What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Reducing Our Attack Surface with AppSec Platform
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
FSecureLABS - Leonidas framework
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Tracking Moving Clouds: How to continuously track cloud assets with Cartography
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Красота
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Forwarded from CloudSec Wine
🔸Security Architecture Review Of A Cloud Native Environment
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Announcing OpenCSPM - An Open-Source Cloud Security Posture Management and Workflow Platform
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Связь между сервисами безопасности в AWS
https://twitter.com/0xdabbad00/status/1336494125617541120
https://twitter.com/savgoust/status/1336549148502286340/photo/1
Также интересно отметить свежевышедший AWS Audit Manager.
За доп. ссылку спасибо @aws_notes
Похожую визуализацию я когда-то публиковал у себя.
#aws #ops
https://twitter.com/0xdabbad00/status/1336494125617541120
https://twitter.com/savgoust/status/1336549148502286340/photo/1
Также интересно отметить свежевышедший AWS Audit Manager.
За доп. ссылку спасибо @aws_notes
Похожую визуализацию я когда-то публиковал у себя.
#aws #ops
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
HashiCorp
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Learn how automated threat modeling can be performed just by looking at Terraform code.
Lesser Known Techniques for Attacking AWS Environments
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack