Эксплуатация software supply chain уязвимостей в Consul
Всем привет!
Сегодня предлагаем вам небольшую статью, в которой Авторы рассказывают о том, как им удалось найти dependency confusion в проекте Consul.
Началось все с того, что они обнаружили пакет, управление версиями для которого не осуществлялось. Да, был еще один конфигурационный файл, который это нивелировал. Однако, не все пакетные менеджеры смогли бы это «понять». Например, с
Продолжив исследование, команда нашла еще несколько подобных пакетов. Оказалось, что они «свободны» и их можно «занять».
Именно это и сделали исследователи. Создали простой payload, который возвращает следующую информацию:
И… это сработало! Спустя некоторое время команда получила pingback с информацией о «жертве». После успешного PoC пакет был удален, а команда HashiCorp («владельцы» Consul) внесли необходимые изменения.
Хорошо то, что хорошо заканчивается! Тем не менее это лишний раз подчеркивает важность и значимость обеспечения безопасности цепочки поставки ПО.
P.S. Информацию об уязвимых версиях и особенностях эксплуатации можно найти в статье.
Всем привет!
Сегодня предлагаем вам небольшую статью, в которой Авторы рассказывают о том, как им удалось найти dependency confusion в проекте Consul.
Началось все с того, что они обнаружили пакет, управление версиями для которого не осуществлялось. Да, был еще один конфигурационный файл, который это нивелировал. Однако, не все пакетные менеджеры смогли бы это «понять». Например, с
pnpm
могли возникнуть нюансы.Продолжив исследование, команда нашла еще несколько подобных пакетов. Оказалось, что они «свободны» и их можно «занять».
Именно это и сделали исследователи. Создали простой payload, который возвращает следующую информацию:
hostname
, whoami
и path
. После чего разместили пакет на общедоступном ресурсе.И… это сработало! Спустя некоторое время команда получила pingback с информацией о «жертве». После успешного PoC пакет был удален, а команда HashiCorp («владельцы» Consul) внесли необходимые изменения.
Хорошо то, что хорошо заканчивается! Тем не менее это лишний раз подчеркивает важность и значимость обеспечения безопасности цепочки поставки ПО.
P.S. Информацию об уязвимых версиях и особенностях эксплуатации можно найти в статье.
👍4
Zizmor: анализ GitHub Actions
Всем привет!
GitHub Actions - не самое популярное решение в enterprise-компаниях, но вдруг информация в посте кому-нибудь пригодится.
Zizmor – CLI утилита, которая позволяет его анализировать и находить ИБ-недостатки.
Важно(!): на текущий момент она находится в beta-стадии.
Как ипрактически любая CLI-утилита, Zizmor устанавливается просто и сразу готова к использованию.
При помощи нее можно найти:
🍭 Dangerous triggers
🍭 Excessive permissions
🍭 Hardcoded container credentials
🍭 Template injection и не только
Из приятного – может предоставлять отчеты как plain-текстом, так и в JSON/SARIF-форматах.
Больше информации, включая примеры использования, можно найти в документации.
Всем привет!
GitHub Actions - не самое популярное решение в enterprise-компаниях, но вдруг информация в посте кому-нибудь пригодится.
Zizmor – CLI утилита, которая позволяет его анализировать и находить ИБ-недостатки.
Важно(!): на текущий момент она находится в beta-стадии.
Как и
При помощи нее можно найти:
🍭 Dangerous triggers
🍭 Excessive permissions
🍭 Hardcoded container credentials
🍭 Template injection и не только
Из приятного – может предоставлять отчеты как plain-текстом, так и в JSON/SARIF-форматах.
Больше информации, включая примеры использования, можно найти в документации.
GitHub
GitHub - zizmorcore/zizmor: Static analysis for GitHub Actions
Static analysis for GitHub Actions. Contribute to zizmorcore/zizmor development by creating an account on GitHub.
👍2❤1
Наш друг ведет отличный канал по информационной безопасности в целом и по обновлениям различных стандартов в частности.
Не совсем по тематике DevSecOps, но вдруг кому-нибудь будет интересно :)
Не совсем по тематике DevSecOps, но вдруг кому-нибудь будет интересно :)
Forwarded from ИБ на полшестого
NIST Cybersecurity Framework (CSF) 2.0 RU.pdf
954.1 KB
NIST CSF на мой взгляд один из лучших фреймворков по управлению рисками кибербезопасности. Изначально целевая группа NIST CSF – критически важные объекты, новая же (v 2.0) структура стала адаптируемой и полезной для более широкого круга организаций.
