Привет!
19 января пройдет конференция «Destination: Zero-Trust», посвященная вопросам обеспечения безопасности. Примеры докладов:
🍭 Embracing change: policy-as-code for Kubernetes with OPA and Gatekeeper
🍭 Delivering secure API-centric microservices
🍭 Zero trust & Kubernetes: redefine your web app & API security model
🍭 Top API security threats every API team should know
🍭 How to do Kubernetes security when you don't know anything about Kubernetes security
Отличная подборка спикеров - Weaveworks, SNYK, Octa, HashiCorp, DataDog, StackRox и другие! Единственный «недостаток» - время проведения, с 19:00 до 01:00 (московское время), надеемся, что будут доступны ссылки на запись и продемонстрированные материалы.
P.S. Адаптивное расписание, основанное на текущей локации пользователя – просто прекрасно! И почему не все так делают ☺️
19 января пройдет конференция «Destination: Zero-Trust», посвященная вопросам обеспечения безопасности. Примеры докладов:
🍭 Embracing change: policy-as-code for Kubernetes with OPA and Gatekeeper
🍭 Delivering secure API-centric microservices
🍭 Zero trust & Kubernetes: redefine your web app & API security model
🍭 Top API security threats every API team should know
🍭 How to do Kubernetes security when you don't know anything about Kubernetes security
Отличная подборка спикеров - Weaveworks, SNYK, Octa, HashiCorp, DataDog, StackRox и другие! Единственный «недостаток» - время проведения, с 19:00 до 01:00 (московское время), надеемся, что будут доступны ссылки на запись и продемонстрированные материалы.
P.S. Адаптивное расписание, основанное на текущей локации пользователя – просто прекрасно! И почему не все так делают ☺️
KongHQ
Destination: Zero-Trust - KongHQ
Destination: Automation is a free, digital event exploring ways organizations can embrace automation to make their applications and underlying tech stacks more efficient, secure and resilient.
Всем привет!
Компания Aqua Security опубликовала в своем блоге статью с перечнем ТОП-5 угроз безопасности, выявленных исследовательской командой компании Team Nautilus в 2020 году. В статье приводится перечень материалов, краткое описание и ссылки на более детальную информацию.
Для быстрого обзора перечень, представленный в статье, выглядит следующим образом:
🍡Attacker Building Malicious Images Directly on Your Host, 15.07.2020 (про использование некорректно сконфигурированного Docker API для сборки и запуска вредоносного образа на хосте)
🍡Deep Analysis of TeamTNT Techniques Using Container Images to Attack, 25.08.2020 (про техники атак, используемые группировкой TeamTNT; исследовательская команда выполняла анализ образов, которые лежали на Docker Hub аккаунте группировки; сама TeamTNT известна тем, что использовала криптомайнингового червя для кражи учетных данных AWS, о чем более подробно можно почитать в этой статье)
🍡Kinsing Malware Attacks Targeting Container Environments, 03.04.2020 (про атаки на среды контейнеризации, в основе которых лежит эксплуатация открытого порта Docker API, чтобы запустить Ubuntu контейнер с вредоносом kinsing, который, в свою очередь, запускает криптомайнер и пытается распространить вредонос дальше по хостам и контейнерам)
🍡Fileless Malware Executing in Containers, 02.12.2020 (про атаки, связанные с запуском вредоносов в памяти контейнера, чтобы обойти разные механизмы защиты, например, статический анализ)
Компания Aqua Security опубликовала в своем блоге статью с перечнем ТОП-5 угроз безопасности, выявленных исследовательской командой компании Team Nautilus в 2020 году. В статье приводится перечень материалов, краткое описание и ссылки на более детальную информацию.
