Forwarded from k8s (in)security (D1g1)
В 2019 году на конференции
Как оказалось подход
1)
2)
3)
4)
И еще там многое всего другого интересного:
Все это впечатляет конечно!
KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio". Как оказалось подход
DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:1)
Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.2)
Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.3)
Service Mesh - покрывает все для контроля и распределения всего east-west трафика.4)
Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.И еще там многое всего другого интересного:
IaC/CaC, GitOps, SOAR и т.д.Все это впечатляет конечно!
YouTube
How the Department of Defense Moved to Kubernetes and Istio - Nicolas Chaillan
Join us for Kubernetes Forums Seoul, Sydney, Bengaluru and Delhi - learn more at kubecon.io
Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…
Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…
Forwarded from Листок бюрократической защиты информации
Проекты ГОСТов от ФСТЭК России
ФСТЭК России представила для общественного обозрения проекты национальных стандартов ГОСТ Р:
🔹 Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов.
🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты.
🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий.
ФСТЭК России представила для общественного обозрения проекты национальных стандартов ГОСТ Р:
🔹 Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов.
🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты.
🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий.
Если стали жертвами шифровальщиков и решили платить выкуп, можно пробовать просить скидку :)
https://twitter.com/mikko/status/1417463190120714242
https://twitter.com/mikko/status/1417463190120714242
Twitter
@mikko
Our previous research showed the same thing: you could almost always negotiate the size of the ransom payment, with any gang. Obviously we always recommend not to pay any ransom. f-secure.bg/wp-content/upl…
Через 47 дней стартует бесплатный открытый курс по безопасному программированию от ИТМО.
"Курс охватывает круг вопросов по безопасной разработке программного обеспечения (ПО), способы снижения рисков информационной безопасности, методологии разработки безопасного ПО, тестирование кода."
https://openedu.ru/course/ITMOUniversity/INFSEC/
"Курс охватывает круг вопросов по безопасной разработке программного обеспечения (ПО), способы снижения рисков информационной безопасности, методологии разработки безопасного ПО, тестирование кода."
https://openedu.ru/course/ITMOUniversity/INFSEC/
Статус репорт по выбору стандарта легковесной криптографии в США.
https://csrc.nist.gov/publications/detail/nistir/8369/final
https://csrc.nist.gov/publications/detail/nistir/8369/final
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8369, Status Report on the Second Round of the NIST Lightweight Cryptography Standardization…
The National Institute of Standards and Technology (NIST) initiated a public standardization process to select one or more Authenticated Encryption with Associated Data (AEAD) and hashing schemes suitable for constrained environments. In February 2019, 57…
https://www.nccoe.nist.gov/publication/1800-24/
Securing Picture Archiving and Communication System (PACS):
Cybersecurity for the Healthcare Sector
Securing Picture Archiving and Communication System (PACS):
Cybersecurity for the Healthcare Sector