Привет!
В статье автор описывает контейнер, который он подготовил для ИБ-тестирования сред контейнеризации. Подход очень простой – сделать так, чтобы все «инструменты» были под рукой, чтобы не требовалось «установить еще вот это и это, а потом еще вот то» . Примеры того, что есть внутри:
🍭 Truffelhog
🍭 Kubectl-who-can
🍭 Nikto
🍭 nmap
Полную информацию о содержимом можно посмотреть тут. Ссылка на сам проект.
В статье автор описывает контейнер, который он подготовил для ИБ-тестирования сред контейнеризации. Подход очень простой – сделать так, чтобы все «инструменты» были под рукой, чтобы не требовалось «установить еще вот это и это, а потом еще вот то» . Примеры того, что есть внутри:
🍭 Truffelhog
🍭 Kubectl-who-can
🍭 Nikto
🍭 nmap
Полную информацию о содержимом можно посмотреть тут. Ссылка на сам проект.
Medium
Madhu Akula – Medium
Read writing from Madhu Akula on Medium. Leader, Advisor, Author, Speaker & Trainer | #Security #CloudNative, #Kubernetes, #DevSecOps, #DevOps | Tweets @madhuakula | Never ending learner!
Привет, сегодня вторая часть нашей статьи про OpenShift Egress. В ней мы рассмотрели ситуации, когда нужно предоставить доступ трафику из PODов в другие VLAN'ы, а также описали, какие решения позволяют это реализовать, и как их правильно настроить! (Подсказка - Multus CNI).
Приятного чтения!
https://habr.com/ru/company/jetinfosystems/blog/533294/"
Приятного чтения!
https://habr.com/ru/company/jetinfosystems/blog/533294/"
Хабр
Все об OpenShift Egress. Часть 2
В первой части статьи про OpenShift Egress мы рассмотрели варианты организации фиксированных исходящих IP-адресов для POD в кластере. Но что делать, если надо пр...
Tracee – это простой инструмент мониторинга процессов и контейнеров от Aqua Security. Он может отслеживать события процессов и контейнеров в реальном времени.
Главные особенности:
🥨 Поддержка eBPF.
🥨 Возможность мониторинга только новых процессов и/или контейнеров (т.е. созданных после запуска Tracee). Это помогает сосредоточиться только на актуальных событиях.
🥨 Очень простая фильтрация мониторинга. Настройка фильтра требует всего нескольких строк кода.
Помимо мониторинга, Tracee способен:
🥨 Захватывать файлы, которые записываются на диск или в память, и копировать их в хранилище.
🥨 Извлекать данные, которые динамически загружаются в память (например, когда приложение использует упаковщик).
Демонстрация работы Tracee доступна по ссылке: https://youtu.be/WTqE2ae257o
Гитхаб проекта: https://github.com/aquasecurity/tracee
Главные особенности:
🥨 Поддержка eBPF.
🥨 Возможность мониторинга только новых процессов и/или контейнеров (т.е. созданных после запуска Tracee). Это помогает сосредоточиться только на актуальных событиях.
🥨 Очень простая фильтрация мониторинга. Настройка фильтра требует всего нескольких строк кода.
Помимо мониторинга, Tracee способен:
🥨 Захватывать файлы, которые записываются на диск или в память, и копировать их в хранилище.
🥨 Извлекать данные, которые динамически загружаются в память (например, когда приложение использует упаковщик).
Демонстрация работы Tracee доступна по ссылке: https://youtu.be/WTqE2ae257o
Гитхаб проекта: https://github.com/aquasecurity/tracee
YouTube
Tracee - system tracing using eBPF
Yaniv from Aqua's research team demonstrates how to use Tracee to detect system calls and security-related events from the kernel. You can trace events from the host, from a container, or from a specific process. First of a series on powerful things you can…
Привет!
Наткнулись на отличную подборку материалов (форматов books, slides, video), в которую автор поместил материалы, собранные с большого количества конференций. Примеры материалов:
🍭 Container Security for RED and BLUE Teams! (slides, All Day DevOps)
🍭 Attacking and Auditing Docker Containers and Kubernetes Clusters (book,Def Con)
🍭 Container Security Monitoring using Open Source (video, All Day DevOps, 2018)
Подборка хорошо оформлена, простая и понятная навигация, интересное содержание. Надеемся, что вам пригодится!