Все материалы NIST CSF на английском, но энтузиасты перевели их на русский и поделились с киберсферой:
Забираем в закладки)
#framework
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4🥰3👍2🤡1
Observability в Kubernetes
Всем привет!
Сегодняшнийпятничный пост посвящен observability в Kubernetes. Чем больше уровней абстракции, тем сложнее в них потеряться и понять что происходит.
Для того, чтобы решить эту задачу можно использовать различные observability-инструменты, которые позволят получить ту самую «видимость».
Автор статьи предлагает «разбить» observability на 3 уровня:
🍭 Внешняя. Информация, связанная с user experience – время отклика, производительность и т.д.
🍭 Внутренняя. Метрики и логи, генерируемые системой
🍭 Операционная система. Отслеживание System Calls
Для каждого уровня Автор приводит несколько инструментов, которые могут пригодиться.
Из интересного еще то, что каждый уровень рассматривается с точки зрения нескольких ролей: Клиент, Разработчик, Platform-инженер, SRE и т.д.
Всем привет!
Сегодняшний
Для того, чтобы решить эту задачу можно использовать различные observability-инструменты, которые позволят получить ту самую «видимость».
Автор статьи предлагает «разбить» observability на 3 уровня:
🍭 Внешняя. Информация, связанная с user experience – время отклика, производительность и т.д.
🍭 Внутренняя. Метрики и логи, генерируемые системой
🍭 Операционная система. Отслеживание System Calls
Для каждого уровня Автор приводит несколько инструментов, которые могут пригодиться.
Из интересного еще то, что каждый уровень рассматривается с точки зрения нескольких ролей: Клиент, Разработчик, Platform-инженер, SRE и т.д.
Medium
Black Box vs White Box Observability in Kubernetes
Understanding Multi-layer Observability in Kubernetes
🔥2
DFIR в контейнерах: основы
Всем привет!
Digital Forensics и Incident Response (DFIR) – тема очень интересная, особенно, если дело касается контейнеров, которые обитают «в своем мире».
В статье команда Sysdig описывает, как и что можно делать, согласно методологии NIST (Computes Security Incident Handling Guide).
Рассматриваются шаги:
🍭 Preparation
🍭 Detection and Analysis
🍭 Containment Eradication and Recovery
🍭 Post-Incident Activity
Для каждого шага описывается его назначение и возможные способы автоматизации.
P.S. А если хочется узнать про это больше, то можно ознакомиться с докладом по DFIR, представленным командой Sysdig на CloudNative SecurityCon в 2023. Ссылка на него есть в начале статьи
Всем привет!
Digital Forensics и Incident Response (DFIR) – тема очень интересная, особенно, если дело касается контейнеров, которые обитают «в своем мире».
В статье команда Sysdig описывает, как и что можно делать, согласно методологии NIST (Computes Security Incident Handling Guide).
Рассматриваются шаги:
🍭 Preparation
🍭 Detection and Analysis
🍭 Containment Eradication and Recovery
🍭 Post-Incident Activity
Для каждого шага описывается его назначение и возможные способы автоматизации.
P.S. А если хочется узнать про это больше, то можно ознакомиться с докладом по DFIR, представленным командой Sysdig на CloudNative SecurityCon в 2023. Ссылка на него есть в начале статьи
Sysdig
CSI Container: Can you DFIR it?
Do you like detective series? Have you ever thought about them actually taking place in cybersecurity? What do you think of CSI on containers? Are you
👍3
Gitlabcis: анализ GitLab на соответствие CIS
Всем привет!
Недавно GitLab представили собственную разработку – Gitlabcis.
Как нетрудно понять из названия он используется для того, чтобы проверять корректность конфигураций GitLab на соответствие одноименному CIS Benchmark.
Просто устанавливается, легко конфигурируется и быстро работает!
Из возможностей хотелось бы отметить:
🍭 Выдача результатов содержит Reason, в которой указано, почему настройка (не) соответствует требованиям
🍭 Есть возможность получения рекомендаций о том, как и что можно поправить (вплоть до «откройте XXX, выберите YYY и нажмите ZZZ)
Но не обошлось и без ограничений – реализовать автоматизированные проверки всего и вся не всегда просто/возможно. Все, что сейчас не реализовано, Авторы описали вот тут.
Больше подробностей, как обычно, в repo проекта и в официальной документации. А если вам хочется узнать roadmap развития утилиты, то он есть в статье из поста 😊
Всем привет!
Недавно GitLab представили собственную разработку – Gitlabcis.
Как нетрудно понять из названия он используется для того, чтобы проверять корректность конфигураций GitLab на соответствие одноименному CIS Benchmark.
