Интересный мысленный эксперимент, рассматривающий, как будут обрабатываться различные крупномасштабные инциденты с гигантским регионом AWS us-east-1.

https://proglib.io/w/e797db48

В 2019 году на конференции KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio".

Как оказалось подход DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:

1) Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.
2) Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.
3) Service Mesh - покрывает все для контроля и распределения всего east-west трафика.
4) Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.

И еще там многое всего другого интересного: IaC/CaC, GitOps, SOAR и т.д.

Все это впечатляет конечно!

Kubernetes Security Checklist and Requirements

В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉

Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!

Кстати, есть также версия на русском.

#k8s #ops

10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time

Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.

Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs

А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.

#dev

​Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526

Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.

Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.

Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.

Недостатки:
➖Не замечено.

Скачать книгу

сейчас в прогрессе 24х часовая конференция по DevOps
https://www.alldaydevops.com/
всегда можно найти что-нибудь новое, неизвестное и интересное на ней для себя 🙂

https://surfingcomplexity.blog/
Интересный блог

Записи всех стримов с Linux Plumbers Conference 2021, которая проходила на этой неделе, собраны в отдельный плейлист
https://www.youtube.com/playlist?list=PLVsQ_xZBEyN2c21jFUgqI2iMa094zXanH

Куча всего интересного, осталось найти время, что бы всё интересное посмотреть 🌝

Полное расписание
https://linuxplumbersconf.org/event/11/timetable/#all

https://www.youtube.com/watch?v=Q9Z75x29Uf4&list=PL8klaCXyIuQ7DlznvhkxVfSC3Bp6vHcCN
Серия видео Kubernetes Made Easy

Пару дней назад вышел новый Technology Radar от ThoughtWorks (http://a.e42.link/j1qLb).

На этот раз много пунктов относится к инфраструктуре и командообразованию, также немалое количество пунктов про удаленную работу:
— 4 ключевые метрики DORA перешли в Adopt и рекомендуются для применения всеми. Если у вас нет дашборда для их отслеживания можно периодически раз в квартал проходить DORA quick check: http://a.e42.link/j1qWj
— Платформенные команды также перешли в Adopt и рекомендуются как хороший подход. Важно отметить, что платформенная команда это не переименованные operations, а команда разработки точно такая же как и любые другие команды разработки — со своим product owner, продуктовым планированием, разбиением на фичи, работой с бэклогом, и т.д. Одним словом, платформенная команда — это команда разработки, которая пишет продукт для использования внутри компании другими командами
— Учитывание когнитивной нагрузки команд в проектировании архитектуры. Про это уже говорилось в предыдущем радаре и в книге http://a.e42.link/j1qW8 — кто еще не знаком с концепцией и подходом очень рекомендуем ознакомиться
— Remote mob-programming. Это как парное программирование, только больше чем вдвоем и не в одной комнате у доски, а удаленное. Парное программирование мы применяли с отличными результатами как раз через Zoom — оно хорошо подходит для случая когда не совсем ясно как именно и что писать, гораздо лучше чем параллельная работа с синками через каждые 2-3 часа.
— В блоке Assess появилось использование Kubernetes Operator для управления ресурсами за пределами Kubernetes. В предыдущих радарах уже упоминались инструменты для этого, теперь на радаре появилась и сама практика. Также в этом радаре появился и Crossplane (http://a.e42.link/j1qWT)
— В блоке Trial по-прежнему находится http://a.e42.link/j1qWz (инструмент для построения внутренних технологических порталов и витрин),
— Также в этом же блоке появились Clickhouse, Kafka REST Proxy, Kafka Mirrormaker 2.0, OPA Gatekeeper for Kubernetes и Sealed Secrets
— Из Assess в Trial поднялись GitHub Actions, K3s и Pulumi
— Написание скриптов командной строки на Clojure: Babashka (http://a.e42.link/j1qWY) — за счет использования GraalVM обещают, что он стартует мгновенно, а не как другие JVM-приложения
— ExternalDNS для синхронизации ингрессов с DNS-провайдерами появился в Assess
— Batect (http://a.e42.link/j1qWt) как способ настройки окружений локальных и тестовых
— Berglas (http://a.e42.link/j1qWm) для управления секретами в GCP
— Dive (http://a.e42.link/j1qWZ) — сканнер оптимальности сборки докер-образов. Может отслеживать неэффективность послойной сборки и вычислять «лишний» объем образа (например файлы создаются в нижнем слое, а затем удаляются в верхнем слое)
— Lens (http://a.e42.link/j1qWp) как UI для Kubernetes перешел в Trial
— cert-manager (http://a.e42.link/j1qWl) наконец-то появился на радаре
— Появились аж 2 инструмента для тестирования инфракода: Conftest (http://a.e42.link/j1qWB) и Regula (http://a.e42.link/j1qWn). Оба используют язык Open Policy Agent для написания тестов. Такие тесты могут использоваться, например, для автоматизированного тестирования Compliance
— Появился Cosign (http://a.e42.link/j1qWG) — инструмент для подписи и проверки подписи контейнеров
— Забавно, но в этом радаре появились и современные альтернативы командам из Coreutils (под именем Modern Unix commands) наподобие ripgrep, ag, jq, httpie. Большой список таких команд можно посмотреть на http://a.e42.link/j1qWx
— Mozilla Sops (http://a.e42.link/j1qWf) для безопасного хранения шифрованных секретов в гит-репозиториях (с расшифровкой например через AWS KMS)
— Pactflow (http://a.e42.link/j1qWC) — инструмент для тестирования контрактов
— Proxyman (http://a.e42.link/j1qWk) — прокси для отладки веб-приложений
— Telepresence (http://a.e42.link/j1qWe) — инструмент для подключения локально запущенного приложения к удаленному кластеру кубернетес. Может пригодиться например для песочниц разработки

Если вы планировали провести эти выходные с пользой, то как раз для вас CNCF выложил записи докладов с недавно прошедших своих сессий KubeCon + CloudNativeCon North America 2021:

- KubeCon + CloudNativeCon North America 2021
- Cloud Native Security Conference North America 2021
- EnvoyCon North America 2021
- SupplyChainSecurityCon hosted by CNCF + CDF 2021
- Production Identity Day: SPIFFE + SPIRE North America 2021
- Cloud Native eBPF Day North America 2021
- GitOpsCon North America 2021
- Cloud Native DevX Day North America 2021
- ServiceMeshCon North America 2021
- Kubernetes AI Day North America 2021
- Cloud Native Wasm Day North America 2021
- FluentCon North America 2021

Всем хороших выходных!


P.S. Такой же playlist с KubeCon + CloudNativeCon Europe 2021

https://snyk.io/snykcon/
Видео с прошедшей конференции SnykCon 2021