Netfetch: анализ сетевых политик Kubernetes

Всем привет!

Netfetch – утилита, которая позволяет проанализировать контроль сетевого трафика в кластере Kubernetes при помощи Network Policies.

С использованием Netfetch можно:
🍭 Получить сведения о pods, на которые не распространяются сетевые политики
🍭 Визуализировать информацию о pods и network policies в интерактивной карте
🍭 Создать Network Policies в случае их отсутствия
🍭 Просканировать определенную политику, чтобы получить информацию о pods, на которые она «действует» и не только

Nefetch представляет из себя CLI-утилиту и интерактивный dashboard, который отображает информацию, описанную выше.

Утилита работает со следующими видами Network Policies: Native, Cilium и Calico.

Больше информации – примеры использования, демонстрация возможностей и внешний вид UI – все это можно найти в repo проекта.

Замена StatefulSets на Custom Operator: опыт Timescale

Всем привет!

На протяжении некоторого времени команда Timescale использовала StatefulSets для того, чтобы управлять клиентскими database pods и их volumes.

Однако, у StatefulSets есть ряд неудобств, например: «неизменность» VolumeClaimTemplate; нюансы, связанные с изменением размера Volume; особенности работы Rolling Update и не только (больше информации можно найти в статье).

Из-за вышеописанных причин команда решила заменить «стандартные» StatefulSets на собственные, которые они назвали PatroniSets. И, конечно же, не обошлось без собственного Kubernetes Operator’a.

Ребята определили набор требований:
🍭 Новый ресурс должен быть прямой заменой StatefulSets с «бесшовной миграцией»
🍭 Он должен понимать контекст PostgreSQL/Patroni: кто есть «главный»
🍭 CR должен быть полностью декларативен
🍭 Любые действия должны быть направлены на сокращение времени простоя. Например, в HA варианте реплика обновляется первой
🍭 Он должен управлять всеми изменения Volumes и не только

После определения требований команда начала разработку собственного оператора. Логика его работы и подводные камни, с которыми столкнулись в Timescale при его разработке - все это можно найти в статье.

В результате PatroniSets начали использовать для новых сервисов в феврале 2024 года. Спустя некоторое время команда убедилась в работоспособности концепта и готова переводить на него существующие сервисы.

ASPM for Dummies

Всем привет!

Если вы хотите узнать чуть больше про такой класс решений, как Application Security Posture Management (ASPM), то книга в приложении может пригодиться.

В ней Автор рассказывает про:
🍭 Зачем нужны ASPM решения
🍭 Общий функционал, характерный для ASPM
🍭 Как понять, нужна ли вам подобная система
🍭 На что обращать внимание при выборе подходящей

Книга небольшая, ~ 35 страниц. Ответов на вопрос «Как?» вы не найдете, но «Что?» и «Зачем?» - вполне.

P.S. Материал хоть и «вендорский», но явный маркетинг в нем отсутствует и описываются общие вещи и принципы.

Kobs: observability для Kubernetes

Всем привет!

Kobs – open source проект, который позиционируется, как «application-centric observability platform for Kubernetes and Cloud workloads».

Его функционал достаточно обширен:
🍭 Возможность работы с ресурсами (например, edit)
🍭 Получение терминала до ресурсов
🍭 Сбор metrics, logs и traces
🍭 Отображение topology (визуализация взаимосвязи компонентов приложения)
🍭 «Интеграция» с Prometheus и Istio для взаимодействия с ними через Kobs и не только

Вся информация отображается в наглядном UI, примеры которого можно найти в repo проекта или на сайте.

Кроме того, Kobs можно «расширять» через plugins, часть из которых поставляется «уже из коробки» (Kiali,  Jaeger, Jira и т.д.).

Информацию об архитектуре, способе установке и первичной настройки решения можно найти по ссылке.

Анализ исходного кода с CodeTotal

Всем привет!

CodeTotal – open source решение, которое позволяет анализировать code snippet, файл или репозиторий исходного кода на предмет наличия уязвимостей в коде и конфигурационных файлах.

Есть минималистичный UI, в который надо поместить вышеуказанное, нажать кнопку и «Готово»! Да, вот так просто 😊

Все потому, что CodeTotal – ни что иное, как графическая «обертка» над проектом MegaLinter, который включает в себя поддержку более 100 средств анализа.

Например:
🍭 Bandit
🍭 Checkov
🍭 GitLeaks
🍭 Semgrep
🍭 Syft и многое другое

Помимо ИБ-сканеров MegaLinter «поддерживает» анализаторы, связанные с качеством кода и корректностью написания конфигурационных файлов.

Нюанс в том, что CodeTotal не поддерживается разработчиком (последний release был в августе 2023), а вот MegaLinter – вполне!