Просто устанавливается, легко конфигурируется и быстро работает!
Из возможностей хотелось бы отметить:
🍭 Выдача результатов содержит Reason, в которой указано, почему настройка (не) соответствует требованиям
🍭 Есть возможность получения рекомендаций о том, как и что можно поправить (вплоть до «откройте XXX, выберите YYY и нажмите ZZZ)
Но не обошлось и без ограничений – реализовать автоматизированные проверки всего и вся не всегда просто/возможно. Все, что сейчас не реализовано, Авторы описали вот тут.
Больше подробностей, как обычно, в repo проекта и в официальной документации. А если вам хочется узнать roadmap развития утилиты, то он есть в статье из поста 😊
about.gitlab.com
New CIS GitLab Benchmark scanner boosts security and compliance
GitLab's gitlabcis scanner determines level of compliance for GitLab projects. Learn how to install and use the tool with this tutorial, as well as what's on the roadmap.
👍4🤩2
Форензика в Kubernetes
Всем привет!
Продолжение истории с DFIR в контейнерах от Sysdig! Предыдущая статья закончилась на том, что это важно, интересно и полезно. Но, как и что делать – озвучено не было.
Именно этому и посвящена вторая статья! А именно – использованию функционала Checkpoint. Если просто – сохранению состояния контейнера в определенный момент времени для дальнейшего расследования.
В качестве примера команда Sysdig собирает Falco, Falco Sidekick, ArgoCD вместе, чтобы автоматически создавать Checkpoint в случае, если Falco обнаруживает нечто подозрительное.
Далее на реальном примере разбирается как можно проводить расследования в контейнерах и на что можно и нужно обращать внимание.
В завершении – полный перечень используемых инструментов и много ссылок «на почитать».
P.S. А если хочется материалов по теме на русском языке, то рекомендуем обратиться вот к этому докладу Сергея Канибора из команды Luntry – все по полкам! Да, 2022, но концепты не слишком сильно изменились 😊
Всем привет!
Продолжение истории с DFIR в контейнерах от Sysdig! Предыдущая статья закончилась на том, что это важно, интересно и полезно. Но, как и что делать – озвучено не было.
Именно этому и посвящена вторая статья! А именно – использованию функционала Checkpoint. Если просто – сохранению состояния контейнера в определенный момент времени для дальнейшего расследования.
В качестве примера команда Sysdig собирает Falco, Falco Sidekick, ArgoCD вместе, чтобы автоматически создавать Checkpoint в случае, если Falco обнаруживает нечто подозрительное.
Далее на реальном примере разбирается как можно проводить расследования в контейнерах и на что можно и нужно обращать внимание.
В завершении – полный перечень используемых инструментов и много ссылок «на почитать».
P.S. А если хочется материалов по теме на русском языке, то рекомендуем обратиться вот к этому докладу Сергея Канибора из команды Luntry – все по полкам! Да, 2022, но концепты не слишком сильно изменились 😊
Sysdig
CSI Forensics: Unraveling Kubernetes Crime Scenes
This is the second episode of the CSI Container series, published and presented at CloudNativeSecurityCon 2024. In this episode, we focus on Kubernetes
👍7❤1
Kubelab: интерактивные лабораторные по Kubernetes
Всем привет!
Самый простой способ что-то изучить – практика, практика и еще раз практика. Поэтому сегодня предлагаем вам познакомиться с проектом Kubelab.
Он позволяет реализовать «интерактивный Kubernetes-тренажер» локально и проходить различные задания.
Например:
🍭 Основы работы с Kubernetes (Networking, Storage, Jobs, RBAC и т.д.)
🍭 «Продвинутые» задания (выстраивание «цепочек» из того, что поясняется в «Основах»)
Для лабораторных есть подсказки или готовые решения, если не получилось сделать самостоятельно. Кроме этого, Kubelab обладает Web UI и редактором кода, чтобы упростить обучение.
Важно: проект еще достаточно «молодой», поэтому возможны различные нюансы, связанные с его работой
Всем привет!
Самый простой способ что-то изучить – практика, практика и еще раз практика. Поэтому сегодня предлагаем вам познакомиться с проектом Kubelab.
Он позволяет реализовать «интерактивный Kubernetes-тренажер» локально и проходить различные задания.
Например:
🍭 Основы работы с Kubernetes (Networking, Storage, Jobs, RBAC и т.д.)
🍭 «Продвинутые» задания (выстраивание «цепочек» из того, что поясняется в «Основах»)
Для лабораторных есть подсказки или готовые решения, если не получилось сделать самостоятельно. Кроме этого, Kubelab обладает Web UI и редактором кода, чтобы упростить обучение.
