This media is not supported in your browser
VIEW IN TELEGRAM
Whalescan - vulnerability scanner for Windows containers
Для тех, кто использует Windows base OS контейнеры вроде IIS и .NET есть соответствующий инструмент. Whalescan позволяет искать уязвимости в Windows контейнерах и проводить benchmark проверки, выявлять небезопасные команды в Dockerfile, вышедшие из жизни .NET версии и другое.
https://github.com/nccgroup/whalescan
#tools #docker #dev #ops
Для тех, кто использует Windows base OS контейнеры вроде IIS и .NET есть соответствующий инструмент. Whalescan позволяет искать уязвимости в Windows контейнерах и проводить benchmark проверки, выявлять небезопасные команды в Dockerfile, вышедшие из жизни .NET версии и другое.
https://github.com/nccgroup/whalescan
#tools #docker #dev #ops
A Tale of Escaping a Hardened Docker container
Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.
Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.
P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.
https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/
#docker #ops #attack
Как многим известно, docker.sock крайне не рекомендуется пробрасывать внутрь Docker контейнера согласно CIS. Это может значительно упростить жизнь злоумышленнику для побега за пределы контейнера, но CIS не дает советов как обезопасить подобный сценарий, если "ну очень надо". Так, например, одна организация решила пробрасывать в контейнер некий somethtingelse.sock с аутентификацией и авторизацией на Reverse Proxy для работы с docker.sock.
Статья посвящена обходу подобной архитектуры. На мой взгляд бага несколько глупая и, в принципе, данная архитектура может быть жизнеспособной. Тем не менее, статья хорошо показывает то, как может действовать злоумышленник.
P.S. В документации Docker есть отдельная страничка, посвященная защите docker.sock. Вот также ряд слайдов, которые помогут познакомиться с docker escape и механизмами ядра Linux для работы Docker.
https://www.redtimmy.com/a-tale-of-escaping-a-hardened-docker-container/
#docker #ops #attack
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Protecting Docker and Kubernetes.
Тут от рассылки StackRox прилетел их Whitepaper "Protecting K8s Against MITRE ATT&CK Techniques". Про ATT&CK я уже кое-что писал в разрезе Cloud Security здесь.
Кстати, у StackRox также есть технические документы по следующим темам:
"Container and Kubernetes Security: An Evaluation Guide"
"Hardening Docker: Your Definitive Security Toolkit"
"Top 9 Kubernetes Best Practices to Maximize Security"
#k8s #docker #ops
Тут от рассылки StackRox прилетел их Whitepaper "Protecting K8s Against MITRE ATT&CK Techniques". Про ATT&CK я уже кое-что писал в разрезе Cloud Security здесь.
Кстати, у StackRox также есть технические документы по следующим темам:
"Container and Kubernetes Security: An Evaluation Guide"
"Hardening Docker: Your Definitive Security Toolkit"
"Top 9 Kubernetes Best Practices to Maximize Security"
#k8s #docker #ops
Способы и примеры внедрения утилит для проверки безопасности Docker
Тут Павел (@shad0wrunner) выпустил статью на Хабре по способам и примерам внедрения проверки образов Docker. В число рассматриваемых инструментов входят Dockle, Trivy и Hadolint. Варианты внедрения: путём конфигурации CI/CD pipeline на примере GitLab (с описанием процесса поднятия тестового инстанса), с использованием shell-скрипта, с построением Docker-образа для сканирования.
https://habr.com/ru/company/swordfish_security/blog/524490/
#docker #dev
Тут Павел (@shad0wrunner) выпустил статью на Хабре по способам и примерам внедрения проверки образов Docker. В число рассматриваемых инструментов входят Dockle, Trivy и Hadolint. Варианты внедрения: путём конфигурации CI/CD pipeline на примере GitLab (с описанием процесса поднятия тестового инстанса), с использованием shell-скрипта, с построением Docker-образа для сканирования.
https://habr.com/ru/company/swordfish_security/blog/524490/
#docker #dev
Static analysis by OPA - Dockerfiles
Уже ни для кого не секрет, что неправильное формирование Dockerfile может являться серьезной проблемой в безопасности приложений. Как правило, для решения данной проблемы все используют Hadolint для статического сканирования Docker-файлов.
В этом посте я предлагаю вам взглянуть на детектирование проблем с помощью Conftest - инструмента для выполнения статического анализа конфигурационных файлов (YAML, JSON, XML, Dockerfile, HCL и многое другое). Что самое интересное в нем, так это то, что правила для Conftest пишутся на языке Rego. Это позволяет стать на шаг ближе к унифицированному подходу контроля за средой с помощью Open Policy Agent, о котором я писал ранее, и не городить кучу инструментов. Вот статья, в которой описано применение Conftest для проверки Dockerfile с помощью кастомных рулов.
#docker #ops #dev #opa
Уже ни для кого не секрет, что неправильное формирование Dockerfile может являться серьезной проблемой в безопасности приложений. Как правило, для решения данной проблемы все используют Hadolint для статического сканирования Docker-файлов.
В этом посте я предлагаю вам взглянуть на детектирование проблем с помощью Conftest - инструмента для выполнения статического анализа конфигурационных файлов (YAML, JSON, XML, Dockerfile, HCL и многое другое). Что самое интересное в нем, так это то, что правила для Conftest пишутся на языке Rego. Это позволяет стать на шаг ближе к унифицированному подходу контроля за средой с помощью Open Policy Agent, о котором я писал ранее, и не городить кучу инструментов. Вот статья, в которой описано применение Conftest для проверки Dockerfile с помощью кастомных рулов.
#docker #ops #dev #opa
GitHub
GitHub - hadolint/hadolint: Dockerfile linter, validate inline bash, written in Haskell
Dockerfile linter, validate inline bash, written in Haskell - hadolint/hadolint