DevSecOps Wine Chat
А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!
https://yangx.top/sec_devops_chat
#talks
А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!
https://yangx.top/sec_devops_chat
#talks
Container Security: эволюция атак в 2020 году
6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание
Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.
Прослушивание бесплатное. Материалы и записи платные.
P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)
#ops #k8s #docker #ops #talks
6 ноября с 10:00 по МСК пройдет конференция DevOpsFest 2020, где будет два доклада по Security. Первый - мой. На нем я расскажу про безопасность контейнеров:
- Как злоумышленник может атаковать небезопасно настроенный кластер
- Какие появились CVE в 2020 году для k8s
- Как злоумышленник может закрепиться в инфраструктуре
- В чем связь между небезопасной версией ядра Linux и безопасностью облака
- Мои мысли о существующих механизмах и инструментах защиты
- Что из себя представляет enterprise решения по безопасности контейнеров, зачем его покупать и на что обращать внимание
Второй доклад "DevSecOps: Фаззинг исходного кода" от коллег из Digital Security. Не так давно они выпустили статью с таким же названием на Habr.
Прослушивание бесплатное. Материалы и записи платные.
P.S. А еще там есть крутая виртуальная площадка, где можно общаться. Я буду там, подходите знакомиться :)
#ops #k8s #docker #ops #talks
Pentest in Docker, Secure Gitlab pipeline and Archdays 2020
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
GitHub
GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try for pentest methods and test container security…
Docker image to exploit RCE, try for pentest methods and test container security solutions (trivy, falco and etc.) - GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try...
AppSec & DevSecOps Jobs
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
Security: KubeCon + CloudNativeCon North America 2020 - Virtual
Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.
- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать
- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA
- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации
- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.
К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.
- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences
- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷♂️ (Bypass Falco)
Программа конференции
Другие доклады
#dev #ops #k8s #talks #opa
Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.
- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать
- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA
- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации
- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.
К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.
- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences
- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷♂️ (Bypass Falco)
Программа конференции
Другие доклады
#dev #ops #k8s #talks #opa
YouTube
Using Open Policy Agent to Meet Evolving Policy Requirements - Jeremy Rickard, VMware
Don’t miss out! Join us at our upcoming event: KubeCon + CloudNativeCon Europe 2021 Virtual from May 4–7, 2021. Learn more at https://kubecon.io. The conference features presentations from developers and end users of Kubernetes, Prometheus, Envoy, and all…