Важно: проект еще достаточно «молодой», поэтому возможны различные нюансы, связанные с его работой
GitHub
GitHub - natrontech/kubelab: Experience Kubernetes Mastery Through Practice
Experience Kubernetes Mastery Through Practice. Contribute to natrontech/kubelab development by creating an account on GitHub.
❤10👍6
Основы сети и сетевая безопасность в Kubernetes
Всем привет!
Если вы хотите познакомиться с основами сетевого устройства Kubernetes и подходами по защите, то эта обзорная статья может вам подойти.
Команда Otterize описывает следующее:
🍭 Ключевые концепты (Kube-proxy, Service и их типы)
🍭 Network Policies и как их можно использовать
🍭 «Путешествие» пакета и то, как можно анализировать трафик на примере простого приложения
🍭 Создание Network Policy для вышеуказанного приложения с использованием Open Source наработок Otterize (о которых мы писали тут и тут)
Очень много схем, комментариев и примеров. Отдельно хочется отметить часть, связанную с «путешествием» пакета – Авторы разобрали все весьма подробно.
Всем привет!
Если вы хотите познакомиться с основами сетевого устройства Kubernetes и подходами по защите, то эта обзорная статья может вам подойти.
Команда Otterize описывает следующее:
🍭 Ключевые концепты (Kube-proxy, Service и их типы)
🍭 Network Policies и как их можно использовать
🍭 «Путешествие» пакета и то, как можно анализировать трафик на примере простого приложения
🍭 Создание Network Policy для вышеуказанного приложения с использованием Open Source наработок Otterize (о которых мы писали тут и тут)
Очень много схем, комментариев и примеров. Отдельно хочется отметить часть, связанную с «путешествием» пакета – Авторы разобрали все весьма подробно.
Otterize
👍6
«Вредные советы» по безопасной разработке
Всем привет!
Обычно рассказывают про хорошие / лучшие практики по чему-либо. Безопасная разработка – не исключение.
Однако, все мы помним Григория Остера и его замечательные «Вредные советы». Которые весело читались и сохранялись в памяти на долгие годы.
Поэтому сегодня хотим рассказать про статью от CISA, в которой собраны такие вот "советы" по вопросам безопасности разрабатываемого ПО.
Например:
🍭 Использование memory unsafe languages (спорно, но)
🍭 Возможность добавления пользовательского ввода в SQL-запросы
🍭 Возможность добавления пользовательского ввода в команды ОС
🍭 Использование «чего-либо», обладающего известными уязвимостями и т.д.
Для каждого «совета» приводится описание и как делать «правильно». Да, выглядит «избито и банально», но, возможно, в такой трактовке лучше запомнится 😊
P.S. А если вы не знаете, кто такой Григорий Остер и что за «Вредные советы» - очень настойчиво рекомендуем ознакомиться 😊
Всем привет!
Обычно рассказывают про хорошие / лучшие практики по чему-либо. Безопасная разработка – не исключение.
Однако, все мы помним Григория Остера и его замечательные «Вредные советы». Которые весело читались и сохранялись в памяти на долгие годы.
Поэтому сегодня хотим рассказать про статью от CISA, в которой собраны такие вот "советы" по вопросам безопасности разрабатываемого ПО.
Например:
🍭 Использование memory unsafe languages (спорно, но)
🍭 Возможность добавления пользовательского ввода в SQL-запросы
🍭 Возможность добавления пользовательского ввода в команды ОС
🍭 Использование «чего-либо», обладающего известными уязвимостями и т.д.
Для каждого «совета» приводится описание и как делать «правильно». Да, выглядит «избито и банально», но, возможно, в такой трактовке лучше запомнится 😊
P.S. А если вы не знаете, кто такой Григорий Остер и что за «Вредные советы» - очень настойчиво рекомендуем ознакомиться 😊
Cybersecurity and Infrastructure Security Agency CISA
Product Security Bad Practices | CISA
This voluntary guidance provides an overview of product security bad practices that are deemed exceptionally risky, particularly for software manufacturers who produce software used in service of critical infrastructure or national critical functions (NCFs).
👍5❤2
И еще немного про Kubernetes Operators
Всем привет!
Предлагаем вам еще одну статью, посвященную Kubernetes Operators. Если вы хотели побольше о них узнать, то она может быть полезна.
Сперва Автор раскрывает основные идеи – Current State, Target State, Reconcile Loop. Дальше, на примере
Сам процесс создания
Далее – создание собственного контроллера с использованием Kubebuilder!
