Cloud Security Channel - @cloud_sec
В силу того, что я встречаю большое количество интересного материала про Public Cloud Security (AWS, Azure, GCP security), а времени делать ревью к каждой статье не хватает, я решил вынести этот материал в отдельный канал - CloudSec Wine. Здесь будут публиковаться инструменты, новости и конференции в разрезе security в мире облачных провайдеров на английском языке.
В DevSecOps Wine будут также время от времени публиковаться выборочно самые сливки по Cloud Security на русском языке.
Отдельное спасибо @ttffdd за то, что согласился продолжить вести его канал cloudsec.
#news #talks #ops
В силу того, что я встречаю большое количество интересного материала про Public Cloud Security (AWS, Azure, GCP security), а времени делать ревью к каждой статье не хватает, я решил вынести этот материал в отдельный канал - CloudSec Wine. Здесь будут публиковаться инструменты, новости и конференции в разрезе security в мире облачных провайдеров на английском языке.
В DevSecOps Wine будут также время от времени публиковаться выборочно самые сливки по Cloud Security на русском языке.
Отдельное спасибо @ttffdd за то, что согласился продолжить вести его канал cloudsec.
#news #talks #ops
Sandboxing and Workload Isolation
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops
GitHub
GitHub - firecracker-microvm/firecracker: Secure and fast microVMs for serverless computing.
Secure and fast microVMs for serverless computing. - firecracker-microvm/firecracker
Holistic.dev - static sql analyzer
Пока еще продолжает идти хайп на Flipper Zero, предлагаю посмотреть на также весьма интересный молодой проект.
Holistic.dev - это статический анализатор в виде SaaS. Принимает на вход схемы DBA, после чего выводит результаты, сообщающие проблемы как в производительности, так и в безопасности. Так, например, сервис может предотвратить утечку данных или сообщить о наличии запросов, требующих чрезмерное количество данных.
На данный момент сервис бесплатный, поддерживается синтаксис Postgresql до 13 версии включительно.
Подробнее вы можете прочитать в заметках автора проекта в телеграм-канале. У @antonrevyako в планах развивать проект, увеличить число правил и поддерживаемых БД, после чего попытаться внедрить сервис в популярные облачные провайдеры.
#tools #sast #dev
Пока еще продолжает идти хайп на Flipper Zero, предлагаю посмотреть на также весьма интересный молодой проект.
Holistic.dev - это статический анализатор в виде SaaS. Принимает на вход схемы DBA, после чего выводит результаты, сообщающие проблемы как в производительности, так и в безопасности. Так, например, сервис может предотвратить утечку данных или сообщить о наличии запросов, требующих чрезмерное количество данных.
На данный момент сервис бесплатный, поддерживается синтаксис Postgresql до 13 версии включительно.
Подробнее вы можете прочитать в заметках автора проекта в телеграм-канале. У @antonrevyako в планах развивать проект, увеличить число правил и поддерживаемых БД, после чего попытаться внедрить сервис в популярные облачные провайдеры.
#tools #sast #dev
Pysa: An open source static analysis tool to detect and prevent security issues in Python code
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.
https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/
#sast #tools #dev
Facebook
Log in or sign up to view
See posts, photos and more on Facebook.
Forwarded from k8s (in)security (D1g1)
В официальном блоге Kubernetes есть статья "11 Ways (Not) to Get Hacked" от июля 2018 года.
Статья как вы понимаете совсем не новая, но проблемы/рекомендации, описанные в ней до сих пор актуальные.
В статье автор все рекомендации разделил на 2 части - те, что надо реализовать на
Также продолжая сравнения, можно сказать, что для первой категории все уже есть и просто отключено для простого старта использования (никто не хочет, чтобы при первом знакомстве с чем-то новым ломался мозг - чем проще, тем лучше). Во втором случае просто даются механизмы, которые можно использовать (или не использовать) для обеспечения безопасности своих приложений.
Это приводит к мысли о том, что как бы вы отлично не знали все настройки безопасности Kubernetes, без знания что и как делают ваши приложения в нем добиться хорошей безопасности невозможно.
Статья как вы понимаете совсем не новая, но проблемы/рекомендации, описанные в ней до сих пор актуальные.