Наткнулись на отличную подборку материалов (форматов books, slides, video), в которую автор поместил материалы, собранные с большого количества конференций. Примеры материалов:
🍭 Container Security for RED and BLUE Teams! (slides, All Day DevOps)
🍭 Attacking and Auditing Docker Containers and Kubernetes Clusters (book,Def Con)
🍭 Container Security Monitoring using Open Source (video, All Day DevOps, 2018)
Подборка хорошо оформлена, простая и понятная навигация, интересное содержание. Надеемся, что вам пригодится!
Madhuakula
Madhu Akula's Presentations, Talks, Workshops, Trainings, Slides, Videos, Books content...
Madhu Akula, Cloud Native Security, Cloud Native Infrastructure, Container Security, Cloud Security, Security Automation, Web Application Security, Network Security, Continuous Security, DevOps, SecOps, DevSecOps, Pentesting, Security Research, Docker Security…
Всем привет !
Компания RedHat подготовила отличный новогодний подарок сообществу DevSecOps - платформа контейнерной орrестрации OpenShift теперь поддерживает контейнеры Windows. C 12/18/2020 реализация Windows Containers в OpenShift 4.6 перешла стадию GA (Generally Available) и может быть использована в продуктивных решенияx.
Поддержка Windows Containers в OpenShift позволяет запускать Windows-приложения (например на базе .NET) в OpenShift без трудоемкой миграции подобных приложений на платформу Linux/.Net Core.
Для конфигурации и работы с узлами кластера на базе ОС Windows. RedHat разработала новый оператор - Windows Machine Config Operator. Именно этот оператор позволяет добавить Windows сервер в кластер OpenShift.
Пока что у Windows Containers на OpenShift есть ряд ограничений:
🍭Windows Containers поддерживаются только на платформе Windows Azure или AWS
🍭В качестве ОС может использоваться только Windows Server 2019
Но в ближайшем будущем RedHat обещает поддержку Windows Containers на on-permise платформах (WMware vSphere, RHV, RH OpenStack, Bare Metal).
Более подробно об этом в статье на OpenShift Blog: https://www.openshift.com/blog/announcing-general-availability-for-windows-container-workloads-in-openshift-4.6
Компания RedHat подготовила отличный новогодний подарок сообществу DevSecOps - платформа контейнерной орrестрации OpenShift теперь поддерживает контейнеры Windows. C 12/18/2020 реализация Windows Containers в OpenShift 4.6 перешла стадию GA (Generally Available) и может быть использована в продуктивных решенияx.
Поддержка Windows Containers в OpenShift позволяет запускать Windows-приложения (например на базе .NET) в OpenShift без трудоемкой миграции подобных приложений на платформу Linux/.Net Core.
Для конфигурации и работы с узлами кластера на базе ОС Windows. RedHat разработала новый оператор - Windows Machine Config Operator. Именно этот оператор позволяет добавить Windows сервер в кластер OpenShift.
Пока что у Windows Containers на OpenShift есть ряд ограничений:
🍭Windows Containers поддерживаются только на платформе Windows Azure или AWS
🍭В качестве ОС может использоваться только Windows Server 2019
Но в ближайшем будущем RedHat обещает поддержку Windows Containers на on-permise платформах (WMware vSphere, RHV, RH OpenStack, Bare Metal).
Более подробно об этом в статье на OpenShift Blog: https://www.openshift.com/blog/announcing-general-availability-for-windows-container-workloads-in-openshift-4.6
Redhat
Announcing Windows Container Support for Red Hat OpenShift
With this announcement, you can now get full support for running Windows worker nodes.
Всем привет!
Недавно Aqua Security Research Team опубликовала отчет в своем блоге о новом типе атак на контейнеры - fileless malware attack. Опасность такого рода атаки в том что ее крайне трудно отследить и заблокировать выполнение, так как все неприятности происходят в оперативной памяти контейнера.
В случае fileless malware при запуске контейнера из образа запускается скрипт, распаковывающий несколько зашифрованных вредоносных файлов и подготавливающий среду для выполнения атаки.
Как устроена атака?
🍩 Скрипт распаковывает и загружает в память malware
🍩 Запускается rootkit для маскировки системных процессов
🍩 Один из маскированных процессов запускает дочерний процесс криптомайнинга
🍩 И еще один из процессов собирает и выгружает данные на удаленный сервер, организовывая backdoor
Фактически из исходного образа запускается всего один скрипт, а все остальное происходит уже в оперативной памяти.
