STOP!! You don’t need Microservices.

На какие вопросы стоит знать ответы прежде чем начать использовать микросервисы.

https://medium.com/@ebin/stop-you-dont-need-microservices-dc732d70b3e0

Дописал вот такой вот bash скриптец, который чекает состояние Linux системы (CentOS / Fedora) возможно кому то пригодится

Что проверяет и отображает:

* Системную информацию (IP, имя машины, дистрибутив, архитектура)
* Использование CPU / Memory (в целом на сколько загружены проц, память)
* Использование ЖД (сколько процентов занято)
* Когда последний раз перезагружалась система
* Что примонтировано
* Средняя загрузка
* Провекра статуса systemctl служб

Ссылка на git тоже имеется.

Скрины + описание:

https://sys-adm.in/sections/os-nix/881-bash-sbor-informatsii-o-sisteme.html

👨🏼‍💻 По ссылке разбор CVE-2019-19886, с пояснением, и примером. Автор показывает, как реализуется атака, и роняет Nginx.

#security #modsecurity #nginx

Нашел офигенную(?) штуку для кубов, со слов пары одменов с работы - они довольны.

A web-based, highly extensible platform for developers to better understand the complexity of Kubernetes clusters. https://octant.dev

https://github.com/vmware-tanzu/octant

добрые люди перевели DORA отчет на русский
https://habr.com/ru/post/488212/

DAST for web - подборка инструментов (free)

Zed Attack Proxy (ZAP) - мощный мультиплаформенный инструмент от OWASP для тестировоания безопасности веб-приложений. Инструмент написан на Java , поддерживает автоматическое сканирование, аутентификацию, Ajax spiders, фаззинг, тестирование веб-сокетов. Под ZAP есть плагин Jenkins. Статья про интеграцию.

Wfuzz - инструмент написан на Python, поддерживает аутентификацию, cookies fazzing, мультипоточность, вывод в html, прокси и SOCK

Wapiti - инструмент для опытных пользователей без GUI и веб-интерфейса, имеет поддержку аутентификации с помощью Kerberos и NTLM, умеет првоерять на XXE inj, слабую конфигурацию .htaccess, искать конфиденциальную информацию в резервных копиях

W3af - один из самых популярных инструментов тестироования на Python, есть GUI, легко разваричивается, имет большую базу уязвимостей, расширяется с помощью плагинов. Полный перечень плагинов.

Vega - инструмент на Java с GUI, имеет возможность проверять настройки безопасности TLS / SSL, SSL MITM, расширяется с помощью API-интерфейса модуля JavaScript

Более широкий перечень DAST можно найтти на странице OWASP здесь

Наверняка забыл еще какие-то интересные фичи. Вспомните - пишите в лс )

#dast #tools

"Hands-On Security in DevOps: Ensure continuous security, deployment, and delivery with DevSecOps Kindle Edition"

Содержание
1) DevSecOps Драйверы и проблемы
2) Цель безопасности и метрики
3) Программа и организация обеспечения безопасности
4) Требования безопасности и соответствие
5) Пример из практики: Программа обеспечения безопасности
6) Архитектура безопасности, структура общих модулей, принципы проектирования
7) Практика моделирования угроз и безопасный дизайн
8) Безопасный код, базовый уровень, инструменты и лучшие практики
9) Пример: непрерывные выпуски с безопасностью по умолчанию
10) План тестирования безопасности и кейсы
11) Советы по тестированию WhiteBox
12) Инструменты тестирования безопасности

#literature

IKEv2 IPsec virtual private networks : understanding and deploying IKEv2, IPsec VPNs, and FlexVPN in Cisco IOS
Bartlett, Graham

The IKEv2 protocol significantly improves VPN security, and Cisco’s FlexVPN offers a unified paradigm and command line interface for taking full advantage of it. Simple and modular, FlexVPN relies extensively on tunnel interfaces while maximizing compatibility with legacy VPNs. Now, two Cisco network security experts offer a complete, easy-tounderstand, and practical introduction to IKEv2, modern IPsec VPNs, and FlexVPN.