В статье автор все рекомендации разделил на 2 части - те, что надо реализовать на
Control Plane и те, что на Workloads. Для первой категории по большому счету нужно что-то указать, поставить, использовать - есть четкое руководство к действию. Во второй категории все намного сложнее - тут вы должны понять, разобраться, сконфигурировать и все в зависимости от конкретно ваших приложений, что крутятся в кластере. Также продолжая сравнения, можно сказать, что для первой категории все уже есть и просто отключено для простого старта использования (никто не хочет, чтобы при первом знакомстве с чем-то новым ломался мозг - чем проще, тем лучше). Во втором случае просто даются механизмы, которые можно использовать (или не использовать) для обеспечения безопасности своих приложений.
Это приводит к мысли о том, что как бы вы отлично не знали все настройки безопасности Kubernetes, без знания что и как делают ваши приложения в нем добиться хорошей безопасности невозможно.
Kubernetes
11 Ways (Not) to Get Hacked
Kubernetes security has come a long way since the project's inception, but still contains some gotchas. Starting with the control plane, building up through workload and network security, and finishing with a projection into the future of security, here is…
DSO_Community_Survey_2020_ru_.pdf
16.3 MB
DevSecOps Community Survey 2020
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.
#report #dev
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
How To Set Up and Secure an etcd Cluster with Ansible on Ubuntu 18.04
Настройка 3-нодового etcd-кластера на Ubuntu 18.04 и его защита с помощью TLS. Вся установка реализовывается через Ansible.
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-secure-an-etcd-cluster-with-ansible-on-ubuntu-18-04
Кстати, здесь вы можете познакомиться с недавно проведенным аудитом etcd и тем, какие уязвимости были выявлены.
#k8s #ops
Настройка 3-нодового etcd-кластера на Ubuntu 18.04 и его защита с помощью TLS. Вся установка реализовывается через Ansible.
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-secure-an-etcd-cluster-with-ansible-on-ubuntu-18-04
Кстати, здесь вы можете познакомиться с недавно проведенным аудитом etcd и тем, какие уязвимости были выявлены.
#k8s #ops
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Forwarded from Технологический Болт Генона
Telegram
Технологический Болт Генона
Microservices Security Pattern — Implementing a policy based security for microservices with OPA
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e
Mechanizing the Methodology: How to find vulnerabilities while you’re doing other things
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Доклад с DEF CON 2020, в котором Daniel Miessler рассказывает об автоматизации OSINT и поиске дефектов. В частности, будут затронуты темы мониторинга (через cron), нотификации (slack, amazon ses) и развертывания. Также был упомянут ряд фреймворков для упрощения автоматизации: OWASP Amass, Intrigue, SpiderFoot.
Доклад: https://www.youtube.com/watch?v=URBnM6gGODo
Текстовая версия: https://tldrsec.com/blog/mechanizing-the-methodology/
#tools #talks
Advanced API Security_ OAuth 2.0 And Beyond.pdf
11.8 MB
Advanced API Security
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Forwarded from CloudSec Wine
Cyber_Security_on_Azure_An_IT_Professional’s_Guide_to_Microsoft.pdf
12.1 MB
🔹Cyber Security on Azure
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Krane - Kubernetes RBAC static analysis tool
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
Krane - open source утилита, выполняющая статический анализ RBAC за счет индексации объектов RBAC в RedisGraph. Управление рисками RBAC происходит через настройку политик. Krane может работать как CLI, docker-контейнер или автономная служба для непрерывного анализа, а также быть встроенным в CI/CD. Также есть возможность построения отчетов, выполнения мониторинга и алертинга.
Кстати, лучшие практики по RBAC можно найти здесь: https://rbac.dev
#k8s #tools #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
This media is not supported in your browser
VIEW IN TELEGRAM
Anchore Toolbox
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Помимо известного Anchore Engine, в арсенале open source Anchore недавно появились такие инструменты как syft и grype.
Grype - сканер уязвимостей для образов контейнеров, пакетов операционных систем (Alpne, BusyBox, CentOS, Debian, Ubuntu), а также таких пакетов как Ruby Bundler, JARs, NPM, Egg/Wheel, Pip.
Syft - CLI, которая умеет создавать спецификации зависимостей (SBOM) из тех же образов контейнеров, дистрибутивов Linux (Apline, BusyBox, CentOS, Debian, Ubuntu), а также пакетов вроде APK, DEB, NPM, Go.
И из future plans Grype научится принимать в качестве входных параметров как SBOM от Syft, так и CycloneDX (!). Кажется, что скоро надо будет делать сравнение SCA от OWASP и Anchore...
#tools #sca #dev
Building a SIEM: combining ELK, Wazuh HIDS and Elastalert for optimal performance
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools
Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.
https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6
#ops #tools