Рекомендации специалистов, как не стать жертвой такой атаки не новы, но тем не менее способны усложнить жизнь атакующим:
🍩 Сканируйте все используемые образы, убедитесь что вы знакомы с ними и с их использованием, используйте минимальные привилегии, такие как "не работать под root и в привелегированных режимах"
🍩 Анализируйте активность в контейнерах, например при помощи Tracee (open source)
🍩 Анализируйте логи, особенно в части пользовательские действий и обращайте внимание на аномалии
Подробнее с техническим "мясцом" - в блоге Aqua:
https://blog.aquasec.com/fileless-malware-container-security
Недавно Aqua Security Research Team опубликовала отчет в своем блоге о новом типе атак на контейнеры - fileless malware attack. Опасность такого рода атаки в том что ее крайне трудно отследить и заблокировать выполнение, так как все неприятности происходят в оперативной памяти контейнера.
В случае fileless malware при запуске контейнера из образа запускается скрипт, распаковывающий несколько зашифрованных вредоносных файлов и подготавливающий среду для выполнения атаки.
Как устроена атака?
🍩 Скрипт распаковывает и загружает в память malware
🍩 Запускается rootkit для маскировки системных процессов
🍩 Один из маскированных процессов запускает дочерний процесс криптомайнинга
🍩 И еще один из процессов собирает и выгружает данные на удаленный сервер, организовывая backdoor
Фактически из исходного образа запускается всего один скрипт, а все остальное происходит уже в оперативной памяти.
Рекомендации специалистов, как не стать жертвой такой атаки не новы, но тем не менее способны усложнить жизнь атакующим:
🍩 Сканируйте все используемые образы, убедитесь что вы знакомы с ними и с их использованием, используйте минимальные привилегии, такие как "не работать под root и в привелегированных режимах"
🍩 Анализируйте активность в контейнерах, например при помощи Tracee (open source)
🍩 Анализируйте логи, особенно в части пользовательские действий и обращайте внимание на аномалии
Подробнее с техническим "мясцом" - в блоге Aqua:
https://blog.aquasec.com/fileless-malware-container-security
Telegram
DevSecOps Talks
Tracee – это простой инструмент мониторинга процессов и контейнеров от Aqua Security. Он может отслеживать события процессов и контейнеров в реальном времени.
Главные особенности:
🥨 Поддержка eBPF.
🥨 Возможность мониторинга только новых процессов и/или…
Главные особенности:
🥨 Поддержка eBPF.
🥨 Возможность мониторинга только новых процессов и/или…
Всем привет!
21.12 вышел новый релиз Prisma Cloud Compute Edition – версия 20.12 (эх, жаль ребята не выпустили его на день раньше, получилось бы очень символично). Из наиболее интересных изменений:
🍭 В качестве объектов применения политик теперь можно выбирать коллекции
🍭 Cloud Native Network Firewall (CNNF) – он вернулся!!! Теперь сетевые правила необходимо задавать в ручную. Автоматическое обучение более не применяется для enforcing’a правил контроля сетевого взаимодействия
🍭 Добавлены compliance-проверки для CRI-O
🍭 Добавлена поддержка Admission Control для Red Hat OpenShift 4
🍭 Расширены возможности Web Application and API Security (WAAS)
Подробности можно найти по ссылке: https://docs.paloaltonetworks.com/prisma/prisma-cloud/20-12/prisma-cloud-compute-edition-release-notes/release-information/release-notes-20-12.html
21.12 вышел новый релиз Prisma Cloud Compute Edition – версия 20.12 (эх, жаль ребята не выпустили его на день раньше, получилось бы очень символично). Из наиболее интересных изменений:
🍭 В качестве объектов применения политик теперь можно выбирать коллекции
🍭 Cloud Native Network Firewall (CNNF) – он вернулся!!! Теперь сетевые правила необходимо задавать в ручную. Автоматическое обучение более не применяется для enforcing’a правил контроля сетевого взаимодействия
🍭 Добавлены compliance-проверки для CRI-O
🍭 Добавлена поддержка Admission Control для Red Hat OpenShift 4
🍭 Расширены возможности Web Application and API Security (WAAS)
Подробности можно найти по ссылке: https://docs.paloaltonetworks.com/prisma/prisma-cloud/20-12/prisma-cloud-compute-edition-release-notes/release-information/release-notes-20-12.html
QUAD DAMAGE! ⚔️⚔️⚔️⚔️
Возможно, в вашем сердце что-то «встрепенулось» и вы даже вспомнили этот голос ) До Нового Года совсем немного времени и, надеемся, что вы уже можете немного расслабиться! Как это можно сделать? Например, сыграть в Quake 3 на Raspberry PI и Kubernetes! Не верите? Тогда вот вам отличный how to, переведенный ребятами из Флант: https://habr.com/ru/company/flant/blog/532452/
Очень согласны с примечанием переводчика: «Казалось бы, еще недавно сочетание из заголовка казалось невозможным безумием». Все же, не смотря на COVID и иные трудности, мы живем в потрясающее время! ☺️
Возможно, в вашем сердце что-то «встрепенулось» и вы даже вспомнили этот голос ) До Нового Года совсем немного времени и, надеемся, что вы уже можете немного расслабиться! Как это можно сделать? Например, сыграть в Quake 3 на Raspberry PI и Kubernetes! Не верите? Тогда вот вам отличный how to, переведенный ребятами из Флант: https://habr.com/ru/company/flant/blog/532452/
Очень согласны с примечанием переводчика: «Казалось бы, еще недавно сочетание из заголовка казалось невозможным безумием». Все же, не смотря на COVID и иные трудности, мы живем в потрясающее время! ☺️
Хабр
Quake III Arena, Kubernetes (k3s) и Raspberry Pi
Прим. перев.: казалось бы, еще недавно сочетание из заголовка казалось невозможным безумием. Мир не стоит на месте, и это безумие стало не просто возможным, а да...
