появится в итоговом фиде. Багбаунти программа Кубера и её особенности;
- Статистика по всем CVE за все время – колчество CVE по годам, по компонентам и распределение уязвимостей по критичности;
- Unpatchable уязвимости в Kubernetes.

Проект Blixt — это Kubernetes-балансировщик 4 уровня (и мог быть хорош!), использующий kube-rs в Control Plane и eBPF с aya для Data Plane. Сегодня репозиторий архивирован и больше не развивается — он остаётся скорее экспериментальной площадкой.

Несмотря на закрытие, в нём можно найти интересные идеи и наработки по интеграции eBPF в Kubernetes. Он был первым официальным проектом Kubernetes на Rust, хотя проекты такого рода не получили широкого распространения.

Если вам интересны эксперименты с eBPF и архитектура сетей в Kubernetes — стоит заглянуть в код.

Видео докладов с конференции DEF CON 33 Cloud Village стали доступны, с ними можно ознакомиться в трех плейлистах – день первый, второй и третий.

Cloud Security:

Auths Gone Wild: When ‘Authenticated’ Means Anyone
- Wiz’s Danielle A. & Yaara Shriki

No IP, No Problem: Exfiltrating Data Behind Google’s Identity Aware Proxy
- Mitiga’s Ariel Kalman

Building the Cross-Cloud Kill Chain: A DE's Playbook for AWS, Azure & GCP Detections
- Meta’s Gowthamaraj Rajendran

whoAMI: Discovering and exploiting a large-scale AMI name confusion attack
- Datadog’s Seth Art

Weaponizing SSM: Practical Exploits and Hardening Techniques for AWS
- Clavis Security’s Rodrigo Montoro

Kubernetes:

Command and KubeCTL: Kubernetes Security for Pentesters and Defenders
- Chainguard’s Mark Manning

Spotter - Universal Kubernetes Security Engine
- Madhu Akula

Quickstart for a Breach! When Official Installations Expose Your K8 and Your Cloud
- Microsoft’s Michael Katchinskiy & Yossi Weizman

Don't trust Rufus, he's a mole - introducing KIEMPossible
- Palo Alto Networks Alto’s Golan Myers

В статье Enterprise Secret Management in MLOps: Kubernetes Security at Scale показано, как в MLOps на Kubernetes организовать безопасное управление секретами: использовать Sealed Secrets для шифрования, централизовать генерацию и ротацию секретов инфраструктурной командой и обеспечить автономность приложений через стандарты.

Основная идея: не плодить секреты для каждой службы, а поддерживать консолидированный секрет “ml-platform” с единым именованием для всех сред. Это позволяет хранить зашифрованные секреты в Git без риска, автоматизировать их доставку и избежать узких мест.

DepConfuse - инструмент для обнаружения потенциальных уязвимостей, связанных с dependency confusion, посредством сканирования SBOM или URL-адресов пакетов (PURL). Его ключевые особенности включают использование подхода, ориентированного на SBOM CycloneDX, поддержку более 20 реестров пакетов, таких как npm и PyPI, а также интеграцию с Ecosystems.ms для проверки имен.

23 октября в 10:15 (по Мск) в рамках IV практической онлайн-конференции по кибербезопасности CyberCamp наша команда Luntry в лице Дмитрия Евдокимова выступит с докладом "1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях".

Если вы считаете, что от уязвимостей в приложениях можно избавляться только жесткой рукой, ставящей задачу на разработчика, то вы сильно ошибаетесь и контейнерные приложения сильно ломают этот стереотип.

Что будет в докладе:
• Почему к уязвимостям контейнерных приложений можно подходить по-разному
• Способы закрытия уязвимостей контейнерных приложений — суровая классика, новомодный AI, полный харденинг от определенного класса до 0-day и даже жульнические схемы
• Сравнение рассмотренных способов по ряду критериев

Вчера вышла довольно интересная заметка в официальном блоге Kubernetes – "7 Common Kubernetes Pitfalls (and How I Learned to Avoid Them)". Как можно понять из названия, автор рассказывает про подводные камни в Kubernetes и как их можно избежать.

Один из подводных камней – Going too light on security and RBAC. Можно сказать, что Kubernetes не secure by default, однако имеет достаточно больше количество встроенных мощных механизмов, которые позволят его захарденить и сильно усложнить жизнь злоумышленникам.

В посте автор также отмечает важность контроля RBAC и использование Policy Engine механизмов.

В официальном блоге CNCF вышла статья с интригующим названием "Applying RBAC to databases on Kubernetes: Practical, real-world examples" .

Я правда рассчитывал там увидеть как они создали кастомные ресурсы, кастомные глаголы и т.д. в классических кубовых Roles и ClusterRoles, но нет ...

30 октября в 11:00 наша команда Luntry проведет вебинар "Kubernetes Audit Log на страже безопасности кластеров".

Kubernetes Audit Log является чрезвычайно важным источником данных о происходящем в кластере. И если вы его не используете и данные от него не анализируете, то вы много теряете (да и не знаете).

Целью данного вебинара является раскрыть все аспекты, касающиеся этого механизма. И также мы покажем, как Luntry помогает работать с Kubernetes Audit Log.

Как всегда, после вебинара всех участников ждут все материалы, включая специальный подарок - на этот раз это "Шпаргалку по Kubernetes Audit Log".

Зарегистрироваться на вебинар можно тут.