Forwarded from k8s (in)security (D1g1)
Третья часть [1,2] по мыслям о сканирование образов (
Во второй части мы говорили о мифах, недостатках и проблемах инструментов данного класса. Сейчас рассмотрим, как же всё-таки можно улучшить данную картину. Основная проблема как мы уже выяснили это количество "шума", которое генерируют данные инструменты.
Можно, конечно, пойти по пути фильтрации и приоритезации данного "шума", накручивая по верх данных сканеров собственные метрики и эвристики. Но на мой взгляд качество этого будут сильно завесить от самой реализации и не застраховано от сбоев.
Лучше идти по пути уменьшения количества данного "шума". И в первую очередь это будет связано не с внедрением каких-то других решений по безопасности, а с культурой разработки продукта внутри вашей компании (это вам никто не продаст в виде готовой коробочки).
1) Культура ведения кода - отдельная большая область, которая покрывает темы от монорепов до использования сторонних библиотек во внутренних репозитариях (а не выдирать уязвимые куски кода и вставлять в свой проект). Общая цель которой это упростить автоматическим средствам анализа поиск недостатков.
2) Distroless images - убрать дистрибутив с кучей его бинарей, библиотек из image. Дает сразу море преимуществ - тут и размер образа уменьшается, и attack surface уменьшается, уменьшается и возможности атакующего, что попадет внутрь такого контейнера, так и "шум" уменьшается. Общая цель убрать, то, что не используется, чтобы уменьшить от них “шум”.
3) Оптимизированный порядок слоев в образе - слои в образе должны быть от более толстых, к более тонким (к часто обновляемым). Общая цель которой это упростить и ускорить автоматическим средствам анализа поиск недостатков.
Ну и на последок можно рассмотреть честный Shiftleft security подход - на пример, это умеют некоторые решения класса SCA (Software Composition Analysis).
images) контейнеров.Во второй части мы говорили о мифах, недостатках и проблемах инструментов данного класса. Сейчас рассмотрим, как же всё-таки можно улучшить данную картину. Основная проблема как мы уже выяснили это количество "шума", которое генерируют данные инструменты.
Можно, конечно, пойти по пути фильтрации и приоритезации данного "шума", накручивая по верх данных сканеров собственные метрики и эвристики. Но на мой взгляд качество этого будут сильно завесить от самой реализации и не застраховано от сбоев.
Лучше идти по пути уменьшения количества данного "шума". И в первую очередь это будет связано не с внедрением каких-то других решений по безопасности, а с культурой разработки продукта внутри вашей компании (это вам никто не продаст в виде готовой коробочки).
1) Культура ведения кода - отдельная большая область, которая покрывает темы от монорепов до использования сторонних библиотек во внутренних репозитариях (а не выдирать уязвимые куски кода и вставлять в свой проект). Общая цель которой это упростить автоматическим средствам анализа поиск недостатков.
2) Distroless images - убрать дистрибутив с кучей его бинарей, библиотек из image. Дает сразу море преимуществ - тут и размер образа уменьшается, и attack surface уменьшается, уменьшается и возможности атакующего, что попадет внутрь такого контейнера, так и "шум" уменьшается. Общая цель убрать, то, что не используется, чтобы уменьшить от них “шум”.
3) Оптимизированный порядок слоев в образе - слои в образе должны быть от более толстых, к более тонким (к часто обновляемым). Общая цель которой это упростить и ускорить автоматическим средствам анализа поиск недостатков.
Ну и на последок можно рассмотреть честный Shiftleft security подход - на пример, это умеют некоторые решения класса SCA (Software Composition Analysis).
Telegram
k8s (in)security
На этой неделе целенаправленно поговорим о сканирование образов (images) контейнеров, хотя уже не раз это обсуждали.
И так сканирование образа может проходить на 3-х стадиях:
- Build: во время сбора image в CI\DI пайплайне. То, что подается как ShiftLeft…
И так сканирование образа может проходить на 3-х стадиях:
- Build: во время сбора image в CI\DI пайплайне. То, что подается как ShiftLeft…
Forwarded from Ты в курсе (IT)
3 ноября в 19:00 мск учебный центр "Слёрм" проведёт митап на тему "Профессия SRE: практика и мифы". Можно будет задать вопросы экспертам.
Повестка дня:
– Что такое SRE и зачем все это нужно IT и бизнесу?
– SRE – хайп или проверенный подход?
– Как с этим работать?
– Практики SRE
– Как внедрить у себя?
– Что нужно, чтобы стать SRE-инженером?
Эксперты:
– Артем Артемьев (Lead SRE в Inspectorio)
– Павел Селиванов (Senior DevOps Engineer в Mail.ru Cloud Solutions)
Ведущий:
– Марсель Ибраев (СТО Слёрм)
Мероприятие бесплатное, регистрация по ссылке: https://slurm.club/3mtkpMp
Повестка дня:
– Что такое SRE и зачем все это нужно IT и бизнесу?
– SRE – хайп или проверенный подход?
– Как с этим работать?
– Практики SRE
– Как внедрить у себя?
– Что нужно, чтобы стать SRE-инженером?