Автор приводит все шаги:
🍭 Подготовка шаблонов
🍭 Управление permissions при работе с
🍭 Настройка
🍭 Описание той самой reconcile-логики (что надо сдедать в случае, если с ресурсом X произошло событие Y)
🍭 Работа с
Очень-очень-очень-очень много пояснений, кода, различных схем и примеров из разных Kubernetes Operators.
Отличная статья для погружения в тему, рекомендуем!
Всем привет!
Предлагаем вам еще одну статью, посвященную Kubernetes Operators. Если вы хотели побольше о них узнать, то она может быть полезна.
Сперва Автор раскрывает основные идеи – Current State, Target State, Reconcile Loop. Дальше, на примере
Deployment
, каждый из концептов и внутренняя «машинерия» раскрывается детальнее.Сам процесс создания
Deployment
и использования соответствующих операторов хорошо описан и структурирован для того, чтобы лучше разобраться в происходящем.Далее – создание собственного контроллера с использованием Kubebuilder!
Автор приводит все шаги:
🍭 Подготовка шаблонов
🍭 Управление permissions при работе с
(Sub) Resources
🍭 Настройка
SetupWithManager
и указание ресурса для reconcile🍭 Описание той самой reconcile-логики (что надо сдедать в случае, если с ресурсом X произошло событие Y)
🍭 Работа с
Finalizers
и много всего ещеОчень-очень-очень-очень много пояснений, кода, различных схем и примеров из разных Kubernetes Operators.
Отличная статья для погружения в тему, рекомендуем!
Medium
Behind the Scenes: How Kubernetes Controllers Keep Your Cluster Running Smoothly
Behind the scenes in Kubernetes, controllers constantly monitor the cluster’s state, comparing it to your desired configuration. Whenever…
👍3❤2🔥2
Helmper: анализ образов Helm Chart
Всем привет!
Допустим, что у вас есть Helm Chart, образы из которого надо поместить в локальный реестр для дальнейшего использования.
С простыми Chart сделать это относительно не сложно, а со сложноустроенными – все может быть далеко не так тривиально.
Именно эту задачу (и не только!) помогает решить утилита Helmper. Она объединяет в себе Helm, Oras, Trivy, Copaсetic и Cosign.
Да, уже из «состава» видно, что умеет она чуть больше, а именно:
🍭 «Извлечение» образов из всех Helm Chart и их Sub Chart
🍭 Гибкое управление «импортом» образов – все или только новые
🍭 Анализ образов на наличие уязвимостей с Trivy
🍭 Устранение уязвимостей с использованием Copaсetic (детальнее про него мы писали тут)
🍭 Возможность подписи образов контейнеров и не только
Больше информации можно найти в repo и в документации на утилиту.
Важно: утилита находится в beta-стадии.
И, если вдруг вы захотите «устранять уязвимости автоматически» с Copaсetic не забывайте, что он создает новый слой сверху, что может увеличить размер образа.
Всем привет!
Допустим, что у вас есть Helm Chart, образы из которого надо поместить в локальный реестр для дальнейшего использования.
С простыми Chart сделать это относительно не сложно, а со сложноустроенными – все может быть далеко не так тривиально.
Именно эту задачу (и не только!) помогает решить утилита Helmper. Она объединяет в себе Helm, Oras, Trivy, Copaсetic и Cosign.
Да, уже из «состава» видно, что умеет она чуть больше, а именно:
🍭 «Извлечение» образов из всех Helm Chart и их Sub Chart
🍭 Гибкое управление «импортом» образов – все или только новые
🍭 Анализ образов на наличие уязвимостей с Trivy
🍭 Устранение уязвимостей с использованием Copaсetic (детальнее про него мы писали тут)
🍭 Возможность подписи образов контейнеров и не только
Больше информации можно найти в repo и в документации на утилиту.
Важно: утилита находится в beta-стадии.
И, если вдруг вы захотите «устранять уязвимости автоматически» с Copaсetic не забывайте, что он создает новый слой сверху, что может увеличить размер образа.
GitHub
GitHub - ChristofferNissen/helmper: Import Helm Charts to OCI registries, optionally with vulnerability patching
Import Helm Charts to OCI registries, optionally with vulnerability patching - ChristofferNissen/helmper
NPM Provenance и его использование
Всем привет!
NPM Provenance – механизм, который позволяет «связать» опубликованный пакет с исходными кодами GitHub-Repository.
Казалось бы, это очень хороший функционал, который позволит усилить защиту против атак на цепочку поставки ПО.