Всем привет !
Любой администратор Kubernetes рано или поздно сталкивается с ситуацией, когда удаляемый ресурс не исчезает, а продолжает существовать в состоянии "Terminating".
В отличной статье на OpenShift Blog объясняется:
🍭 почему возникает подобная ситуация
🍭 почему не стоит "махать шашкой"
🍭 что правильно делать в таких ситуациях
https://www.openshift.com/blog/the-hidden-dangers-of-terminating-namespaces
Любой администратор Kubernetes рано или поздно сталкивается с ситуацией, когда удаляемый ресурс не исчезает, а продолжает существовать в состоянии "Terminating".
В отличной статье на OpenShift Blog объясняется:
🍭 почему возникает подобная ситуация
🍭 почему не стоит "махать шашкой"
🍭 что правильно делать в таких ситуациях
https://www.openshift.com/blog/the-hidden-dangers-of-terminating-namespaces
Openshift
The Hidden Dangers of Terminating Namespaces
There are occasions where failures occur during the removal of the temporary namespace.
Друзья, с наступающим!
2020 для нас особый год, в том числе потому, что это год рождения нашего канала👶 Именно в 2020 мы решили, что хватит делиться крутыми новостями только внутри и расшарили его на всех вас 🤗
Сейчас нас уже больше 500, и в новом году у нас большие планы: собрать community лучших спецов по DevSecOps в России в одном месте, где мы сможем делиться новостями и обсуждать возникающие проблемы 😎
Stay tuned и волшебного вам Нового Года! 🍾
2020 для нас особый год, в том числе потому, что это год рождения нашего канала👶 Именно в 2020 мы решили, что хватит делиться крутыми новостями только внутри и расшарили его на всех вас 🤗
Сейчас нас уже больше 500, и в новом году у нас большие планы: собрать community лучших спецов по DevSecOps в России в одном месте, где мы сможем делиться новостями и обсуждать возникающие проблемы 😎
Stay tuned и волшебного вам Нового Года! 🍾
Всем привет!
CNCF подвел итоги 2020 года и подготовил сводный отчет о развитии community, его составе и о событиях, которые произошли за год. Наиболее полезными разделами на наш взгляд стали:
🍭 End user technology radar (стр. 9) - чем-то напоминает Gartner Hype Cycle: что "можно брать, протестировано", а что - "смотрим, наблюдаем"
🍭 Информация о доступных тренингах и сертификациях (стр. 14), включая информацию об анонсированном в ноябре 2020 года Certified Kubernetes Security Specialist
🍭 Сведения о проектах, которые были «приняты» в 2020 году (стр. 16) в количестве 35 штук
🍭 Сведения о проектах, которые были «обновлены» в 2020 году (стр. 17)
🍭 Ссылки на наиболее популярные посты в блоге CNCF (стр. 19)
Ознакомиться с материалами можно по ссылке: https://www.cncf.io/cncf-annual-report-2020/
CNCF подвел итоги 2020 года и подготовил сводный отчет о развитии community, его составе и о событиях, которые произошли за год. Наиболее полезными разделами на наш взгляд стали:
🍭 End user technology radar (стр. 9) - чем-то напоминает Gartner Hype Cycle: что "можно брать, протестировано", а что - "смотрим, наблюдаем"
🍭 Информация о доступных тренингах и сертификациях (стр. 14), включая информацию об анонсированном в ноябре 2020 года Certified Kubernetes Security Specialist
🍭 Сведения о проектах, которые были «приняты» в 2020 году (стр. 16) в количестве 35 штук
🍭 Сведения о проектах, которые были «обновлены» в 2020 году (стр. 17)
🍭 Ссылки на наиболее популярные посты в блоге CNCF (стр. 19)
Ознакомиться с материалами можно по ссылке: https://www.cncf.io/cncf-annual-report-2020/
Cloud Native Computing Foundation
CNCF Annual Report 2020 | Cloud Native Computing Foundation
DOWNLOAD ANNUAL REPORT PDF Table of Contents Who We Are Remembering Dan Kohn Momentum in 2020 Membership End User Community End Users & CNCF Projects / TOC End Users & KubeCon + CloudNativeCon CNCF…
Привет!