Эксперты:
– Артем Артемьев (Lead SRE в Inspectorio)
– Павел Селиванов (Senior DevOps Engineer в Mail.ru Cloud Solutions)
Ведущий:
– Марсель Ибраев (СТО Слёрм)
Мероприятие бесплатное, регистрация по ссылке: https://slurm.club/3mtkpMp
Forwarded from Флант | Специалисты по DevOps и Kubernetes
А также мы на днях обнаружили интересную статью с примером использования werf с GitHub Actions для решения инфраструктурной задачи по сбору логов для домашнего Kubernetes-кластера (MicroK8s): https://gievoiviktor.medium.com/%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE%D0%B2%D0%B5%D1%81%D0%BD%D1%8B%D0%B9-%D1%81%D0%B1%D0%BE%D1%80%D1%89%D0%B8%D0%BA-%D0%BB%D0%BE%D0%B3%D0%BE%D0%B2-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-fluentd-%D0%B2-microk8s-34c92c16c2aa
Medium
Легковесный сборщик логов на примере FluentD в K8S и WERF
Занимаясь своим проектом в домашнем кластере построенным на MicroK8s я столкнулся с проблемой падения приложения если мой сборщик логов…
Forwarded from PythonDigest
#python #pydigest
Сборник Python новостей уже перед вами.
В выпуске Python Дайджест вы найдете:
- Python. Язык, на котором просто мыслить
- Python⇒Speed: Poetry vs. Docker caching: Fight!
- Прототип на «коленке»: мониторинг датчиков сердечного ритма в спортивном зале
- Как искусственный интеллект борется с вредителями
- Забываете передавать аргументы в функцию? Вам поможет contextvars
- Удав укрощает Graal VM
- Определение токсичных комментариев на русском языке
- optimize-images v1.4.0
- Django bugfix releases issued: 3.1.3, 3.0.11, and 2.2.17
Заходите в гости - https://pythondigest.ru/issue/359/
Присылайте интересные новости через форму на сайте.
Сборник Python новостей уже перед вами.
В выпуске Python Дайджест вы найдете:
- Python. Язык, на котором просто мыслить
- Python⇒Speed: Poetry vs. Docker caching: Fight!
- Прототип на «коленке»: мониторинг датчиков сердечного ритма в спортивном зале
- Как искусственный интеллект борется с вредителями
- Забываете передавать аргументы в функцию? Вам поможет contextvars
- Удав укрощает Graal VM
- Определение токсичных комментариев на русском языке
- optimize-images v1.4.0
- Django bugfix releases issued: 3.1.3, 3.0.11, and 2.2.17
Заходите в гости - https://pythondigest.ru/issue/359/
Присылайте интересные новости через форму на сайте.
Python Дайджест
Выпуск 359
Выпуск еженедельного Python Дайджеста. Самые актуальные новости про Python за 2020-11-02 - 2020-11-08 на одной странице
This media is not supported in your browser
VIEW IN TELEGRAM
Стандартный рабочий день
Абрам Моисеевич, скажите : Как бы вы написали в своём резюме "я поменял лампочку на кухне"?
- Единолично управлял успешной реновацией инфраструктуры и развёртыванием новой системы освещения окружающей среды на пищевом производстве с нулевым перерасходом средств и нулевым числом инцидентов в области безопасности"
- Единолично управлял успешной реновацией инфраструктуры и развёртыванием новой системы освещения окружающей среды на пищевом производстве с нулевым перерасходом средств и нулевым числом инцидентов в области безопасности"
Forwarded from k8s (in)security (D1g1)
Red Kube или Red Team KubeCTL Cheat Sheet - набор
Так же по мне использовать в атаке приносной бинарь
kubectl команд (27 штук), полезных при пентесте/аудите, и две лабы, где их можно все попробовать. Отдельно стоит отметить, что все команды автор разбил на категории в соответствии с матрицей MITRE ATT&CK. Так что это все очень хорошо классифицировано (особенно для начинающих). Но важно не забывать, что чтобы данные команды успешно выполнились у атакующего должны быть соответствующие права в системе. На пример, через скомпрометированный token полученный тем или иным образом.Так же по мне использовать в атаке приносной бинарь
kubectl - очень заметно, даже если переименовав, тем самым сбив детект у части решений по безопасности. Лучше curl (он, кстати, требуется для части этих команд), но он еще должен находится в образе – иначе тоже его нужно будет нести с собой.Forwarded from DevOps Tricks | Десять лет в IT
Отличная статья по основам безопасности Linux-серверов. Must Read.
https://habr.com/ru/company/vdsina/blog/521388/
#linux #security
https://habr.com/ru/company/vdsina/blog/521388/
#linux #security
Хабр
Защита Linux-сервера. Что сделать в первую очередь
Habib M’henni / Wikimedia Commons, CC BY-SA В наше время поднять сервер на хостинге — дело пары минут и нескольких щелчков мыши. Но сразу после запуска он попа...
Начал я тут готовится к сертификации по Kubernetes. На Linux Academy курс вроде неплохой, посмотрим еще, что есть для подготовки. Планирую сделать подборку материалов у себя на github и заодно может решения задач для подготовки буду там выкладывать. А пока почитайте про экзамены CKA/CKAD и чем они отличаются
https://devopspages.io/cka-vs-ckad/
https://devopspages.io/cka-vs-ckad/