Semgrep for Cloud Security

Semgrep - инструмент статического анализа кода и всевозможных конфигурационных файлов. Он позволяет задавать паттерны, согласно которым будет осуществляться поиск той или иной конструкции в файле. В частности, учитывать одновременно сразу несколько конструкций для сокращения ложных срабатываний. На практике при анализе исходных кодов semgrep выдает все же достаточно много фолзов, уступая более умным инструментам вроде codeql.

Другое, отличное на мой взгляд, применение semgrep - terraform и kubernetes. В сравнении с OPA Conftest semgrep обладает более доступным языком описания запросов. Вот пример того, как могли бы выглядеть правила. Часть некоторых правил, с которых можно было бы начать, уже можно найти в репо semgrep-rules. Еще у semgrep есть удобный веб-интерфейс для тестирования правил.

#k8s #terraform #sast #ops #opa

Security: KubeCon + CloudNativeCon North America 2020 - Virtual

Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.

- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать

- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA

- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации

- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.

К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.

- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences

- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷‍♂️ (Bypass Falco)

Программа конференции
Другие доклады

#dev #ops #k8s #talks #opa

How To Protect Sensitive Data in Terraform

Гайд, как хранить и прятать sensitive информацию в Terraform. В качестве безопасного хранилища данных используется DigitalOcean Space. Использование удаленного хранилища вместо локального позволит скрыть информацию terraform.tfstate от злоумышленника. Также применяется маскирование данных через инструмент tfmask, чтобы sensitive данные не отображались в terraform plan и terraform apply.

https://www.digitalocean.com/community/tutorials/how-to-protect-sensitive-data-in-terraform

#ops #terraform

Risk8s Business: Risk Analysis of Kubernetes Clusters

Mark Manning, автор статей и докладов про атаки на kubernetes, совместно с Clint Fiber, автором блога по AppSec/DevSecOps, выпустили раздел про анализ рисков k8s.

Анализ рисков состоит из двух важных этапов:
- Сбор информации об окружении. Сюда входит сбор всевозможных ресурсов k8s и оценка его сложности, способ его развертывания, используемые CNI, логи, RBAC-правила, сторонние сервисы (CI/CD, registry, vault)
- Анализ возможных рисков. На основе собранной информации, выявляются риски, связанные с мисконфигурацией - доступные сервисы, уязвимости кластера и хостов по итогам проверки CIS, некорректные NP, доступность директорий из подов и так далее.

Было также упомянуто много интересных статей и утилит, которые я опишу в последующих постах.

#k8s #attack #threatmodeling #ops

Kubernetes RBAC Security Pitfalls

Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'.

Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls

Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes

Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies

#k8s #ops #attack

Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform

Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.

В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.

- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues

#ops #terraform #threatmodeling #aws

Declarative Authorisation Service (DAS)

На последнем KubeCon NA 2020 компания Styra, куда входят разработчики OPA, релизнули бесплатную версию DAS (Declarative Authorisation Service). Это сервис, который может бесплатно помочь небольшим командам (до 10 нод) внедрить OPA себе в инфраструктуру. Сервис предоставляет удобный редактор правил Rego с возможностью валидации, инструмент мониторинга действий в кластере и срабатываний AdmissionController, встроенный пак собственных правил.

Подробнее:
https://www.infracloud.io/blogs/opa-the-easy-way-featuring-styra-das/

А еще у Styra есть бесплатный небольшой курс по OPA.

#k8s #ops #opa

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator - тестовый стенд, разворачиваемый с помощью Terraform в AWS, на котором можно попрактиковать различные сценарии атаки и защиты в k8s. Сюда входят атаки на секреты, rbac, etcd и многое другое. В случае, если что-то не получается, можно воспользоваться хинтами.

Чтобы получить какую-то теоретическую базу, можно ознакомиться с K8s Attack Tree. Это набор сценариев различных атак в виде деревьев на базе методологии STRIDE.

Ну и не забываем про известный проект ATT&CK Matrix Kubernetes.

#k8s #attack #threatmodeling #ops

Кстати, для тех, кто не хочет разбираться в развертывании, а хочет сразу начать хацкать, на известном для многих CTF-любителей ресурсе root-me есть соответствующий таск "In Your Kubernetass". Достаточно запустить ВМ и можно подключаться в облако.

#attack #k8s

--enable-admission-plugins=PodSecurityPolicy

#пятничное #k8s

🍷Happy Wine Year!🍷

Друзья, сегодня ровно год как был создан канал DevSecOps Wine. Еще в начале года я ставил себе цель достигнуть отметки в 500 человек к концу 2020, а сейчас вас уже более 3000 человек. Спасибо за фидбек, предложенные материалы и поддержку! С наступающим Новым 2021 годом!

Уже сейчас запланировано несколько интересных активностей на следующий год для community и я очень надеюсь, что все пройдет по плану. Оставайтесь на связи!

Пока что предлагаю вам присоединиться:

@sec_devops_chat - обсуждения всего, что относится к DevSecOps

@appsec_job - вакансии по DevSecOps и AppSec

@cloud_sec - канал про безопасность облаков на английском

State of Software Security

Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.

Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.

#sast #dast #sca #dev #report

How GitOps Improves the Security of Your Development Pipelines

Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:

- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security

Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:

- Securing GitOps Pipeline

В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.

Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:

- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)

Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.

UPD. Книгу можно взять здесь. Спасибо подписчикам <3

#ops #k8s #literature

Lesser Known Techniques for Attacking AWS Environments

На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:

- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях

В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.

Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS

Также кое-что можно найти по хэштегам и в @cloud_sec

#aws #attack

DevSecOps, A leader's guide to producing secure software without compromising flow, feedback and continuous improvement, Glenn Wilson

#literature #dev #ops

DevSecOps Practices And Open Source Managent in 2020

Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.

Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию

- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная

- Самые популярные средства защиты - WAF, SCA, DAST

- 72% имеют политику использования open-source

- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц

И некоторая другая статистика в pdf.

Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.

За ссылку спасибо @Mr_R1p

#dev #ops #report