Microservices Security in Action

Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation

#literature #k8s #docker #ops

Sysdig подготовили 12 рекомендаций по поводу сканирования образов контейнеров.

Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу

#kubernetes #security

“There’s something truly special happening in the static analysis world”

Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.

LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.

Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.

#tools #sast #dev

GitHub Public Roadmap

Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.

https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22

#news #dev

Awesome DevSecOps

Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.

DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis

А еще есть русская версия Awesome DevSecOps.

#tools #bestpractice #web #fuzzing #sast #dast #dev #ops

So I Heard You Want to Learn Kafka

Kafka является мощной распределенной платформой для потоковой обработки сообщений от различных источников (брокер сообщений). Про эту платформу в разрезе безопасности есть отдельная часть в книге "Безопасный DevOps" . К вашему вниманию обзорная статья So I Heard You Want to Learn Kafka про безопасность Kafka, а именно шифрование, аутентификацию и авторизацию. Статья входит в серию статей Kubernetes Primer for Security Professionals, где также можно найти The Current State of Kubernetes Threat Modelling про моделирование угроз k8s, My Arsenal of Cloud Native (Security) Tools и так далее. Кстати, в статье приведена лаба k8s-lab, в компоненты которой входит Kafka, Zookeeper, KafkaExporter, Entity Operator.

Документация по Kafka Security с Confluent.

#tools #ops

Materialize threats tool

materialize_threats - любопытный open-source инструмент для моделирования угроз на базе STRIDE.

Сценарий работы с ним следующий:
1. Создание диаграммы взаимодействия компонентов в .drawio, согласно вашему data flow
2. Выделение доверенных зон на диаграмме, согласно Rapid Threat Model Prototyping methodology (в readme есть пояснение)
3. Сохранение файла .drawio
4. Запуск materialize.py с импортом файла .drawio
5. Получение сценария реалзиации угроз в формате Gherkin

Пока что инструмент для прода не пригоден, но внимания определенно заслуживает. Похожая схема моделирования угроз работает в Enterpise решении irius risks.

#tools #threatmodeling #dev #ops

Container Breakouts

Серия статей, посвященная тому, как происходит выход за пределы контейнера. Об этой угрозе часто можно услышать от маркетологов решений по Container Runtime Security, но время разобраться, как это происходит на самом деле.

Part 1: Access to root directory of the Host
Part 2: Privileged Container
Part 3: Docker Socket

Также автор предлагает познакомиться с CVE-2019-5736, CVE-2019-14271, а также со статьей "Abusing Privileged and Unprivileged Linux Containers "

Для того, чтобы предотвратить возможность выхода за пределы контейнера, Clint Gibler написал отдельный перечень инструментов тестирования.

#docker #ops #attack

Introducing the State of Open Source Terraform Security Report 2020

Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.

Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».

Сам отчет можно посмотреть здесь.

Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.

#report #terraform #aws #azure #gcp #dev #ops

Cloud Security Channel - @cloud_sec

В силу того, что я встречаю большое количество интересного материала про Public Cloud Security (AWS, Azure, GCP security), а времени делать ревью к каждой статье не хватает, я решил вынести этот материал в отдельный канал - CloudSec Wine. Здесь будут публиковаться инструменты, новости и конференции в разрезе security в мире облачных провайдеров на английском языке.

В DevSecOps Wine будут также время от времени публиковаться выборочно самые сливки по Cloud Security на русском языке.

Отдельное спасибо @ttffdd за то, что согласился продолжить вести его канал cloudsec.

#news #talks #ops

Sandboxing and Workload Isolation

В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.

Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.

https://fly.io/blog/sandboxing-and-workload-isolation/

#tools #docker #k8s ops

Holistic.dev - static sql analyzer

Пока еще продолжает идти хайп на Flipper Zero, предлагаю посмотреть на также весьма интересный молодой проект.

Holistic.dev - это статический анализатор в виде SaaS. Принимает на вход схемы DBA, после чего выводит результаты, сообщающие проблемы как в производительности, так и в безопасности. Так, например, сервис может предотвратить утечку данных или сообщить о наличии запросов, требующих чрезмерное количество данных.

На данный момент сервис бесплатный, поддерживается синтаксис Postgresql до 13 версии включительно.

Подробнее вы можете прочитать в заметках автора проекта в телеграм-канале. У @antonrevyako в планах развивать проект, увеличить число правил и поддерживаемых БД, после чего попытаться внедрить сервис в популярные облачные провайдеры.

#tools #sast #dev

Pysa: An open source static analysis tool to detect and prevent security issues in Python code

Статья от Facebook о работе их open source статического анализатора кода на Python - Pysa, которого они используют для поиска дефекта кода Instagram. Немного рассказывают про то, как Pysa обнаруживает фолзы, и как работает data flow analysis. В документации Pysa позиционируется как performant type checker. Pysa интегрируется с VSCode, но как и в Bandit результаты не приводятся к CWE, что нередко вызывает сложности при менеджменте дефектов.

https://www.facebook.com/notes/protect-the-graph/pyre-fast-type-checking-for-python/2048520695388071/

#sast #tools #dev

В официальном блоге Kubernetes есть статья "11 Ways (Not) to Get Hacked" от июля 2018 года.

Статья как вы понимаете совсем не новая, но проблемы/рекомендации, описанные в ней до сих пор актуальные.

В статье автор все рекомендации разделил на 2 части - те, что надо реализовать на Control Plane и те, что на Workloads. Для первой категории по большому счету нужно что-то указать, поставить, использовать - есть четкое руководство к действию. Во второй категории все намного сложнее - тут вы должны понять, разобраться, сконфигурировать и все в зависимости от конкретно ваших приложений, что крутятся в кластере.

Также продолжая сравнения, можно сказать, что для первой категории все уже есть и просто отключено для простого старта использования (никто не хочет, чтобы при первом знакомстве с чем-то новым ломался мозг - чем проще, тем лучше). Во втором случае просто даются механизмы, которые можно использовать (или не использовать) для обеспечения безопасности своих приложений.

Это приводит к мысли о том, что как бы вы отлично не знали все настройки безопасности Kubernetes, без знания что и как делают ваши приложения в нем добиться хорошей безопасности невозможно.

DevSecOps Community Survey 2020

Swordfish Security представили перевод ежегодного отчета DevSecOps Community Survey 2020 от Sonatype на русском языке. Основная цель отчета - показать как меняется жизнь компании, в особенности разработчиков, после внедрения практик безопасной разработки.

#report #dev

AWS Exposable Resources

FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.

Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.

И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.

#aws #tools #secret #ops