Enforce Ingress Best Practices Using OPA
До этого я поделился статьей от CNCF о том, как усилить Network Policy через OPA. В этот раз небольшая статья про решение коллизий на разных Ingress'ах через OPA. Например, у вас один и тот же хост есть на нескольких разных Ingress, что создает коллизию в маршрутизации трафика через Ingreess-controller. Такое бывает по мере роста ресурсов Ingress. OPA позволяет определить политику, которая не даст создавать ресурсы, образовав коллизию.
https://www.cncf.io/blog/2020/09/29/enforce-ingress-best-practices-using-opa/
Если вы все еще говорите про себя "Да кто такой этот ваш OPA", то я нашел еще одну прекрасную статью:
Fitness Validation For Your Kubernetes Apps: Policy As Code
#k8s #ops #opa
До этого я поделился статьей от CNCF о том, как усилить Network Policy через OPA. В этот раз небольшая статья про решение коллизий на разных Ingress'ах через OPA. Например, у вас один и тот же хост есть на нескольких разных Ingress, что создает коллизию в маршрутизации трафика через Ingreess-controller. Такое бывает по мере роста ресурсов Ingress. OPA позволяет определить политику, которая не даст создавать ресурсы, образовав коллизию.
https://www.cncf.io/blog/2020/09/29/enforce-ingress-best-practices-using-opa/
Если вы все еще говорите про себя "Да кто такой этот ваш OPA", то я нашел еще одну прекрасную статью:
Fitness Validation For Your Kubernetes Apps: Policy As Code
#k8s #ops #opa
Ваш опыт работы с OPA?
Anonymous Poll
16%
Активно применяем в работе
57%
Интересно, но не применяем
7%
Не интересно, не вижу в ней смысла
20%
Не интересно, k8s не мое
Forwarded from Технологический Болт Генона
How I’d attack your HashiCorp Vault (and how you can prevent me): System Hardening.
https://medium.com/hashicorp-engineering/how-id-attack-your-hashicorp-vault-and-how-you-can-prevent-me-system-hardening-ce151454e26b
https://medium.com/hashicorp-engineering/how-id-attack-your-hashicorp-vault-and-how-you-can-prevent-me-system-hardening-ce151454e26b
Can We Have “Detection as Code”?
Интересные мысли на тему возможности существования “Detection as Code" от Антона Чувакина, автора множества статей про обнаружение событий и SOC. Данная концепция идет от принципа "event-driven security", который также был упомянут в BSIMM 11.
Ключевые аспекты:
- Правила обнаружения как код (на примере Python здесь и Jupyter notebooks здесь)
- Отслеживание событий по мере работы пайплайна
- Кросс-вендорский и кросс-инструментальный подход для работы с событиями (правда пока что одинаково распространены Sigma, YARA-L и ATT&CK)
- Версионноcть и повторная воспроизводимость правил
- Надлежащий QA для сформированных правил
- Формирование метрик и их улучшение (от широты покрытия и failure rate)
https://medium.com/anton-on-security/can-we-have-detection-as-code-96f869cfdc79
#ops
Интересные мысли на тему возможности существования “Detection as Code" от Антона Чувакина, автора множества статей про обнаружение событий и SOC. Данная концепция идет от принципа "event-driven security", который также был упомянут в BSIMM 11.
Ключевые аспекты:
- Правила обнаружения как код (на примере Python здесь и Jupyter notebooks здесь)
- Отслеживание событий по мере работы пайплайна
- Кросс-вендорский и кросс-инструментальный подход для работы с событиями (правда пока что одинаково распространены Sigma, YARA-L и ATT&CK)
- Версионноcть и повторная воспроизводимость правил
- Надлежащий QA для сформированных правил
- Формирование метрик и их улучшение (от широты покрытия и failure rate)
https://medium.com/anton-on-security/can-we-have-detection-as-code-96f869cfdc79
#ops
Forwarded from Технологический Болт Генона
This media is not supported in your browser
VIEW IN TELEGRAM
GitLab's security trends report – our latest look at what's most vulnerable
https://about.gitlab.com/blog/2020/10/06/gitlab-latest-security-trends/
https://about.gitlab.com/blog/2020/10/06/gitlab-latest-security-trends/
A Tale of Escaping a Hardened Docker container
Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.
Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.
P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.
https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/
#docker #ops #attack
Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.
Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.
P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.
https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/
#docker #ops #attack
OAuth 2.0 Security Best Current Practice
Лучшие практики для обеспечения безопасности для OAuth 2.0 от 5 октября 2020 года. Статья построена в формате атака/контрмера. Кроме рекомендаций также можно познакомиться с моделью злоумышленника.
Материалы по безопасности OAuth, опубликованные ранее.
#dev
Лучшие практики для обеспечения безопасности для OAuth 2.0 от 5 октября 2020 года. Статья построена в формате атака/контрмера. Кроме рекомендаций также можно познакомиться с моделью злоумышленника.
Материалы по безопасности OAuth, опубликованные ранее.