Просто титаническая работа от wr3dmast3r!!! Крайне рекомендуем для изучения :)

Escalate, Bind и Impersonate в Kubernetes

Всем привет!

Есть несколько вещей, на которые можно смотреть бесконечно. Корректная настройка полномочий и привилегий, особенно в условиях гибкой ролевой модели – одна из них.

В статье описываются полномочия, использование которых может привести к не самым приятным последствиям.

Автор рассматривает:
🍭 escalate. Позволяет пользователям создавать и редактировать роли, даже если изначально у них не было таких полномочий
🍭 bind. Позволяет создавать и редактировать RoleBindng и ClusterRoleBinding
🍭 impersonate. Позволяет «выдавать себя» за кого-то другого

Для наглядности Автор создает простой ServiceAccount, которому назначается роль с возможностью get, watch, list для pods.

Далее он предоставляет указанные полномочия и показывает, как их можно «использовать» (не) по назначению для повышения привилегий.

Много примеров, экспериментов и пояснений. А в завершении – немного рекомендаций о том, как этим можно управлять – рекомендуем!

Comprehensive container security guide от Sysdig

Всем привет!

Все так! По ссылке можно найти достаточно много информации по безопасности контейнеров, подготовленной командой Sysdig.

Команда структурировала все следующим образом:
🍭 По горизонтали – возможные действия для защиты – Prevent, Protect, Detect и Respond
🍭 По вертикали – «объекты» анализа и защиты – от Code до Container
🍭 На пересечении – практики, которые можно использовать

Далее для каждой практики представлено свое описание с примерами. Да, хоть статья и «вендорская» - явных отсылок к решениям Sysdig нет, материал «общего характера» (ну почти 😊).

Помимо этого, в статье очень много ссылок на другие полезные материалы по теме.

Minefield: работа со SBOM

Всем привет!

Bitbom Minefield – утилита, которая позволяет оптимизировать работу со SBOM за счет автоматизации отдельно взятых задач.

Глобально его функционал можно разделить на 3 категории:
🍭 Query. Гибкие пользовательские запросы для поиска необходимых данных
🍭 Leaderboard. Показывает узлы, которые наиболее часто встречаются в указанной query
🍭 Cache. Очень быстро кеширует данные и может с ними работать в offline-режиме 😊 Правда! Можно посмотреть на данные в repo

Помимо этого, он позволяет визуализировать информацию, полученную по результатам запроса.

Больше информации можно найти в repo проекта в официальной документации.

Kondense – управление мощностями в Kubernetes

Всем привет!

С использованием Kondense можно управлять вычислительными ресурсами workloads, запущенных в кластере Kubernetes.

«Устанавливается» он как Sidecar Container. После этого вычислительные ресурсы «целевого контейнера» будут меняться без необходимости его перезапуска.

Kondense обладает минималистичным набором настроек. Например:
🍭 Минимально допустимое количество потребляемых ресурсов
🍭 Максимально допустимое количество потребляемых ресурсов
🍭 Целевое значение memory pressure
🍭 «Коэффициенты изменения» вычислительных мощностей и не только

Если вам интересно прочитать о том, как Kondense «вычисляет» использование CPU и памяти, то это написано тут и тут.

Защита ArgoCD в multi-tenant окружениях

Всем привет!

Еще одна статья, посвященная безопасности ArgoCD. Можно выделить два наиболее значимых аспекта – контроль того, куда можно устанавливать что-либо и контроль тех, кто может взаимодействовать с системой.

Далее Авторы описывают:
🍭 Контроль доступа к ресурсам ArgoCD с использованием policies
🍭 Контроль доступа к ресурсам Kubernetes c использованием Application Project

Завершает статью наглядный пример того, как все это можно реализовать на практике для двух команд.

Первая команда может только просматривать собственные Applications, вторая – просматривать/редактировать свои Applications и видеть Applications первой команды.

Дальше – детальные примеры того, как это можно настроить: screenshots, комментарии, конфигурационные файлы – все на месте 😊

Stateful Apps в Kubernetes: возможные способы реализации

Всем привет!

Интересная обзорная статья о том, как работать с Stateful Apps в Kubernetes. Начинается все с истории их возникновения, определенной потребностью нет-нет, да и сохранять состояние, вопреки stateless-идеологии.

Далее – интересней! Статья разбирает такие аспекты, как:
🍭 Принципы работы StatefulSets, их недостатки и подводные камни
🍭 Работа с PV и PVC – что может пойти не так и почему этим может быть сложно управлять
🍭 Использование Operators (на примере ClickHouse)

В статье крайне много наглядных примеров относительно того, почему реализация хранения чего-либо в Kubernetes – не самая очевидная задача.

Завершает статью небольшой перечень Operators, которые можно использовать в случае, если необходимо реализовать Stateful App

P.S. А как вы считаете? Надо ли это делать или все же Kubernetes – это про Stateless подход?

