threat_modeling_designing_for_security.epub
6.4 MB
"Threat Modeling: Designing for Security." by Adam Shostack
Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.
#literature #threatmodeling #dev #ops
Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.
#literature #threatmodeling #dev #ops
Оказывается не так давно Aqua опубликовала полную версию книги. В конце есть чеклист.
#literature #ops
#literature #ops
Security_Automation_with_Ansible_2_Leverage_Ansible_2_to_automate.pdf
17.2 MB
Securing Automation with Ansible 2
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Understanding API Security, Justin Richer and Antonio Sanso
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
DevSecOps for .NET Core.epub
7.9 MB
DevSecOps for .NET Core
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
Microservices Security in Action.pdf
21.3 MB
Microservices Security in Action
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Advanced API Security_ OAuth 2.0 And Beyond.pdf
11.8 MB
Advanced API Security
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Forwarded from CloudSec Wine
Cyber_Security_on_Azure_An_IT_Professional’s_Guide_to_Microsoft.pdf
12.1 MB
🔹Cyber Security on Azure
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Cyber Security on Azure explains how this 'security as a service' (SECaaS) business solution can help you better manage security risk and enable data security control using encryption options such as Advanced Encryption Standard (AES) cryptography. Discover best practices to support network security groups, web application firewalls, and database auditing for threat protection. Configure custom security notifications of potential cyberattack vectors to prevent unauthorized access by hackers, hacktivists, and industrial spies.
#azure #literature
Безопасность разработки в Agile.pdf
4 MB
Безопасность разработки в Agile проектах, Лаура Белл, Майкл Брантон-Сполл, Рич Смит, Джим Бэрд.
Наконец попала в руки электронная версия книги "Безопасность разработки в Agile-проектах". До этого я ее публиковал только на английском языке.
Хорошая книга, которая слабо поможет в безопасности разработки с технической точки зрения, но даст ориентир в части организации процессов в компании. Тем не менее, здесь есть описание работы с BDD-Security, ZAP, Gauntlt. К тому же это отличный старт для тех, кто только погружается в тему.
#literature #dev #ops
Наконец попала в руки электронная версия книги "Безопасность разработки в Agile-проектах". До этого я ее публиковал только на английском языке.
Хорошая книга, которая слабо поможет в безопасности разработки с технической точки зрения, но даст ориентир в части организации процессов в компании. Тем не менее, здесь есть описание работы с BDD-Security, ZAP, Gauntlt. К тому же это отличный старт для тех, кто только погружается в тему.
#literature #dev #ops
Joren_Vrancken_4593847_A_Methodology_for_Penetration_Testing_Docker.pdf
1.7 MB
A Methodology for Penetration
Testing Docker Systems
Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.
#docker #literature #attack #ops #dev
Testing Docker Systems
Нашел неплохой документ от января этого года, собирающий все основные моменты по тестированию безопасности приложения в Docker.
#docker #literature #attack #ops #dev
securing_microservice_apis_sustainable_and_scalable_access_control.pdf
2.8 MB
Securing microservice APIs
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
Web Security for Developers.epub
18.7 MB
Web Security for Developers
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Learn_Kubernetes_Security.epub
9.2 MB
Learn Kubernetes Security, Kaizhe Huang
Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.
Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.
#k8s #literature #ops
Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.
Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.
#k8s #literature #ops
How GitOps Improves the Security of Your Development Pipelines
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
DevSecOps_A_leaders_guide_to_producing_secure_software_without_compromising.pdf
2.2 MB
DevSecOps, A leader's guide to producing secure software without compromising flow, feedback and continuous improvement, Glenn Wilson
#literature #dev #ops
#literature #dev #ops
Red_Hat_and_IT_Security.pdf
2.8 MB
Red Hat and IT Security
Обзорная книга по безопасности в DevOps в связке с продуктами Red Hat от 2021 года.
Из интересного и не заезженного - обзор в связке с безопасностью:
- Red Hat Hyperconverged Infrastructure (HCI)
- Red Hat OpenStack Platform (RHOSP)
- Red Hat Smart Management
- Red Hat Insights.
#literature #ops
Обзорная книга по безопасности в DevOps в связке с продуктами Red Hat от 2021 года.
Из интересного и не заезженного - обзор в связке с безопасностью:
- Red Hat Hyperconverged Infrastructure (HCI)
- Red Hat OpenStack Platform (RHOSP)
- Red Hat Smart Management
- Red Hat Insights.
#literature #ops
Security-Chaos-Engineering-Verica-.pdf
2.4 MB
Security Chaos Engineering, Gaining Confidence in Resilience and Safety at Speed and Scale
Давно ждал эту книгу от Verica и рад, что она есть в открытом доступе. В книге описано подробно про Chaos Engineering в разрезе безопасности с примерами тестов. Прошлый пост с другими материалами по данной теме можно почитать здесь.
#ops #literature
Давно ждал эту книгу от Verica и рад, что она есть в открытом доступе. В книге описано подробно про Chaos Engineering в разрезе безопасности с примерами тестов. Прошлый пост с другими материалами по данной теме можно почитать здесь.
#ops #literature