StackRox подготовили обзор под названием «Protecting Kubernetes: The Kubernetes Attack Matrix and How to Mitigate Its Threats». В качестве основы ребята взяли адаптацию фреймворка MITRE ATT&CK от Microsoft. Для каждой из 40 техник доступно описание возможных способов противодействия, собраны лучшие практики. Обзор получился общим, т.к. нет единого решения, которое подойдет всем, но все же может быть использован для понимания того, как выстроить защиту кластера.
Отчет примечателен тем, что рекомендации по противодействию авторы разделили на 3 группы:
🍭 Использование штатных механизмов безопасности Kubernetes
🍭 Использование сервисов Cloud Platform Provider’a
🍭 Использование сторонних решений
Для некоторых тактик приведены ссылки на «Real-world Example». Не обошлось, конечно же, без небольшой рекламы – «Где StackRox может помочь?». Но, spoiler (!), согласно тому же обзору 20 из 40 рассмотренных тактик можно противостоять с использованием собственных ИБ-возможностей Kubernetes.
P.S. Для скачивания обзора необходимо указать email, можно взять любой, мы проверяли. Preview не отображается, поэтому дублируем ссылку еще раз: https://security.stackrox.com/protecting-against-K8s-threats-white-paper.html?Source=Social&LSource=Social
StackRox подготовили обзор под названием «Protecting Kubernetes: The Kubernetes Attack Matrix and How to Mitigate Its Threats». В качестве основы ребята взяли адаптацию фреймворка MITRE ATT&CK от Microsoft. Для каждой из 40 техник доступно описание возможных способов противодействия, собраны лучшие практики. Обзор получился общим, т.к. нет единого решения, которое подойдет всем, но все же может быть использован для понимания того, как выстроить защиту кластера.
Отчет примечателен тем, что рекомендации по противодействию авторы разделили на 3 группы:
🍭 Использование штатных механизмов безопасности Kubernetes
🍭 Использование сервисов Cloud Platform Provider’a
🍭 Использование сторонних решений
Для некоторых тактик приведены ссылки на «Real-world Example». Не обошлось, конечно же, без небольшой рекламы – «Где StackRox может помочь?». Но, spoiler (!), согласно тому же обзору 20 из 40 рассмотренных тактик можно противостоять с использованием собственных ИБ-возможностей Kubernetes.
P.S. Для скачивания обзора необходимо указать email, можно взять любой, мы проверяли. Preview не отображается, поэтому дублируем ссылку еще раз: https://security.stackrox.com/protecting-against-K8s-threats-white-paper.html?Source=Social&LSource=Social
Microsoft News
Threat matrix for Kubernetes
While Kubernetes has many advantages, it also brings new security challenges.
Привет!
По ссылке доступна утилита KubeLinter, которая позволяет проверять Kubernetes YAML и Helm Charts. Проверки направлены на оценку production readiness и security.
Возможна гибкая настройка – некоторые проверки можно отключать по желанию, также можно добавлять собственные.
В качестве примера, доступного по ссылке, приведена идентификация следующих недостатков:
🍭 "Security": Pod is not running as a read only file system
🍭 "Production readiness": CPU and memory limits are not set
В случае, если какая-либо проверка не была пройдена, KubeLinter предлагает рекомендации по устранению недостатка, приводятся ссылки на документацию (там, где применимо).
Документация на утилиту (хоть и небольшая) доступна по ссылке: https://github.com/stackrox/kube-linter/tree/main/docs
По ссылке доступна утилита KubeLinter, которая позволяет проверять Kubernetes YAML и Helm Charts. Проверки направлены на оценку production readiness и security.
Возможна гибкая настройка – некоторые проверки можно отключать по желанию, также можно добавлять собственные.
