Securing microservice APIs

Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.

Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier

#ops #literature

Announcing the Cloud Native Security White Paper

CNCF Security Special Interest Group (SIG) недавно выпустила Cloud Native Security Whitepaper, представляющую из себя сборник лучших практик по части безопасности cloud native. Основная аудитория - CTO и CISO, поэтому с одной стороны, если посмотреть на оглавление, очень много затронутых тем (SSDL вместе с разными способами тестирования, защита артефактов, run-time безопасность, контроль доступа, моделирование угроз), c другой стороны очень мало конкретики. Около 40 страниц текста, на каждый пункт в среднем абзац. Поэтому, документ может стать хорошей отправной точкой для погружения в тему за короткий промежуток времени.

#dev #ops

AppSec & DevSecOps Jobs

Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.

#talks #dev #ops

illuminatio - The kubernetes network policy validator

illuminatio - утилита для проверки и тестирования Network Policies. Как только вы запускаете illuminatio clean run, инструмент выполняет проверки сетевой доступности согласно написанным сетевым политикам. Для этого генерируется ряд дополнительных ресурсов, включая DaemonSet illuminatio. Ресурсы удаляются сразу после выполнения тестов. Инструменту требуется root, SYS_ADMIN, allowPrivilegeEscalation: true. Судя по issues на текущий момент поддерживается только TCP.

#ops #k8s

DevSecOps Courses

В преддверии черной пятницы прилетает куча разных предложений с курсами от индусов. Кроме того, люди нередко пишут в лс с вопросами, с чего начать. Я курсов не проходил, но есть несколько, которые на мой взгляд выделяются на фоне остальных.

Kubernetes CKS 2020 Complete Course + Simulator - курс по безопасности Kubernetes. Стоит 100 евро, но вместе с ним идет симулятор для подготовки к абсолютно новой сертификации Certified Kubernetes Security Specialist. Попробовать симулятор и порешать кое-какие задания можно бесплатно.

Practical DevSecOps Training and Certification - достаточно популярная платформа для погружения DevSecOps с более или менее адекватной программой. У них также есть несколько открытых уроков по безопасности Docker. Также они ведут Awesome Threat Modeling. Сейчас есть некоторые скидки.

#dev #ops

Web Security for Developers

Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.

Особенно полезно будет для AppSec.

#dev #literature #web

Rootless containers

Нашел на просторах Интернета небольшой сайт Rootless Containers, который отражает прогресс решения задачи по работе с контейнерами без root в разных проектах.

В качестве примеров:
- Встроенные возможности Docker на разных версиях
- Podman rootless-mode
- BuildKit rootless-mode
- LXC unprivileged-mode
- Singularity fakeroot-mode

Есть также ряд сценариев, которые не попали в rootless, так как используются SETUID бинари или run-time контейнера продолжает работать от рута:
- Kaniko
- Makisu
- работа с docker.sock через группу docker и —userns-nemap режим

Для k8s rootless остается пока где-то в будущем. На текущий момент такая возможность есть только в Usernetes и k3s, которые не применимы для продакшн сред. Для решения rootless задачи они используют RootlessKit.

#docker #ops #k8s

Kubernetes Security Policies for Open Policy Agent

До этого я писал о том, как с помощью Open Policy Agent можно проверять Network Policies и Ingress, задавая правила на языке Rego. Аналогично на языке Rego мы можем задать правила для проверки любых других ресурсов. Чтобы облегчить себе жизнь, предлагаю взглянуть на репо k8s-security-policies, который представляет из себя набор правил CIS Kubernetes benchmark вместе с перенесенными правилами из Kubesec.io.

Как и в случае с выбором между Conftest и Hadolint для Docker, вы можете рассмотреть вариант с Conftest и Kubesec.io для k8s-манифестов в связке с правилами k8s-security-policies. Можно также рассмотреть другие инструменты из этой подборки.

Cписок политик Kubesec.io можно посмотреть здесь.

#k8s #ops

No dockershim in k8s, what about security?

Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.

Через некоторое время появляется страница в официальной документации k8s:

Don't Panic: Kubernetes and Docker

А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:

- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims

С точки зрения security советую вам посмотреть следующее видео:

Security Considerations for Container Runtimes

Если коротко, то первое, в чем выиграет безопасность, так это отсутствие CAP_NET_RAW в качестве дефолтного capability, при этом сохраняется возможность делать ping внутри контейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.

#k8s #ops #docker

Threat Alert: Fileless Malware Executing in Containers

Команда Nautilus Team обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я рассказывал на DevOpsFest.

В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью UPX и ezuri, шифруя таким образом содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается руткит для сокрытия новых процессов.

В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.

Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент Tracee, который использует eBPF для отслеживания сисколов.

#k8s #ops #docker #attack

Выложены доклады с Cloud Native Security Day North America 2020

https://www.youtube.com/playlist?list=PLj6h78yzYM2Otk8i3oB_VafP7IwB6LdaT

Программа доступна тут
https://events.linuxfoundation.org/cloud-native-security-day-north-america/program/schedule/

Benchmarking Approach to Compare Web Applications Static Analysis Tools Detecting OWASP Top Ten Security Vulnerabilities

Любопытное сравнение инструментов статического анализа на ResearchGate от лета 2020 года в разрезе OWASP Top 10. Внутри больше цифр и графиков. Выводы остаются за вами.

#dev #sast

Learn Kubernetes Security, Kaizhe Huang

Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.

Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.

#k8s #literature #ops

Connaisseur - Container Image Signatures in Kubernetes

connaisseur - open-source утилита, представляющая из себя admition controller в kubernetes, которая позволяет реализовать проверку подписей образов. Подробнее об этом можно прочитать в статье Container Image Signatures in Kubernetes. Альтернативный вариант, как это можно сделать - использовать ImagePolicyWebhook и Anchore Engine. Об этом в частности рассказывали коллеги из mail.ru на своей конференции. Еще один вариант - Portieris.

#k8s #ops

Немного любопытной статистики с GitHub Universe 2020 - Developer Asia Pacific, который идет прямо сейчас.

#dev

OpenSSF CVE Benchmark

День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.

Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.

#sast #dev