Как мы все с вами хорошо знаем проект Ingress NGINX больше не получает ни развития, ни поддержки и только продолжает радовать пентесетров кучей классных уязвимостей (1,2,3).

При этом сообщество как-то старается продлить жизнь Ingress NGINX хотя бы доставляя ему security патчи. Мы уже писали про форк от Chainguard, но не им единым. Есть и другие.

И тут интересно в этой всей ситуации, то что кто делаем?! Кто живет без обновлений, кто-то переезжает на Gateway API, а вот кто-то живет на таких форках.

А как обстоят дела у вас?

В статье "Kubernetes security fundamentals: Secrets" автор разбирает управление секретами, выделяя три основные категории угроз: атаки на секреты в состоянии покоя (в etcd, на узлах или дисках), в процессе передачи и на API, которые их предоставляют.

Особое внимание стоит уделить двум нюансам: монтирование секретов как файлов в контейнер значительно безопаснее, чем передача их через переменные окружения, так как последние часто попадают в логи отладки. Также важно знать, что любой пользователь, который может создать pod в неймспейсе, автоматически получает доступ ко всем секретам в этом неймспейсе через механизмы kubelet.

Внешние менеджеры секретов предлагают расширенные возможности контроля доступа и аудита. Однако их использование добавляет ещё одну систему, требующую обслуживания, поэтому выбор решения всегда должен основываться на вашей конкретной модели угроз.

Всем, привет!

Подключайтесь послезавтра в 19:00 к эфиру на тему "Как развитие контейнеров влияет на информационную безопасность" - будет полезно и не скучно ;)

Сегодня под прицелом нашего внимания небольшая статья "Beyond Container Capabilities: Understanding Linux Capability Sets". В данной статье достаточно коротко и ясно с визуализацией объясняют концепцию Capabilities.

Это важно понимать, чтобы осмысленно добавлять и забирать Capabilities в процессе следования принципу наименьших привилегий.

P.S. Мы на канале очень много писали про Capabilities и поэтому если вы хотите понять какие из них опасны, как это приводит к побегу из контейнера и к другим угрозам, то просто сделайте поиск по каналу по слову Capabilities ;)

Всем, привет!

Мы продолжаем (1,2,3) вам рассказывать про доклады с предстоящей конференции БеКон 2026! Без внимания не останется и безопасность хостовой ОС и ее механизмы для защиты контейнеров:

1) "Российская реализация ОС Talos", Алексей Костарев (Базальт)
2) "Контейнеры под защитой PARSEC: пополнение в рядах AppArmor, SELinux", Баранов Антон (ГК Астра)

И не забывайте, что на самой площадке при общении со спикерами и другими специалистами можно как углубляться в эти вопросы, так и обсуждать что в рамках доклада озвучено не было ;)

P.S. До конференции осталось меньше недели!

В статье «Why Kubernetes policy enforcement happens too late—and what to do about it» автор замечает, что большинство инцидентов в Kubernetes рождаются не в коде приложений, а в мисконфигурациях — отсутствующих лимитах ресурсов, слишком широких security context, неверных RBAC. Инструменты вроде OPA, Kyverno и Conftest хорошо ловят такие проблемы, но обычно делают это слишком поздно: в CI/CD или на admission контроллере, когда разработчик уже переключил контекст.

Автор предлагает сместить фокус с того, что проверяет политика, на то, где и когда срабатывает проверка — он называет это enforcement locus. Самый недооценённый момент — review-time: браузерные движки policy-as-code (например, GuardOn) парсят YAML прямо в diff пул-реквеста и показывают нарушения инлайн-комментариями, без CI и доступа к кластеру. Это не замена admission контроллеру, а дополнительный слой defense-in-depth, который ловит проблемы там, где их дешевле всего исправить.

В перспективе автор видит AI-агентов на том же review-time слое: они смогут не просто флагать нарушение, а объяснять контекст, предлагать готовый патч YAML прямо в PR и отличать настоящие ошибки от осознанных исключений в dev-окружении.

Всем, привет!

Мы продолжаем (1 ,2 ,3, 4) вам рассказывать про доклады с предстоящей конференции БеКон 2026 2 июня! Без внимания не останется ни одна тема, имеющая отношение к безопасности контейнеров, так что что безопасность на уровне оркестратора/кластера и сетевая безопасность:

1) "Контроль целостности в Kubernetes по взрослому", Максим Василенко (Флант)
2) "«Оператор Всевластия» для разработки распределенных систем и управления сетевой безопасностью", Хренов Никита (Альфа-Банк)
3) Секретный доклад (без публикации)

При этом секретный доклад продолжит тон прошлогоднего и даже разовьет эту тему ;)

P.S. Времени осталось совсем мало чтобы урвать свой билет!

Команда Kubernetes объявила, что 1 июня 2026 года Security Response Committee исправит несколько старых записей CVE в официальной базе. Проблема в том, что для ряда давних и до сих пор неисправленных уязвимостей в записях ошибочно указано поле «исправленная версия».

После исправления эти записи перестанут содержать ложную информацию о том, что проблема уже устранена. Это часть продолжающейся работы по развитию официального CVE Feed проекта и повышению прозрачности для администраторов кластеров и исследователей безопасности.

Практическое последствие стоит держать в голове: сканеры уязвимостей начнут находить эти CVE там, где раньше они не срабатывали. Так что после 1 июня в отчётах по безопасности могут появиться «новые» срабатывания — на самом деле речь о давно известных проблемах, просто корректно помеченных.

Всем привет!

Сегодня 2 июня и это значит наступил долгожданный день конференции БеКон 2026! Таким образом сегодня будем рассказывать что происходит на конференции и, конечно, делится докладами с нее.

Также напомним, что одной из фишек БеКон является то, что слайды публикуются сразу как только докладчик выходит на сцену! А вопросы у докладчиков можно спрашивать как в приложении конференции, так и в комментариях ко слайдам.

Чтобы обо всем узнавать самым первым рекомендуем подписаться на канал конференции.

Дмитрий Рыбалка | Mindbox переходит к своему докладу - "SLSA — язык доверия: от CI до Runtime"

📌 Трек Ингредиенты

Максим Лебедев | Axiom JDK, переходит к своему докладу - "Бронебойный Java образ"

📌 Трек Ингредиенты

Сергей Канибор | LUNTRY. переходит к своему докладу - "Истории Kubernetes пентестов: путь через мисконфигурации"

📌 Трек Ингредиенты

Антон Баранов | ГК АСТРА, переходит к своему докладу - "Контейнеры под защитой PARSEC: пополнение в рядах AppArmor, SELinux"

📌 Трек Ингредиенты

Николай Панченко | Т-БАНК, переходит к своему докладу - "Зачем бизнесу нужна отдельная команда защиты Kubernetes?"

📌 Трек Рецепты

Александр Черток | Альфа-Банк, переходит к своему докладу - "SecK8S: от хаоса к системе"

📌 Трек Рецепты

Алексей Костарев | Базальт переходит к своему докладу "Российская реализация ОС Talos"

📌Трек Ингредиенты

Максим Князев | К2 Кибербезопасность, переходит к своему докладу - "Контейнеры против майнеров или история по криптоджекинг в Kubernetes"

📌 Трек Ингредиенты

Дмитрий Селезнев | Инфосистемы Джет, переходит к своему докладу - "Фреймворк JCSF: zero to hero в контейнерах"

📌 Трек Рецепты

Андрей Слепых | Фобос-НТ и Анатолий Карпенко | LUNTRY, переходят к своему докладу - "ФСТЭК и контейнеры: от заявки до сертификата"

📌 Трек Рецепты

Александр Алёхин | ecom.tech, переходит к своему докладу - "Validating Admission Policy замена Policy Engine?"

📌 Трек Ингредиенты

Андрей Орехов | Swordfish Security, переходит к своему докладу - "GitOps: мозг для политик безопасности"

📌 Трек Ингредиенты