Forwarded from AWS Notes
S3 и защита от копирования (обнаружение утечки данных)
Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):
https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3
Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на
Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.
p.s. DLP = Data Loss Prevention
#security #s3 #EventsBridge #DLP
Когда в приватном бакете находятся важные данные и вам нужно максимально быстро узнать, если кто-то вдруг получил к ним доступ - такая задача решается с помощью CloudTrail + Events (CloudWatch Events или EventsBridge):
https://darkbit.io/blog/2020/02/18/simple-dlp-for-amazon-s3
Включаем CloudTrail, создаём SNS топик, запускаем в него эвенты на
CopyObject с помощью EventsBridge, и прикручиваем лямбду, чтобы слала алерты сразу в Slack.Предотвратить копирование так не получится, однако смысл в том, что мы можем контролировать и если кто-то поломает какую-то часть нашей системы, попытавшись скопировать в легальное место (например, какой-то "нормальный", но поломанный аккаунт организации) - мы об этом сможем узнать и принять какие-то действия.
p.s. DLP = Data Loss Prevention
#security #s3 #EventsBridge #DLP
Forwarded from AWS Notes
AWS Security Monitoring, Logging, and Alerting
Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:
GuardDuty
Inspector
Amazon Macie
Security Hub
Detective
А также тех, что работают с логами, конфигурациями, событиями:
CloudWatch
CloudTrail
Config
Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?
Очень рекомендую начать разбираться в теме AWS security с этой статьи:
https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/
Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.
В общем, детальная и глубокая статья, без воды от известного профи в безопасности.
p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).
#security
Если нужно серьёзно разобраться с безопасностью всей вашей разнообразной AWS инфраструктуры, то есть немало Security & Compliance сервисов:
GuardDuty
Inspector
Amazon Macie
Security Hub
Detective
А также тех, что работают с логами, конфигурациями, событиями:
CloudWatch
CloudTrail
Config
Возникает справедливый вопрос — как разобраться в этом зоопарке сервисов, какие связки, для чего и какие использовать?
Очень рекомендую начать разбираться в теме AWS security с этой статьи:
https://disruptops.com/what-you-need-to-know-about-aws-security-monitoring-logging-and-alerting/
Расписаны различные пути получения security данных, разбитых по типу на slow path и fast path мониторинг и почему это важно. Также все сервисы и источники данных разбиты по полезности с рекомендациями по применению для прод-непрод окружений.
В общем, детальная и глубокая статья, без воды от известного профи в безопасности.
p.s. Замечу, что статья лета прошлого года и в ней ещё нет свежедобавленного сервиса по безопасности Amazon Detective (что не меняет сути).
#security
Forwarded from AWS Notes
Как на Elastic Beanstalk задать самые строгие правила по шифрованию TLS:
https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/
SSL security policy для ELB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html
SSL security policy для ALB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
#Beanstalk #CloudFormation #security
https://aws.amazon.com/blogs/security/how-to-control-tls-ciphers-in-your-aws-elastic-beanstalk-application-by-using-aws-cloudformation/
SSL security policy для ELB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html
- Namespace: aws:elb:policies:TLSHighPolicy
OptionName: SSLReferencePolicy
Value: ELBSecurityPolicy-TLS-1-2-2017-01
SSL security policy для ALB:
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html
- Namespace: aws:elbv2:listener:443
OptionName: SSLPolicy
Value: ELBSecurityPolicy-FS-1-2-Res-2019-08
#Beanstalk #CloudFormation #security
Amazon
How to Control TLS Ciphers in Your AWS Elastic Beanstalk Application by Using AWS CloudFormation | Amazon Web Services
Securing data in transit is critical to the integrity of transactions on the Internet. Whether you log in to an account with your user name and password or give your credit card details to a retailer, you want your data protected as it travels across the…
Forwarded from AWS Notes
Стал доступен анонсированный 4 месяца назад сервис Amazon Detective, пополнивший набор security сервисов Амазона:
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
Forwarded from AWS Notes
Безопасность EKS — лучшие практики:
https://aws.github.io/aws-eks-best-practices/
Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.
Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.
#security #best_practices #EKS
https://aws.github.io/aws-eks-best-practices/
Сетевая безопасность, защита подов, инфраструктура, compliance и так далее. Рекомендации, ссылки на другие ресурсы и инструменты.