Однако, насколько часто им пользуются? Размышления на эту тему можно найти в статье. Spoiler:хотелось бы больше 😊
Автор рассматривает:
🍭 Общие риски ИБ в модели ИБ NPM (отсутствие требований к наличию provenance, отсутствие требований к публикации пакетов и т.д.)
🍭 Возможные причины, почему Provenance не получил (ает) желаемого распространения
🍭 Как включить и как проверить тот самый Provenance
🍭 Общие рекомендации как для Package Maintainers, так и для Package Users
Все очень просто и кратко описано, что позволит лучше разобраться как и что работает.
Также статья затрагивает другую интересную тему, а именно: получение полной информации о ПО – от условного commit до того, что получает конечный пользователь. Но об этом как-нибудь в другой раз 😊
Всем привет!
NPM Provenance – механизм, который позволяет «связать» опубликованный пакет с исходными кодами GitHub-Repository.
Казалось бы, это очень хороший функционал, который позволит усилить защиту против атак на цепочку поставки ПО.
Однако, насколько часто им пользуются? Размышления на эту тему можно найти в статье. Spoiler:
Автор рассматривает:
🍭 Общие риски ИБ в модели ИБ NPM (отсутствие требований к наличию provenance, отсутствие требований к публикации пакетов и т.д.)
🍭 Возможные причины, почему Provenance не получил (ает) желаемого распространения
🍭 Как включить и как проверить тот самый Provenance
🍭 Общие рекомендации как для Package Maintainers, так и для Package Users
Все очень просто и кратко описано, что позволит лучше разобраться как и что работает.
Также статья затрагивает другую интересную тему, а именно: получение полной информации о ПО – от условного commit до того, что получает конечный пользователь. Но об этом как-нибудь в другой раз 😊
❤3👍2🔥1
Выносим отчеты Kyverno из Etcd
Всем привет!
Будучи преисполненными в желании обеспечить безопасность в своем кластере kubernetes вы наверняка сталкивались с таким инструментом, как Kyverno.
Если нет, то:
В больших кластерах, и с большим количеством политик Kyverno пользователи могут столкнуться с замедлением работы api-server-а, а также с ограничением хранилища etcd.
И тут на выручку нам приходит новый проект от разработчиков Kyverno – Kyverno Reports Server! Он решает проблему масштабируемости отчетов о политике, сохраняя отчеты за пределами etcd - в реляционной базе данных PostgreSQL. Сервер отчетов достигает этого с помощью Kubernetes API aggregation layer, где он создает API-сервис, который принимает все запросы от локального сервера API и обрабатывает их. Сервер отчетов имеет доступ к реляционной базе данных, которую он использует для хранения отчетов.
Изучить детальнее можно по ссылке
Репозиторий: https://github.com/kyverno/reports-server
Всем привет!
Будучи преисполненными в желании обеспечить безопасность в своем кластере kubernetes вы наверняка сталкивались с таким инструментом, как Kyverno.
Если нет, то:
Kyverno — это инструмент для управления конфигурацией и обеспечения соответствия в Kubernetes. Он позволяет определить правила и политики, которым должны соответствовать кластеры Kubernetes, и автоматически применять эти правила при изменении кластера.
В больших кластерах, и с большим количеством политик Kyverno пользователи могут столкнуться с замедлением работы api-server-а, а также с ограничением хранилища etcd.
И тут на выручку нам приходит новый проект от разработчиков Kyverno – Kyverno Reports Server! Он решает проблему масштабируемости отчетов о политике, сохраняя отчеты за пределами etcd - в реляционной базе данных PostgreSQL. Сервер отчетов достигает этого с помощью Kubernetes API aggregation layer, где он создает API-сервис, который принимает все запросы от локального сервера API и обрабатывает их. Сервер отчетов имеет доступ к реляционной базе данных, которую он использует для хранения отчетов.
Изучить детальнее можно по ссылке
Репозиторий: https://github.com/kyverno/reports-server
❤4🔥4👍3
Компрометация кластера Kubernetes: пример сценария
Всем привет!
В статье рассматривается возможный сценарий компрометации кластера Kubernetes. Про «подготовку» такого кластера можно почитать вот тут (чтобы контекст был более понятен).
Сама «лабораторная среда» содержит множество некорректных конфигураций, которыми сможет воспользоваться злоумышленник.