В качестве примера, доступного по ссылке, приведена идентификация следующих недостатков:
🍭 "Security": Pod is not running as a read only file system
🍭 "Production readiness": CPU and memory limits are not set
В случае, если какая-либо проверка не была пройдена, KubeLinter предлагает рекомендации по устранению недостатка, приводятся ссылки на документацию (там, где применимо).
Документация на утилиту (хоть и небольшая) доступна по ссылке: https://github.com/stackrox/kube-linter/tree/main/docs
GitHub
GitHub - stackrox/kube-linter: KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure…
KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices. - stackrox/kube-linter
Всем привет!
24 января пройдет вебинар, посвященный Software Composition Analysis, SCA под руководством Maya Kaczorowski (Product Manager at GitHub in software supply chain security). На семинаре обещают рассказать про то, как:
🍭 Определить используемые зависимости (dependencies)
🍭 Как сделать так, чтобы они были up-to-date
🍭 Как узнавать о том, что появились обновления по ИБ, которые необходимо установить
🍭 Как работать с потенциальными сложностями
Кроме того, на вебинаре продемонстрируют несколько open source инструментов, которые позволяют автоматизировать выполнение задач, указанных выше.
P.S. Вебинар будет проходить с 13 до 14 GMT-5 (21-22:00 по Московскому времени)
24 января пройдет вебинар, посвященный Software Composition Analysis, SCA под руководством Maya Kaczorowski (Product Manager at GitHub in software supply chain security). На семинаре обещают рассказать про то, как:
🍭 Определить используемые зависимости (dependencies)
🍭 Как сделать так, чтобы они были up-to-date
🍭 Как узнавать о том, что появились обновления по ИБ, которые необходимо установить
🍭 Как работать с потенциальными сложностями
Кроме того, на вебинаре продемонстрируют несколько open source инструментов, которые позволяют автоматизировать выполнение задач, указанных выше.
P.S. Вебинар будет проходить с 13 до 14 GMT-5 (21-22:00 по Московскому времени)
Meetup
Software Composition Analysis: Securing Your Software Supply Chain
вс, 24 янв. 2021 г., 13:00: "Software composition analysis" is a term coined by the industry, and refers to identifying the dependencies and components used in a piece of software that is shipping, an
Всем привет!
В блоге компании Aqua Security появился новый пост от Liz Rice, посвященный rootless контейнерам (дословно - "безрутовым" контейнерам). Rootless контейнеры представляют собой относительно новую концепцию, которая позволит обеспечить более безопасный подход к запуску контейнеров.
Этот подход достигается благодаря следующим пунктам:
🍡Пользователю не требуется быть привилегированным на хосте для того, чтобы создавать rootless контейнеры
🍡Запуск кода внутри такого контейнера может быть выполнен с рутовыми привилегиями без необходимости использования рутовых привилегий на уровне хоста
В статье вы найдете более подробную информацию о том:
🍡Почему root контейнеры лучше не использовать
🍡Что такое rootless контейнеры и как они работают (также приведено краткое описание о том, какими инструментами они уже поддерживаются)
🍡Видео с демонстрацией логики работы rootless контейнеров (всего 7 минут!)
Дополнительная информация по rootless контейнерам может быть найдена здесь.
P.S. Liz Rice является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
В блоге компании Aqua Security появился новый пост от Liz Rice, посвященный rootless контейнерам (дословно - "безрутовым" контейнерам). Rootless контейнеры представляют собой относительно новую концепцию, которая позволит обеспечить более безопасный подход к запуску контейнеров.
Этот подход достигается благодаря следующим пунктам:
🍡Пользователю не требуется быть привилегированным на хосте для того, чтобы создавать rootless контейнеры
🍡Запуск кода внутри такого контейнера может быть выполнен с рутовыми привилегиями без необходимости использования рутовых привилегий на уровне хоста
В статье вы найдете более подробную информацию о том:
🍡Почему root контейнеры лучше не использовать
🍡Что такое rootless контейнеры и как они работают (также приведено краткое описание о том, какими инструментами они уже поддерживаются)
🍡Видео с демонстрацией логики работы rootless контейнеров (всего 7 минут!)
Дополнительная информация по rootless контейнерам может быть найдена здесь.
P.S. Liz Rice является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
Aquasec
Boosting Container Security with Rootless Containers
Rootless containers are a big step forward in container security making it easier and improving the overall security posture.
Привет!