Client-Side Path Traversal Playground

Всем привет!

По ссылке доступен GitHub-репозиторий, в котором можно найти Client-Side Path Traversal (CSPT) Playground, подготовленную ребятами из Doyensec.

CSPT – тип уязвимости, который позволяет злоумышленнику манипулировать файлами, используемыми клиентскими приложениями.

Да, они не так распространены, как их «старший брат» (Server-Side Path Traversal), но, тем не менее, результаты могут быть не самые приятные: от XSS до разглашения чувствительной информации.

С примерами можно ознакомиться в статье от Doyensec или в Whitepaper (отправим в следующем посте).

Сам же repo содержит 2 основных сценария:
🍭 CSPT to CSRF
🍭 CSPT to XSS

Для запуска необходимо лишь выполнить docker compose up, после чего перейти на http://localhost:3000 и начать исследование.

И тот самый Whitepaper (~ 40 страниц) ☺️

Использование LLM для Application Security, опыт
DryRun Security

Всем привет!

Наверное, каждый пробовал поместить если уж не исходный код, то результаты срабатываний *AST-решений в LLM с вопросом – «Что тут false, а что – true positive?»

До сих пор нет однозначной позиции (кроме надежды на silver bullet, которая теплеет внутри) о том, насколько именно LLM могут быть полезны в этом вопросе.

Сегодня предлагаем вам ознакомиться со статьей от DryRun Security, которые в течение года использовали разные LLM для того, чтобы оценить их «пригодность» для Application Security нужд.

Как обычно, началось все с недовольства работой *AST решений: много «шума», отсутствие понимания контекста, не самая высокая производительность, труднопонимаемые результаты для разработчиков и т.д.

Казалось бы, все это можно решить с использованием LLM. При этом получится отличный «переводчик» между AppSec и разработчиками.

Однако, команда все-таки столкнулась с нюансами
🍭 Не все LLM хорошо понимают «в код»
🍭 Результаты не всегда содержат информацию, позволяющую принять решение
🍭 Нюансы, связанные с конфиденциальностью (если используется внешняя LLM)
🍭 «Тренировка» модели процесс не конечный, его надо поддерживать, что не всегда просто

Поэтому реализовать концепт «отдали код – получили перечень уязвимостей» не будет работать. Но расстраиваться не стоит 😊

Если кратко, то использованием LLM может неплохо помочь Application Security, но с нюансами. Какими? Ответ вы найдете в статье 😊

P.S. А что вы думаете про использование LLM для описанных в посте целей? Можно ли на них полагаться или лучше не стоит?

Эксплуатация software supply chain уязвимостей в Consul

Всем привет!

Сегодня предлагаем вам небольшую статью, в которой Авторы рассказывают о том, как им удалось найти dependency confusion в проекте Consul.

Началось все с того, что они обнаружили пакет, управление версиями для которого не осуществлялось. Да, был еще один конфигурационный файл, который это нивелировал. Однако, не все пакетные менеджеры смогли бы это «понять». Например, с pnpm могли возникнуть нюансы.

Продолжив исследование, команда нашла еще несколько подобных пакетов.  Оказалось, что они «свободны» и их можно «занять».

Именно это и сделали исследователи. Создали простой payload, который возвращает следующую информацию: hostname, whoami и path. После чего разместили пакет на общедоступном ресурсе.

И… это сработало! Спустя некоторое время команда получила pingback с информацией о «жертве». После успешного PoC пакет был удален, а команда HashiCorp («владельцы» Consul) внесли необходимые изменения.

Хорошо то, что хорошо заканчивается! Тем не менее это лишний раз подчеркивает важность и значимость обеспечения безопасности цепочки поставки ПО.

P.S. Информацию об уязвимых версиях и особенностях эксплуатации можно найти в статье.

Zizmor: анализ GitHub Actions

Всем привет!

GitHub Actions - не самое популярное решение в enterprise-компаниях, но вдруг информация в посте кому-нибудь пригодится.

Zizmor – CLI утилита, которая позволяет его анализировать и  находить ИБ-недостатки.

Важно(!): на текущий момент она находится в beta-стадии.

Как и практически любая CLI-утилита, Zizmor устанавливается просто и сразу готова к использованию.

При помощи нее можно найти:
🍭 Dangerous triggers
🍭 Excessive permissions
🍭 Hardcoded container credentials
🍭 Template injection и не только

Из приятного – может предоставлять отчеты как plain-текстом, так и в JSON/SARIF-форматах.

Больше информации, включая примеры использования, можно найти в документации.

Наш друг ведет отличный канал по информационной безопасности в целом и по обновлениям различных стандартов в частности.

Не совсем по тематике DevSecOps, но вдруг кому-нибудь будет интересно :)