Отличный, комплексно и качественно выполненный документ. Безопасникам — однозначно в закладки.
#security #best_practices #EKS
Forwarded from Пятничный деплой
Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security
GitHub
Go-SCP/src at master · OWASP/Go-SCP
Golang Secure Coding Practices guide. Contribute to OWASP/Go-SCP development by creating an account on GitHub.
Forwarded from CatOps
Sysdig подготовили 12 рекомендаций по поводу сканирования образов контейнеров.
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
Sysdig
12 container image scanning best practices
Don’t miss out on these 12 image scanning best practices, whether you are starting to run containers and Kubernetes in production, or want to embed more security into your current DevOps workflow.
Forwarded from Записки админа
🆖 Тут ребята взяли и прокачали секурити для Nginx. Запаковали это всё в образ и выложили на Github. Из коробки у нас доступен WAF, антивирусная проверка и подкрученные настройки безопасности. Интересно. https://github.com/bunkerity/bunkerized-nginx
#nginx #security
#nginx #security
Forwarded from AWS Notes
Top 20 AWS services for Security
С вашей помощью получился следующий список AWS сервисов, который Security (специалистам по ИБ) обязательно нужно знать / стоит знать / можно рекомендовать для изучения (по убыванию важности):
1️⃣ IAM
2️⃣ CloudTrail
3️⃣ KMS
4️⃣ GuardDuty
5️⃣ Config
6️⃣ Security Hub
7️⃣ Organizations
8️⃣ SSO
9️⃣ CloudWatch
🔟 WAF (Web Application Firewall)
11. Secrets Manager
12. ACM (AWS Certificate Manager)
13. Shield
14. VPC
15. Inspector
16. Route53
17. Network Firewall
18. Firewall Manager
19. Audit Manager
20. EC2
AWS сервисов по безопасности в реальности ещё полтора десятка, уже более специализированных. Про которые тоже стоит/нужно знать безопасникам. 😀
Также порекомендую, чтобы быть в курсе по теме безопасности, обязательно стоит подписаться на @sec_devops, где всегда много тем по AWS.
p.s. Ранее было аналогичное для бэкенда, фронта, фуллстэк и QA.
#top #security #опрос
С вашей помощью получился следующий список AWS сервисов, который Security (специалистам по ИБ) обязательно нужно знать / стоит знать / можно рекомендовать для изучения (по убыванию важности):
1️⃣ IAM
2️⃣ CloudTrail
3️⃣ KMS
4️⃣ GuardDuty
5️⃣ Config
6️⃣ Security Hub
7️⃣ Organizations
8️⃣ SSO
9️⃣ CloudWatch
🔟 WAF (Web Application Firewall)
11. Secrets Manager
12. ACM (AWS Certificate Manager)
13. Shield
14. VPC
15. Inspector
16. Route53
17. Network Firewall
18. Firewall Manager
19. Audit Manager
20. EC2
AWS сервисов по безопасности в реальности ещё полтора десятка, уже более специализированных. Про которые тоже стоит/нужно знать безопасникам. 😀
Также порекомендую, чтобы быть в курсе по теме безопасности, обязательно стоит подписаться на @sec_devops, где всегда много тем по AWS.
p.s. Ранее было аналогичное для бэкенда, фронта, фуллстэк и QA.
#top #security #опрос
Telegram
aws_notes
Самые важные AWS сервисы, которые нужно знать ИБ специалистам (первая восьмёрка).
(можно выбрать несколько вариантов)
#опрос
Config / CloudTrail / GuardDuty / IAM / KMS / Organizations / Security Hub / SSO / Другой (более важный, чем какой-то из восьми выше)…
(можно выбрать несколько вариантов)
#опрос
Config / CloudTrail / GuardDuty / IAM / KMS / Organizations / Security Hub / SSO / Другой (более важный, чем какой-то из восьми выше)…
"If you use Travis CI, your supply chain was compromised."
Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.
Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.
https://twitter.com/peter_szilagyi/status/1437646118700175360
#ops #attack #news
Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.
Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.
https://twitter.com/peter_szilagyi/status/1437646118700175360
#ops #attack #news
Twitter
Péter Szilágyi (karalabe.eth)
Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens. Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4 travis-…