Для быстрого обзора перечень, представленный в статье, выглядит следующим образом:
🍡Attacker Building Malicious Images Directly on Your Host, 15.07.2020 (про использование некорректно сконфигурированного Docker API для сборки и запуска вредоносного образа на хосте)
🍡Deep Analysis of TeamTNT Techniques Using Container Images to Attack, 25.08.2020 (про техники атак, используемые группировкой TeamTNT; исследовательская команда выполняла анализ образов, которые лежали на Docker Hub аккаунте группировки; сама TeamTNT известна тем, что использовала криптомайнингового червя для кражи учетных данных AWS, о чем более подробно можно почитать в этой статье)
🍡Kinsing Malware Attacks Targeting Container Environments, 03.04.2020 (про атаки на среды контейнеризации, в основе которых лежит эксплуатация открытого порта Docker API, чтобы запустить Ubuntu контейнер с вредоносом kinsing, который, в свою очередь, запускает криптомайнер и пытается распространить вредонос дальше по хостам и контейнерам)
🍡Fileless Malware Executing in Containers, 02.12.2020 (про атаки, связанные с запуском вредоносов в памяти контейнера, чтобы обойти разные механизмы защиты, например, статический анализ)
Aquasec
Aqua’s Top Five Threat Alerts for 2020
Team Nautilus highlights top 5 blogs covering container image exploitation, fileless and Kinsing malware, sophisticated evasion techniques, and much more.
Привет!
Задумывались о сдаче экзамена на Certified Kubernetes Security Specialist (CKS)? Не знаете, с чего начать? Попробуйте посмотреть материалы, доступные по ссылке!
Автор агрегирует данные, которые могут быть полезны – от описания самого экзамена до ссылок на материалы (официальная документация, статьи, видео, обучающие курсы, инструментарий), которые могут пригодиться!
Задумывались о сдаче экзамена на Certified Kubernetes Security Specialist (CKS)? Не знаете, с чего начать? Попробуйте посмотреть материалы, доступные по ссылке!
Автор агрегирует данные, которые могут быть полезны – от описания самого экзамена до ссылок на материалы (официальная документация, статьи, видео, обучающие курсы, инструментарий), которые могут пригодиться!
GitHub
GitHub - walidshaari/Certified-Kubernetes-Security-Specialist: Curated resources help you prepare for the CNCF/Linux Foundation…
Curated resources help you prepare for the CNCF/Linux Foundation CKS 2021 "Kubernetes Certified Security Specialist" Certification exam. Please provide feedback or requests by ra...
Всем привет!
Если вы хотели знать про seccomp, но боялись спросить, то эта статья для вас! Автор описывает:
🍭 Что такое seccomp профили, зачем их создавать и почему default profile не достаточен
🍭 Как можно создать собственный профиль и применить его на уровне Docker
🍭 Пример использования собственных профилей для Kubernetes
Просто, понятно и с большим количеством примеров!
Если вы хотели знать про seccomp, но боялись спросить, то эта статья для вас! Автор описывает:
🍭 Что такое seccomp профили, зачем их создавать и почему default profile не достаточен
🍭 Как можно создать собственный профиль и применить его на уровне Docker
🍭 Пример использования собственных профилей для Kubernetes
Просто, понятно и с большим количеством примеров!
Medium
Hardening Docker and Kubernetes with seccomp
Your containers might not be as secure as you’d think, but seccomp profiles can help you fix that…
Привет!
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.
Одна из очень популярных проблем ИБ – shadow что-то. Это могут быть виртуальные машины, которые «кто-то создал и забыл удалить», «обычные серверы, которые существуют, и никто не знает об их существовании или зачем они нужны». Это приводит к тому, что злоумышленник потенциально может этим воспользоваться для атаки на Компанию. Хорошей практикой считается инвентаризация и контроль используемости чего-либо: зачем оставлять то, что не используется?
Такое может случиться и с Kubernetes. По ссылке доступна небольшая, но приятная утилита, которая позволяет производить "чистку" неиспользуемых ресурсов (сущность: причина удаления):
🍭 Pod: Not running
🍭 ConfigMap: Not used by any Pods
🍭 Secret: Not used by any Pods or ServiceAccounts
🍭 PersistentVolume: Not satisfying any PersistentVolumeClaims
🍭 PersistentVolumeClaim: Not used by any Pods
🍭 Job: Completed
🍭 PodDisruptionBudget: Not targeting any Pods
🍭 HorizontalPodAutoscaler: Not targeting any resources
Утилиту можно запускать в dry run, чтобы посмотреть, какие именно ресурсы будут удалены и почему. В последнем разделе описания доступны ссылки на аналогичные ресурсы.