#dev
Какие меры по ИБ вы реализовали у себя для контейнерной среды (Docker/k8s)?
Anonymous Poll
25%
RBAC
9%
Ограничиваю c-groups / capabilities
15%
Аудит событий и алерты (audit logging)
25%
Хранение секретов на Vault
12%
Собственные политики PodSecurityPolicy / Seccomp / AppArmor / SELinux
18%
Везде TLS (между компонентами на мастере и между kubelet и API)
19%
Сетевые политики и ограничения на взаимодействие
17%
Аутентификация через сторонние средства (OIDC / OAuth 2.0 / сертификаты)
12%
Ничего из этого не делаем
46%
Посмотреть ответы
GitLab Watchman
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
The State of Exploit Development: 80% of Exploits Publish Faster than CVEs
Palo Alto провели исследование, согласно которому только для 26% опубликованных публичных эксплоитов есть закрепленная CVE. Из них 14% - 0-day, 23% публиковались через неделю после выхода патча, 50% через месяц после патча. При этом 80% эксплоитов публикуется до CVE (в среднем за 23 дня до выхода CVE).
Вывод один - своевременно обновляйтесь.
Кстати также вот интересное репо Vulhub, в котором собраны сборки с публичными CVE, которые можно попробовать проэксплуатировать, либо протестировать SAST,SCA,DAST (сборки обернуты в docker compose). Здесь есть уязвимые версии Jenkins, Elasticsearch, Nexus Repo, Jira, Kibana и много чего еще.
#dev #attack
Palo Alto провели исследование, согласно которому только для 26% опубликованных публичных эксплоитов есть закрепленная CVE. Из них 14% - 0-day, 23% публиковались через неделю после выхода патча, 50% через месяц после патча. При этом 80% эксплоитов публикуется до CVE (в среднем за 23 дня до выхода CVE).
Вывод один - своевременно обновляйтесь.
Кстати также вот интересное репо Vulhub, в котором собраны сборки с публичными CVE, которые можно попробовать проэксплуатировать, либо протестировать SAST,SCA,DAST (сборки обернуты в docker compose). Здесь есть уязвимые версии Jenkins, Elasticsearch, Nexus Repo, Jira, Kibana и много чего еще.
#dev #attack
Когда не умеешь писать на CodeQL, но надо написать data flow для поиска open redirect в JS
#пятничное #sast #dev
#пятничное #sast #dev
Cloud Native Security Hub and k3s defence
Любопытная статья по защите k3s (легковесная версия k8s) с помощью Sysdig и Sysdig Falco. Согласно статье, общее время на развертывание k3s + sysdig занимает до 8 минут.... Не знаю кому это, если честно, нужно, но если вы никогда не видели Falco и не знаете, как он ставится, может быть полезно. Вот в эту же копилку статья про деплой k3s в связке с Falco на Raspberry Pi 4.
А вот то, что реально может понадобится, так это Cloud Native Security Hub - портал, на котором Sysdig собрала сгруппированные правила Falco на разные случаи жизни (защита etcd, elasticsearch, consul, gke и многое другое). И не забываем про проблемы Falco.
#k8s #ops
Любопытная статья по защите k3s (легковесная версия k8s) с помощью Sysdig и Sysdig Falco. Согласно статье, общее время на развертывание k3s + sysdig занимает до 8 минут.... Не знаю кому это, если честно, нужно, но если вы никогда не видели Falco и не знаете, как он ставится, может быть полезно. Вот в эту же копилку статья про деплой k3s в связке с Falco на Raspberry Pi 4.
А вот то, что реально может понадобится, так это Cloud Native Security Hub - портал, на котором Sysdig собрала сгруппированные правила Falco на разные случаи жизни (защита etcd, elasticsearch, consul, gke и многое другое). И не забываем про проблемы Falco.
#k8s #ops
Sysdig
K3s + Sysdig: Deploying and securing your cluster… in less than 8 minutes!
K3s is gaining a lot of interest in the community for its easy deployment. Learn how to easily deploy it, and how to secure it with Falco.
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Protecting Docker and Kubernetes.
Тут от рассылки StackRox прилетел их Whitepaper "Protecting K8s Against MITRE ATT&CK Techniques". Про ATT&CK я уже кое-что писал в разрезе Cloud Security здесь.
Кстати, у StackRox также есть технические документы по следующим темам:
"Container and Kubernetes Security: An Evaluation Guide"
"Hardening Docker: Your Definitive Security Toolkit"
"Top 9 Kubernetes Best Practices to Maximize Security"
#k8s #docker #ops
Тут от рассылки StackRox прилетел их Whitepaper "Protecting K8s Against MITRE ATT&CK Techniques". Про ATT&CK я уже кое-что писал в разрезе Cloud Security здесь.