19 января пройдет конференция «Destination: Zero-Trust», посвященная вопросам обеспечения безопасности. Примеры докладов:
🍭 Embracing change: policy-as-code for Kubernetes with OPA and Gatekeeper
🍭 Delivering secure API-centric microservices
🍭 Zero trust & Kubernetes: redefine your web app & API security model
🍭 Top API security threats every API team should know
🍭 How to do Kubernetes security when you don't know anything about Kubernetes security
Отличная подборка спикеров - Weaveworks, SNYK, Octa, HashiCorp, DataDog, StackRox и другие! Единственный «недостаток» - время проведения, с 19:00 до 01:00 (московское время), надеемся, что будут доступны ссылки на запись и продемонстрированные материалы.
P.S. Адаптивное расписание, основанное на текущей локации пользователя – просто прекрасно! И почему не все так делают ☺️
19 января пройдет конференция «Destination: Zero-Trust», посвященная вопросам обеспечения безопасности. Примеры докладов:
🍭 Embracing change: policy-as-code for Kubernetes with OPA and Gatekeeper
🍭 Delivering secure API-centric microservices
🍭 Zero trust & Kubernetes: redefine your web app & API security model
🍭 Top API security threats every API team should know
🍭 How to do Kubernetes security when you don't know anything about Kubernetes security
Отличная подборка спикеров - Weaveworks, SNYK, Octa, HashiCorp, DataDog, StackRox и другие! Единственный «недостаток» - время проведения, с 19:00 до 01:00 (московское время), надеемся, что будут доступны ссылки на запись и продемонстрированные материалы.
P.S. Адаптивное расписание, основанное на текущей локации пользователя – просто прекрасно! И почему не все так делают ☺️
KongHQ
Destination: Zero-Trust - KongHQ
Destination: Automation is a free, digital event exploring ways organizations can embrace automation to make their applications and underlying tech stacks more efficient, secure and resilient.
Всем привет!
Компания Aqua Security опубликовала в своем блоге статью с перечнем ТОП-5 угроз безопасности, выявленных исследовательской командой компании Team Nautilus в 2020 году. В статье приводится перечень материалов, краткое описание и ссылки на более детальную информацию.
Для быстрого обзора перечень, представленный в статье, выглядит следующим образом:
🍡Attacker Building Malicious Images Directly on Your Host, 15.07.2020 (про использование некорректно сконфигурированного Docker API для сборки и запуска вредоносного образа на хосте)
🍡Deep Analysis of TeamTNT Techniques Using Container Images to Attack, 25.08.2020 (про техники атак, используемые группировкой TeamTNT; исследовательская команда выполняла анализ образов, которые лежали на Docker Hub аккаунте группировки; сама TeamTNT известна тем, что использовала криптомайнингового червя для кражи учетных данных AWS, о чем более подробно можно почитать в этой статье)
🍡Kinsing Malware Attacks Targeting Container Environments, 03.04.2020 (про атаки на среды контейнеризации, в основе которых лежит эксплуатация открытого порта Docker API, чтобы запустить Ubuntu контейнер с вредоносом kinsing, который, в свою очередь, запускает криптомайнер и пытается распространить вредонос дальше по хостам и контейнерам)
🍡Fileless Malware Executing in Containers, 02.12.2020 (про атаки, связанные с запуском вредоносов в памяти контейнера, чтобы обойти разные механизмы защиты, например, статический анализ)
Компания Aqua Security опубликовала в своем блоге статью с перечнем ТОП-5 угроз безопасности, выявленных исследовательской командой компании Team Nautilus в 2020 году. В статье приводится перечень материалов, краткое описание и ссылки на более детальную информацию.
Для быстрого обзора перечень, представленный в статье, выглядит следующим образом:
🍡Attacker Building Malicious Images Directly on Your Host, 15.07.2020 (про использование некорректно сконфигурированного Docker API для сборки и запуска вредоносного образа на хосте)
🍡Deep Analysis of TeamTNT Techniques Using Container Images to Attack, 25.08.2020 (про техники атак, используемые группировкой TeamTNT; исследовательская команда выполняла анализ образов, которые лежали на Docker Hub аккаунте группировки; сама TeamTNT известна тем, что использовала криптомайнингового червя для кражи учетных данных AWS, о чем более подробно можно почитать в этой статье)
🍡Kinsing Malware Attacks Targeting Container Environments, 03.04.2020 (про атаки на среды контейнеризации, в основе которых лежит эксплуатация открытого порта Docker API, чтобы запустить Ubuntu контейнер с вредоносом kinsing, который, в свою очередь, запускает криптомайнер и пытается распространить вредонос дальше по хостам и контейнерам)
🍡Fileless Malware Executing in Containers, 02.12.2020 (про атаки, связанные с запуском вредоносов в памяти контейнера, чтобы обойти разные механизмы защиты, например, статический анализ)
Aquasec
Aqua’s Top Five Threat Alerts for 2020
Team Nautilus highlights top 5 blogs covering container image exploitation, fileless and Kinsing malware, sophisticated evasion techniques, and much more.
