​​EC2 Global View

Здесь (AWS Console → EC2 → EC2 Global View) можно видеть все свои EC2 виртуалки, EBS Volumes и VPC сразу по всем AWS регионам в одном месте:

https://console.aws.amazon.com/ec2globalview/home

#EC2 #AWS_Console #AWS_Regions

Если вы работаете с Kubernetes, вы, вероятно, знакомы с инструментом командной строки kubectl. kubectl поддерживает механизм плагинов, и в этом посте есть довольно много удобных плагинов для администраторов.

https://proglib.io/w/e2adf0ae

​​A series of articles by Rookout on developer tools for working with a Kubernetes cluster.

- Part I: Helm, Kustomize, and Skaffold
- Part II: Skaffold, Tilt, and Garden
- Part III: Lens, VSCode, IntelliJ & Gitpod
- Part IV: Docker, BuildKit, Buildpacks, Jib & Kaniko
- Part V: Development Machines

The second part is particularly interesting because of the comparison table.

#kubernetes

Интересный мысленный эксперимент, рассматривающий, как будут обрабатываться различные крупномасштабные инциденты с гигантским регионом AWS us-east-1.

https://proglib.io/w/e797db48

В 2019 году на конференции KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio".

Как оказалось подход DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:

1) Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.
2) Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.
3) Service Mesh - покрывает все для контроля и распределения всего east-west трафика.
4) Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.

И еще там многое всего другого интересного: IaC/CaC, GitOps, SOAR и т.д.

Все это впечатляет конечно!

Kubernetes Security Checklist and Requirements

В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉

Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!

Кстати, есть также версия на русском.

#k8s #ops

10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time

Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.

Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs

А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.

#dev

​Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526

Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.

Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.

Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.

Недостатки:
➖Не замечено.

Скачать книгу