Кстати, у StackRox также есть технические документы по следующим темам:
"Container and Kubernetes Security: An Evaluation Guide"
"Hardening Docker: Your Definitive Security Toolkit"
"Top 9 Kubernetes Best Practices to Maximize Security"
#k8s #docker #ops
Способы и примеры внедрения утилит для проверки безопасности Docker
Тут Павел (@shad0wrunner) выпустил статью на Хабре по способам и примерам внедрения проверки образов Docker. В число рассматриваемых инструментов входят Dockle, Trivy и Hadolint. Варианты внедрения: путём конфигурации CI/CD pipeline на примере GitLab (с описанием процесса поднятия тестового инстанса), с использованием shell-скрипта, с построением Docker-образа для сканирования.
https://habr.com/ru/company/swordfish_security/blog/524490/
#docker #dev
Тут Павел (@shad0wrunner) выпустил статью на Хабре по способам и примерам внедрения проверки образов Docker. В число рассматриваемых инструментов входят Dockle, Trivy и Hadolint. Варианты внедрения: путём конфигурации CI/CD pipeline на примере GitLab (с описанием процесса поднятия тестового инстанса), с использованием shell-скрипта, с построением Docker-образа для сканирования.
https://habr.com/ru/company/swordfish_security/blog/524490/
#docker #dev
Kubernetes Security Demos
Полезное репо, подготовленное для Kubernetes appOps Security Talks с набором манифестов для настройки Network Policies, Security Context и PSP. Здесь же вы найдете поясняющие статьи и доклады. Есть также вариант развертывания демо кластера по скрипту на GKE.
https://github.com/cloudogu/k8s-security-demos
#k8s #ops
Полезное репо, подготовленное для Kubernetes appOps Security Talks с набором манифестов для настройки Network Policies, Security Context и PSP. Здесь же вы найдете поясняющие статьи и доклады. Есть также вариант развертывания демо кластера по скрипту на GKE.
https://github.com/cloudogu/k8s-security-demos
#k8s #ops
GitHub
GitHub - cloudogu/k8s-security-demos: Demos for several kubernetes security features
Demos for several kubernetes security features. Contribute to cloudogu/k8s-security-demos development by creating an account on GitHub.
Static analysis by OPA - Dockerfiles
Уже ни для кого не секрет, что неправильное формирование Dockerfile может являться серьезной проблемой в безопасности приложений. Как правило, для решения данной проблемы все используют Hadolint для статического сканирования Docker-файлов.
В этом посте я предлагаю вам взглянуть на детектирование проблем с помощью Conftest - инструмента для выполнения статического анализа конфигурационных файлов (YAML, JSON, XML, Dockerfile, HCL и многое другое). Что самое интересное в нем, так это то, что правила для Conftest пишутся на языке Rego. Это позволяет стать на шаг ближе к унифицированному подходу контроля за средой с помощью Open Policy Agent, о котором я писал ранее, и не городить кучу инструментов. Вот статья, в которой описано применение Conftest для проверки Dockerfile с помощью кастомных рулов.
#docker #ops #dev #opa
Уже ни для кого не секрет, что неправильное формирование Dockerfile может являться серьезной проблемой в безопасности приложений. Как правило, для решения данной проблемы все используют Hadolint для статического сканирования Docker-файлов.
В этом посте я предлагаю вам взглянуть на детектирование проблем с помощью Conftest - инструмента для выполнения статического анализа конфигурационных файлов (YAML, JSON, XML, Dockerfile, HCL и многое другое). Что самое интересное в нем, так это то, что правила для Conftest пишутся на языке Rego. Это позволяет стать на шаг ближе к унифицированному подходу контроля за средой с помощью Open Policy Agent, о котором я писал ранее, и не городить кучу инструментов. Вот статья, в которой описано применение Conftest для проверки Dockerfile с помощью кастомных рулов.
#docker #ops #dev #opa
GitHub
GitHub - hadolint/hadolint: Dockerfile linter, validate inline bash, written in Haskell
Dockerfile linter, validate inline bash, written in Haskell - hadolint/hadolint
CI/CD System - Security Hardnening
Мы много говорим о встраивании безопасности в пайплайн и shift left, но не всегда своевременно вспоминаем про безопасность того, что наши пайплайны выполняет.
Небольшая подборка статей о безопасности CI/CD платформ.
Security Practices in GitLab
Managing Security of Jenkins
Securing Jenkins CI Systems
Security hardening for GitHub Actions
TeamCity Security Notes
CircleCI Security
#dev #ops
Мы много говорим о встраивании безопасности в пайплайн и shift left, но не всегда своевременно вспоминаем про безопасность того, что наши пайплайны выполняет.
Небольшая подборка статей о безопасности CI/CD платформ.
Security Practices in GitLab
Managing Security of Jenkins
Securing Jenkins CI Systems
Security hardening for GitHub Actions
TeamCity Security Notes
CircleCI Security
#dev #ops
The GitLab Handbook
Security at GitLab
Security Vision and Mission Our vision is to transparently lead the world to secure outcomes.
Our mission is to enable everyone to innovate and succeed on a safe, secure, and trusted DevSecOps platform. This will be achieved through 5 security operating principles:…
Our mission is to enable everyone to innovate and succeed on a safe, secure, and trusted DevSecOps platform. This will be achieved through 5 security operating principles:…