Автор проделывают следующий путь:
🍭 Получают reverse shell в
🍭 Сбор первичной информации об окружении – какой runtime используется, что есть «внутри
🍭 Получение доступа к базе данных, используя роль Kubernetes, права которой только RO
🍭 Компрометация GitHub Runners / GitHub Actions и не только
Может показаться, что все подстроено. Отчасти – да, отчасти – нет, т.к. некорректные конфигурации в реальности встречаются чаще, чем хотелось бы. Поэтому некоторые из этих сценариев могут быть не совсем «теоретическими».
Вывод из этого можно сделать достаточно простой – не стоит пренебрегать практиками и средствами автоматизации, которые могут помочь в безопасной настройке окружения, необходимого как для разработки, так и для эксплуатации ПО.
Всем привет!
В статье рассматривается возможный сценарий компрометации кластера Kubernetes. Про «подготовку» такого кластера можно почитать вот тут (чтобы контекст был более понятен).
Сама «лабораторная среда» содержит множество некорректных конфигураций, которыми сможет воспользоваться злоумышленник.
Автор проделывают следующий путь:
🍭 Получают reverse shell в
Pod
. Для этого используется supply chain атака с подменой requests
на request` (typosquating)🍭 Сбор первичной информации об окружении – какой runtime используется, что есть «внутри
Pod
», анализ полномочий ServiceAccount
, из-под которой запущен Pod
🍭 Получение доступа к базе данных, используя роль Kubernetes, права которой только RO
🍭 Компрометация GitHub Runners / GitHub Actions и не только
Может показаться, что все подстроено. Отчасти – да, отчасти – нет, т.к. некорректные конфигурации в реальности встречаются чаще, чем хотелось бы. Поэтому некоторые из этих сценариев могут быть не совсем «теоретическими».
Вывод из этого можно сделать достаточно простой – не стоит пренебрегать практиками и средствами автоматизации, которые могут помочь в безопасной настройке окружения, необходимого как для разработки, так и для эксплуатации ПО.
Medium
Hands-on lab: Full Kubernetes compromise, what will your SOC do about it? (Part 2)
Part 2: Attacking Kuby infrastructure
❤4
Статический анализ JavaScript
Всем привет!
По ссылке можно найти вводную статью, посвященную статическому анализу JavaScript-приложений, подготовленную Snyk.
Автор разбирает разделы:
🍭 Что такое статический анализ и зачем он нужен
🍭 Отличие статического анализа от динамического
🍭 Статический анализ для нужд Quality и Security
🍭 Введение в Abstract Syntax Tree (AST) и его использование в анализе ПО
Каждый из блоков рассматривается на минималистичном примере, к которому даются комментарии.
В качестве инструмента анализа упоминается Snyk и ESLint.
Статья направлена на изучение базовых принципов и используемых технологий анализа кода на примере JavaScript и может пригодиться тем, кто только начинает свой путь в этой области.
Всем привет!
По ссылке можно найти вводную статью, посвященную статическому анализу JavaScript-приложений, подготовленную Snyk.
Автор разбирает разделы:
🍭 Что такое статический анализ и зачем он нужен
🍭 Отличие статического анализа от динамического
🍭 Статический анализ для нужд Quality и Security
🍭 Введение в Abstract Syntax Tree (AST) и его использование в анализе ПО
Каждый из блоков рассматривается на минималистичном примере, к которому даются комментарии.
В качестве инструмента анализа упоминается Snyk и ESLint.
Статья направлена на изучение базовых принципов и используемых технологий анализа кода на примере JavaScript и может пригодиться тем, кто только начинает свой путь в этой области.
Snyk
Getting started with JavaScript static analysis | Snyk
Static analysis tools are a must-have for JavaScript developers. They automatically scan your code for errors, security vulnerabilities, and formatting issues. This helps you write better code faster and improve your overall development process.
❤4
Kyverno Certified Associate
Всем привет!
Недавно CNCF анонсировала еще одну сертификацию. На этот раз она посвящена Kyverno! Как обычно – для прохождения надо ответить на вопросы, сгруппированные по доменам.
А сами домены следующие:
🍭 Fundamentals of Kyverno
🍭 Installation, Configuration and Upgrades
🍭 Kyverno CLI
🍭 Applying Policies
🍭 Writing Policies (и тут все-все-все – от Validation до Cleanup)
🍭 Policy Management
Выглядит как полноценный обзор всего, что может Kyverno. Однако, сдать экзамен можно только начиная с января 2025, сейчас открыта лишь предварительная запись.
И да, увы, экзамен платный – 250$
Всем привет!
Недавно CNCF анонсировала еще одну сертификацию. На этот раз она посвящена Kyverno! Как обычно – для прохождения надо ответить на вопросы, сгруппированные по доменам.