О функции определения конфликтов в виндовом DHCP + скрипт проверки активности данной функции.

http://techgenix.com/dhcp-servers-conflict-detection/?utm_source=email&utm_medium=tgnewsletter&utm_campaign=tgweekly-200211&hq_e=el&hq_m=1935455&hq_l=10&hq_v=dcfb8202f3

#powershell #Microsoft #DHCP

Key Management Interoperability Protocol (KMIP)

Текущая спецификация KMIP 2.0: https://docs.oasis-open.org/kmip/kmip-spec/v2.0/os/kmip-spec-v2.0-os.html

wiki en: https://en.wikipedia.org/wiki/Key_Management_Interoperability_Protocol

wiki ru: https://ru.wikipedia.org/wiki/KMIP

KMIP разрабатывается OASIS, больше подробностей:

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip

OSS KMIP Server написанный на python:
https://pykmip.readthedocs.io/en/latest/index.html

OSS KMIP Server написанный на java:
https://www.ibm.com/developerworks/library/se-kmip4j/

#KMIP #Security

Офигеннейший подкаст от @d0znpp с самым известным юристом силиконовой долины Леонардом Грайвером:

https://youtu.be/ysOdh8nOl6U

В подкасте есть все: захватывающие истории кидания через х.й фаундеров инвесторами; тупые русские инвесторы; наивные CTO; как защититься Фаундеру в долине и пр.

10 пегих дудочников из 10

Banzai Cloud зарелизили Thanos Operator 🔥

Он уже умеет:
* Auto discover endpoints
* Manage persistent volumes
* Metrics configuration
* Simple TLS configuration

И будет добавлено:
* Tracing configuration
* Endpoint validation
* Certificate management
* Advanced secret configuration

http://amp.gs/u6oh
GitHub: http://amp.gs/u6oE
#thanos #prometheus #k8s

​​asdf

Manage multiple runtime versions with a single CLI tool

asdf - неплохая реализация инструмента для контроля версий.
Есть куча поддерживаемых языков и удобная работа с ними.
Если приходится часто работать с версиями, asdf выглядит как неплохое решение.

Практика Knowledge Management

Интернет принёс чудесную книгу "Knowledge Management. Tools ans Techniques Manual"
https://www.apo-tokyo.org/publications/wp-content/uploads/sites/5/KM-Tools-and-Texhniques-Manual.pdf
Вот прямо перечень приёмов с объяснением что это такое и с какой стороны подступиться. Зачастую даже со ссылками на ютуб и источники.

Хорошая штука, которая стоит того, чтобы её пошарить.

Знакомство с технологией FC-NVMe в бесплатной книжке от ibm/brocade
NVMe over Fibre Channel for dummies
https://www.ibm.com/downloads/cas/MLAEO6R8

Helm Best Practices от Lars Windolf

http://amp.gs/JjOk
#helm #kubernetes

может кому пригодится, нашёл ssh bastion сервер с ролями, логированием и всем прочим
https://github.com/moul/sshportal
давно искал что-то подобное, наконец нашёл :)

Очень полезный пост про то как мониторить аномалии

https://about.gitlab.com/blog/2019/07/23/anomaly-detection-using-prometheus/

#grafana #prometheus

cfn-nag

Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.

Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)

https://github.com/stelligent/cfn_nag

#tools #aws

Security in IaC (Terraform)

В предыдущем посте упомянал тулзу cfn-nag для сканирования шаблонов CloudFormation. Сегодня рассмотрим утилиты для сканирования шаблонов Terraform

Checkov - это инструмент статического анализа кода для infrastructure-as-code. Он сканирует облачную инфраструктуру, предоставляемую с помощью Terraform, и обнаруживает неправильные конфигурации безопасности.

Terrascan - набор инструментов для статического анализа terraform шаблнов используя terraform_validate.

tfsec - аналогичная предыдущим тулза для проверки terraform шаблонов. В отличие от Terrascan проверяет шаблоны для Azure и Google

#tools #terraform