Привет!
Задумывались о сдаче экзамена на Certified Kubernetes Security Specialist (CKS)? Не знаете, с чего начать? Попробуйте посмотреть материалы, доступные по ссылке!
Автор агрегирует данные, которые могут быть полезны – от описания самого экзамена до ссылок на материалы (официальная документация, статьи, видео, обучающие курсы, инструментарий), которые могут пригодиться!
Задумывались о сдаче экзамена на Certified Kubernetes Security Specialist (CKS)? Не знаете, с чего начать? Попробуйте посмотреть материалы, доступные по ссылке!
Автор агрегирует данные, которые могут быть полезны – от описания самого экзамена до ссылок на материалы (официальная документация, статьи, видео, обучающие курсы, инструментарий), которые могут пригодиться!
GitHub
GitHub - walidshaari/Certified-Kubernetes-Security-Specialist: Curated resources help you prepare for the CNCF/Linux Foundation…
Curated resources help you prepare for the CNCF/Linux Foundation CKS 2021 "Kubernetes Certified Security Specialist" Certification exam. Please provide feedback or requests by ra...
Всем привет!
Если вы хотели знать про seccomp, но боялись спросить, то эта статья для вас! Автор описывает:
🍭 Что такое seccomp профили, зачем их создавать и почему default profile не достаточен
🍭 Как можно создать собственный профиль и применить его на уровне Docker
🍭 Пример использования собственных профилей для Kubernetes
Просто, понятно и с большим количеством примеров!
Если вы хотели знать про seccomp, но боялись спросить, то эта статья для вас! Автор описывает:
🍭 Что такое seccomp профили, зачем их создавать и почему default profile не достаточен
🍭 Как можно создать собственный профиль и применить его на уровне Docker
🍭 Пример использования собственных профилей для Kubernetes
Просто, понятно и с большим количеством примеров!
Medium
Hardening Docker and Kubernetes with seccomp
Your containers might not be as secure as you’d think, but seccomp profiles can help you fix that…
Привет!
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.
GitHub
GitHub - micnncim/kubectl-reap: kubectl plugin that deletes unused Kubernetes resources
kubectl plugin that deletes unused Kubernetes resources - micnncim/kubectl-reap
Привет!
В октябре 2020 года Snyk анонсировал новый продукт в своей линейке – Snyk Code. Решение, представляющее из себя SAST, расширит продуктовую линейку компании.
Snyk Code построен на базе DeepCode, который был приобретен Snyk. Если верить тому, что пишут, то ребята постарались создать developer (not security) first решение, которое устраняет «традиционные» проблемы SAST: медленная скорость работы, неудобные результаты, большое количество ложных срабатываний.
«The semantic analysis engine added via DeepCode, trained on Snyk’s Vulnerability Database, reduces false positives to near-zero» - трудно представить, но посмотреть что это уже хочется 😊
Подробности можно узнать по ссылке: https://snyk.io/blog/developer-first-sast-with-snyk-code/
Ссылка на документацию Snyk Code: https://support.snyk.io/hc/en-us/categories/360003257537-Snyk-Code
В октябре 2020 года Snyk анонсировал новый продукт в своей линейке – Snyk Code. Решение, представляющее из себя SAST, расширит продуктовую линейку компании.
Snyk Code построен на базе DeepCode, который был приобретен Snyk. Если верить тому, что пишут, то ребята постарались создать developer (not security) first решение, которое устраняет «традиционные» проблемы SAST: медленная скорость работы, неудобные результаты, большое количество ложных срабатываний.
«The semantic analysis engine added via DeepCode, trained on Snyk’s Vulnerability Database, reduces false positives to near-zero» - трудно представить, но посмотреть что это уже хочется 😊
Подробности можно узнать по ссылке: https://snyk.io/blog/developer-first-sast-with-snyk-code/
Ссылка на документацию Snyk Code: https://support.snyk.io/hc/en-us/categories/360003257537-Snyk-Code
Snyk
Announcing developer-first SAST with Snyk Code | Snyk
Snyk announced our forthcoming product, Snyk Code, our new developer-first SAST offering, expanding our cloud native application security platform.