А сами домены следующие:
🍭 Fundamentals of Kyverno
🍭 Installation, Configuration and Upgrades
🍭 Kyverno CLI
🍭 Applying Policies
🍭 Writing Policies (и тут все-все-все – от Validation до Cleanup)
🍭 Policy Management
Выглядит как полноценный обзор всего, что может Kyverno. Однако, сдать экзамен можно только начиная с января 2025, сейчас открыта лишь предварительная запись.
И да, увы, экзамен платный – 250$
Linux Foundation - Education
Kyverno Certified Associate (KCA) | Linux Foundation Education
Kyverno expertise shows you understand the advanced aspects of cloud management and security, one of today's most in-demand skill sets.
👍4🔥1
Sealed Secret Web UI
Всем привет!
Если вы любите IaC подходы и храните конфигурацию в системе контроля версий, то рано или поздно встанет вопрос: «А что делать с Kubernetes Secretes?»
Ответом может стать утилита от Bitnami – Sealed Secrets (про нее мы писали тут). Если просто – то она создает «шифрованного двойника» секрета и позволяет разместить его в git-репозитории.
Сегодня же мы хотим рассказать вам про простую утилиту, которая позволяет сделать Web UI для Sealed Secrets.
Функционал минималистичен и прост:
🍭 Encode/Decode. (Де) кодирование строк в base64
🍭 Secrets. Получение всех Sealed Secrets в рамках Namespace
🍭 Seal. Шифрование Kubernetes Secret с созданием Sealed Secret
🍭 Validate. Проверка Sealed Secret
Ничего сверхъестественного, просто небольшое графическое представление информации, которое может немного упростить жизнь 😊
Всем привет!
Если вы любите IaC подходы и храните конфигурацию в системе контроля версий, то рано или поздно встанет вопрос: «А что делать с Kubernetes Secretes?»
Ответом может стать утилита от Bitnami – Sealed Secrets (про нее мы писали тут). Если просто – то она создает «шифрованного двойника» секрета и позволяет разместить его в git-репозитории.
Сегодня же мы хотим рассказать вам про простую утилиту, которая позволяет сделать Web UI для Sealed Secrets.
Функционал минималистичен и прост:
🍭 Encode/Decode. (Де) кодирование строк в base64
🍭 Secrets. Получение всех Sealed Secrets в рамках Namespace
🍭 Seal. Шифрование Kubernetes Secret с созданием Sealed Secret
🍭 Validate. Проверка Sealed Secret
Ничего сверхъестественного, просто небольшое графическое представление информации, которое может немного упростить жизнь 😊
GitHub
GitHub - bakito/sealed-secrets-web: A web interface for Sealed Secrets by Bitnami.
A web interface for Sealed Secrets by Bitnami. Contribute to bakito/sealed-secrets-web development by creating an account on GitHub.
👍4
DevSecOps Blueprint
Всем привет!
Сегодняшний материал подойдет всем, кто хочет начать свой путь в DevSecOps. DevSecOps BluePrint состоит из двух частей: Blueprint и Projects.
Первая часть посвящена теории. В ней собрана общая информация о том, что такое Application Security, безопасность SDLC, основы DevSecOps.
Вторая представляет из себя описание создания небольшой «лабораторной» для развития практических навыков.
Лабораторная включает в себя:
🍭 Docker
🍭 Gitea
🍭 Jenkins
🍭 Nexus
🍭 Security Tools (SonarQube, Trivy)
🍭 Monitoring Tools (Grafana, Prometheus)
Для каждого инструмента лабораторной приводится небольшая справка-инструкция о том, как его можно установить/запустить и первоначально настроить.
Для начала пути в мир DevSecOps – вполне себе! 😊
Всем привет!
Сегодняшний материал подойдет всем, кто хочет начать свой путь в DevSecOps. DevSecOps BluePrint состоит из двух частей: Blueprint и Projects.
Первая часть посвящена теории. В ней собрана общая информация о том, что такое Application Security, безопасность SDLC, основы DevSecOps.
Вторая представляет из себя описание создания небольшой «лабораторной» для развития практических навыков.
Лабораторная включает в себя:
🍭 Docker
🍭 Gitea
🍭 Jenkins
🍭 Nexus
🍭 Security Tools (SonarQube, Trivy)
🍭 Monitoring Tools (Grafana, Prometheus)
Для каждого инструмента лабораторной приводится небольшая справка-инструкция о том, как его можно установить/запустить и первоначально настроить.
Для начала пути в мир DevSecOps – вполне себе! 😊
Devsecblueprint
Welcome! | DSB
The Ultimate (and free) Blueprint for Coding Fun and Securing Runs!
👍8