Курсы от Wiz!

Всем привет!

Команда Wiz подготовила небольшой набор обучающих курсов, посвященных Cloud Native Security. На текущий момент доступно: Kubernetes Security и SecOps for Cloud. В скором времени команда планирует выпустить AI Security.

Курсы хоть и базовые, но достаточно обширные с точки зрения рассматриваемых тем.

Например, курс про Kubernetes содержит:
🍭 Основы контейнеризации и Kubernetes
🍭 Ошибки в конфигурациях, security posture
🍭 Управление уязвимостями и безопасность цепочки поставок
🍭 Сетевая безопасность, Zero Trust
🍭 Runtime Security и не только

В среднем, для прохождения потребуется от 45 до 60 минут. Никакой регистрации не требуется (вообще). Можно просто открыть ссылку и читать/слушать 😊

Вопросы для интервью!

Всем привет!

Возможно, вам предстоит пройти интервью, вы недавно его проходили или вы просто любите разные квизы.

В этом случае вам может быть интересна подборка, доступная на этом сайте.

В ней собраны вопросы по различным областям. Например:
🍭 Core DevOps Concepts
🍭 Kubernetes
🍭 CI/CD
🍭 Monitoring and Logging
🍭 Site Reliability Engineering и другие

Для каждого раздела есть вопросы и ответы, с которыми можно ознакомиться.

Из минусов – вопросов пока что крайне мало и, зачастую, они достаточно общего характера.

Но! Надеемся, что проект будет развиваться и количество вопросов будет только увеличиваться.

Например, если у вас есть, чем поделиться, то правила внесения изменений описаны в разделе contribute ☺️

The Complete Guide to Kubernetes Security

Всем привет!

Астрологи объявили неделю электронных книг. В приложении можно найти электронную книгу (~ 33 страницы) от CrowdStrike, посвященную Kubernetes Security.

Материал разбит на 4 основные главы:
🍭 Общая информация о Kubernetes и его «месте» в Cloud Native мире
🍭 Основные векторы компрометации кластеров Kubernetes, разложенные по MITRE
🍭 Рекомендации по защите кластеров Kubernetes (Develop and Distribute, Deploy and Runtime)
🍭 Создание программы (плана) по защите среды контейнерной оркестрации

Конечно, не обошлось и без рекламы решений CrowdStrike по защите контейнеров, но ее не так уж и много.

OpenClarity: сканирование контейнеров и кластеров

Всем привет!

OpenClarity – open source проект, который позволяет сканировать кластеры Kubernetes и не только для идентификации ИБ-дефектов.

Он содержит сканеры, позволяющие выявлять:
🍭 Уязвимости
🍭 Вредоносное ПО
🍭 Секреты
🍭 Ошибки в конфигурациях
🍭 Эксплойты

Для этого используется целый набор сканеров и источников данных: Syft, Trivy, Grype, Go Exploit DB, KICS, ClamAV и не только.

Подробнее о решении можно узнать в repo или из его документации.

Запись вебинара "Фреймворк безопасности контейнеров JCSF"

А вот и запись прошедшего вебинара про безопасность контейнеров и фреймворк JCSF, в котором мы принимали участие. Приятного просмотра!

Управление секретами: ArgoCD, HashiCorp Vault и External Secrets Operator

Всем привет!

В статье можно найти очень неплохое руководство о том, как можно реализовать процесс управления секретами в кластерах Kubernetes с использованием ArgoCD (в целом – опционально, без нее ничего не поменяется), HashiCorp Vault и External Secrets Operator (ESO).

Автор фокусируются на двух основных вопросах:
🍭 Как избежать сохранения каких-либо секретов в git (включая аутентификационных токены для Vault)
🍭 Как реализовать синхронизацию секретов без перезапуска приложений

Для того, чтобы процесс был более наглядным, Автор использует минималистичное приложение, которое отображает информацию о секретах в реальном времени.

Весь процесс отлично описан (за исключением установки используемых решений): шаги, конфигурационные параметры, комментарии и то, что происходит «под капотом». Рекомендуем! ☺️

Поиск проблем в Kubernetes с использованием AI

Всем привет!

Иногда хочется, чтобы был «волшебный помощник», который будет искать ошибки и объяснять их «простым языком», а еще лучше – самостоятельно их устранять.

Таким помощником может быть и искусственный интеллект. В статье Автор описывает свои изыскания при работе с GPTScript и Kubernetes.

Статья состоит из следующих разделов:
🍭 Краткая вводная в использование GPTScript
🍭 Разницу между Tool и Agent (это потребуется в дальнейшем)
🍭 Создание простейших Tool и Agent, которые будет отвечать на вопрос о состоянии кластера
🍭 Развитие предыдущей идеи – не только отображать статус, но и вносить изменения
🍭 Deploy наработок в кластер в виде Job

Попутно Автор объясняет, как влияют вносимые им изменения на работу модели и результаты, которые она генерирует.

Да, у такого подхода множество вопросов – «А что, если он не сможет найти причину?», «А что, если он поправит так, что сделает только хуже?», «А как можно доверять такой конструкции?» и т.д. Однако, как концепт – это достаточно интересно на наш взгляд.

Кстати, есть еще один занятный способ использования AI для нужд поиска ошибок – «человеческое общение» с журналами событий (прочитать и посмотреть можно тут).

Вероятно, что со временем подобное станет распространённой практикой и сократит время на обслуживание систем.

А что вы думаете по этому поводу?

Управление уязвимостями от Phoenix Security

Всем привет!

В приложении электронная книга от Phoenix Security (~ 120 страниц) с весьма претенциозным названием: «Building resilient application and cloud security programs to manage vulnerabilities».

Однако, все чуть проще, чем может показаться 😊 В книге очень неплохо описаны размышления о том, как можно выстроить процесс управления уязвимостями и на что обращать внимание. В большей степени речь идет именно про Application Security.

В книге собрана информация о:
🍭 «Источниках данных» ИБ-дефектов и их «месте» в жизненном цикле ПО
🍭 CVE, CVSS – много аналитики и аргументов о том, почему этого крайне мало для принятия решения
🍭 Базах данных с exploits (например, CISA KEV) и EPSS, их роли в оптимизации управления ИБ-дефектами
🍭 Подходах к расстановке приоритетов для устранения ИБ-дефектов, важности роли «контекста»
🍭 Уровнях зрелости процесса и том, что надо делать, чтобы его повысить
🍭 Сравнительных затратах при ручной и (полу) автоматизированной разметке

В книге очень много статистики, рекомендаций и отсылок на разные методологические материалы.

Единственный нюанс – кажется, что все тоже самое можно было рассказать на чуть меньше, чем 120 страниц 😊

Графический генератор Audit Policy для Kubernetes

Всем привет!

Команда «Штурвала» сделала «Генератор политик аудита» для Kubernetes. С его помощью можно создавать требуемые политики в удобном web-интерфейсе!

Для этого потребуется
🍭 Перейти по ссылке выше
🍭 Создать правило, на которое будет срабатывать политика
🍭 Указать необходимые параметры (уровень логирования, ресурсы, глаголы и т.д.)
🍭 Повторить до желаемого результата

Ресурс пока что находится в стадии beta-тестирования.

Если вдруг вы найдете что-то, что не работает или у вас есть мысли по развитию функционала, то можете смело их адресовать в Telegram-чат «Сообщества Штурвал» 😊

mTLS в Kubernetes

Всем привет!

Mutual TLS очень полезная функция, особенно когда дело касается информационной безопасности.

Для начала погружения в тему очень может подойти вот эта статья.

В ней Автор разбирает:
🍭 Краткое описание того, что такое mTLS и зачем он нужен
🍭 «Сделай сам!»-реализация с изменением логики работы приложения
🍭 Использование Service Mesh для достижения цели
🍭 Реализация mTLS на основе Ambient Mesh
🍭 Общие рекомендации о том, как это можно сделать

Статья небольшая, дает общение понимание что и зачем и как это можно реализовать. Самое «то» для пятницы ☺️

AppSec метрики от SNYK

Всем привет!

Когда процесс обрастает «мясом», появляется желание не только достигать поставленных целей, но и оценивать насколько эффективно это реализуется.

Также бывает полезно показывать разным участникам процесса «мгновенный срез», который покажет насколько все хорошо или не очень.

Для этого можно использовать метрики. Нюанс в том, что «универсального набора» нет и каждый подбирает их «под себя».

Сегодня хотим обратить ваше внимание на подборку AppSec-метрик от SNYK. Возможно, что-то покажется вам полезным.

Ребята разделили их на 4 блока:
🍭 Risk reduction metrics
🍭 Team coverage and engagement
🍭 Application security posture trends
🍭 Vulnerability management efficiency

Для каждого блока приводится набор метрик с качественным описанием и общей логикой расчета (без формул и математики).

Docker Init

Всем привет!

Возможно, что вы только начинаете учиться собирать образы контейнеров или вам не хочется каждый раз самостоятельно писать dockerfile.

Чтобы упростить задачу можно использовать docker init. С его помощью можно создать dockerfile, compose.yaml и .dockerignore автоматически.

Работает это примерно так:
🍭 Вы запускаете docker init и попадаете в интерактивную сессию
🍭 Потребуется указать используемую технологию (Node, Go, Python и т.д.)
🍭 Определиться с командой, которая должна быть запущена в контейнере
🍭 Написать порт, по которому можно обращаться к ПО
🍭 Готово!

Да, возможно не самый лучший вариант, но для начала вполне неплохо. Подробнее об использовании docker init можно прочесть в статье.

Autogrep!

Всем привет!

Да, вам не кажется! Это то, о чем вы подумали! Автоматическое создание правил для Semgrep с использованием нейронных сетей.

Если кратко, то его возможности заключаются в:
🍭 Создании правил для Semgrep на основе информации из патчей с исправленными уязвимостями
🍭 Анализе качество создаваемых правил
🍭 Поддержке различных языков программирования, для которых создаются правила.

В использовании тоже нет ничего сложного: скачиваем утилиту, создаем правила, используем их вместе с Semgrep для анализа интересующего проекта.

Если не хочется ничего качать, устанавливать и т.д., но интересно посмотреть на результаты работы Autogrep, то можно воспользоваться ссылкой.

Securing Kubernetes using Policy-as-Code

Всем привет!

В приложении можно скачать электронную книгу (~ 36 страниц), посвященную Policy-as-Code от Nirmata (дада, те самые разработчики Kyverno).

После вводной части, посвященной тому, что такое Policy-as-Code и основам безопасности Kubernetes, начинается самое интересное!

Авторы описывают:
🍭 Kyverno: основы, написание политик
🍭 Защита образов и реестров
🍭 Использование Kyverno в CI-конвейере
🍭 Использованием Kyverno для нужд compliance и не только

Получилось неплохое руководство для знакомства с Kyverno. Однако, рекомендуем держать «под рукой» документацию, чтобы изучение было максимально полезным и эффективным.

Автоматическое устранение ИБ-дефектов в коде

Всем привет!

Сегодня предлагаем вам легкое пятничное чтиво, в котором Автор рассуждает о том, насколько можно/нужно/целесообразно полагаться на различные технологии, предоставляющие функционал по автоматическому устранению ИБ-дефектов в исходном коде.

В качестве примера он берет то, «что показывают все производители на всех демонстрациях» (ведь это круто работает!) – работа с SQL-инъекциями.

Дальше он делает аналогичное для:
🍭 Cross-Site Scripting
🍭 Weak Cryptography
🍭 Hardcoded Secrets

И вроде бы все хорошо, но есть некоторые нюансы. Например, с теми же секретами – да, убрали из исходного кода, но как тогда будет работать приложение?

А что вы думаете по этому поводу? Надо/Не надо/Надо, но аккуратно/Иное – пишите свое мнение в комментариях ☺️

Работа с контейнерами Docker: разбор популярных утилит

Всем привет!

Иногда нам приходится возвращаться к Docker, чтобы протестировать и быстро оценить функционал нового приложения, инструмента, сканера. На помощь приходят удобные утилиты:
🎯 lazydocker – интерактивный терминальный UI для мониторинга контейнеров, образов, логов и ресурсов.
🎯 ctop – аналог htop, но для Docker: показывает загрузку CPU, RAM, диски, сети контейнеров.
🎯 cdebug – удобный инструмент для дебага контейнеров (позволяет пробрасывать в контейнер link до бинарников хоста).
🎯 dive – анализ слоев Docker-образов, помогает оптимизировать их размер и выявлять неэффективные сборки.
🎯 layeremove – пример скрипта на Python для удаления слоев из Docker-образов.

Если чего-то не хватает, можно использовать простые запросы к Docker, для вывода JSON — добавляй --format '{{json .}}'.
Например, чтобы получить данные об использовании ресурсов:

# Использование ресурсов
docker stats --no-stream --format "table {{.Name}}\t{{.CPUPerc}}\t{{.MemUsage}}"
# Информация о контейнерах в json
docker ps --format '{{json .}}' | jq .

А какими утилитами пользуетесь вы? Делитесь в комментариях!

Как работает scheduling в Kubernetes?

Всем привет!

«Как именно Kubernetes «размещает» создаваемые `pod` на узлах кластера?» - если вам интересен этот вопрос, то статья может быть полезна.

В ней описывается весь процесс:
🍭 Попадание pod в Scheduling Queue
🍭 Фильтрация (Filtering) – «отбрасываются» узлы, на которых нельзя разместить pod (например, у узла статус Unreachable)
🍭 Выбор оптимального узла (Scoring) – выбор осуществляется из узлов, которые «прошли» предыдущий этап
🍭 «Назначение» pod определенному узлу (Binding)

Автор описывает все эти этапы достаточно детально, чтобы в голове сформировалось представление о том, что происходит «под капотом».

Затрагиваются такие темы, как Priority Class, Taints, Tolerations, (Anti) Affinity, Selectors и многое другое.

Рекомендуем! ☺️

Анализ достижимости и приоритизация уязвимостей

Всем привет!

По ссылке можно найти статью от Xygeni, посвященную анализу достижимости и его пользе в расстановке приоритетов при работе с уязвимостями в open source компонентах.

Главный вопрос, на который надо найти ответ звучит примерно так: «А можно ли как-то исполнить уязвимый код во время работы (исполнения) ПО?». Именно для этого и используется анализ достижимости.

В статье Авторы раскрывают такие темы, как:
🍭 Что такое анализ достижимости и какие подвиды у него бывают
🍭 Почему этот анализ так важен для процесса управления уязвимостями в open source компонентах
🍭 Использование достижимости при расстановке приоритетов по устранению уязвимостей
🍭 Значимость анализа достижимости (небольшая статистическая справка)

Все указанные темы раскрываются достаточно подробно, с примерами и пояснениями.

В завершении Авторы описывают то, как именно устроен подобный анализ в их решении. Да, маркетинг, но весьма полезный и приятный. Такой не жалко и почитать 😊