GitHub
GitHub - micnncim/kubectl-reap: kubectl plugin that deletes unused Kubernetes resources
kubectl plugin that deletes unused Kubernetes resources - micnncim/kubectl-reap
Привет!
В октябре 2020 года Snyk анонсировал новый продукт в своей линейке – Snyk Code. Решение, представляющее из себя SAST, расширит продуктовую линейку компании.
Snyk Code построен на базе DeepCode, который был приобретен Snyk. Если верить тому, что пишут, то ребята постарались создать developer (not security) first решение, которое устраняет «традиционные» проблемы SAST: медленная скорость работы, неудобные результаты, большое количество ложных срабатываний.
«The semantic analysis engine added via DeepCode, trained on Snyk’s Vulnerability Database, reduces false positives to near-zero» - трудно представить, но посмотреть что это уже хочется 😊
Подробности можно узнать по ссылке: https://snyk.io/blog/developer-first-sast-with-snyk-code/
Ссылка на документацию Snyk Code: https://support.snyk.io/hc/en-us/categories/360003257537-Snyk-Code
В октябре 2020 года Snyk анонсировал новый продукт в своей линейке – Snyk Code. Решение, представляющее из себя SAST, расширит продуктовую линейку компании.
Snyk Code построен на базе DeepCode, который был приобретен Snyk. Если верить тому, что пишут, то ребята постарались создать developer (not security) first решение, которое устраняет «традиционные» проблемы SAST: медленная скорость работы, неудобные результаты, большое количество ложных срабатываний.
«The semantic analysis engine added via DeepCode, trained on Snyk’s Vulnerability Database, reduces false positives to near-zero» - трудно представить, но посмотреть что это уже хочется 😊
Подробности можно узнать по ссылке: https://snyk.io/blog/developer-first-sast-with-snyk-code/
Ссылка на документацию Snyk Code: https://support.snyk.io/hc/en-us/categories/360003257537-Snyk-Code
Snyk
Announcing developer-first SAST with Snyk Code | Snyk
Snyk announced our forthcoming product, Snyk Code, our new developer-first SAST offering, expanding our cloud native application security platform.
Привет!
По ссылке доступен отчет «The State of DevSecOps Report», подготовленный компанией Contrast Security. Примеры данных из отчета:
🍭 open source компоненты есть в большинстве приложений (от 50% до 75% приложений разрабатываются с его участием)
🍭 Большинство опрошенных (33%) делают deploy to production несколько раз в неделю. 25% и 22% опрощенных – еще чаще: несколько раз в день, с каждым изменением
🍭 От 4 до 25 – среднее количество уязвимостей в production (78%)
🍭 У большинства опрошенных (31%) отсутствует явно выделенная роль Application Security специалиста, она распределена между разработчиками и информационной безопасностью
🍭 Разработчики могут игнорировать (37% - иногда, 29% - время от времени) тесты по информационной безопасности для того, чтобы не отставать от release cycles
Остальное – в самом отчете (35 страниц с графиками и цифрами)
По ссылке доступен отчет «The State of DevSecOps Report», подготовленный компанией Contrast Security. Примеры данных из отчета:
🍭 open source компоненты есть в большинстве приложений (от 50% до 75% приложений разрабатываются с его участием)
🍭 Большинство опрошенных (33%) делают deploy to production несколько раз в неделю. 25% и 22% опрощенных – еще чаще: несколько раз в день, с каждым изменением
🍭 От 4 до 25 – среднее количество уязвимостей в production (78%)
🍭 У большинства опрошенных (31%) отсутствует явно выделенная роль Application Security специалиста, она распределена между разработчиками и информационной безопасностью
🍭 Разработчики могут игнорировать (37% - иногда, 29% - время от времени) тесты по информационной безопасности для того, чтобы не отставать от release cycles
Остальное – в самом отчете (35 страниц с графиками и цифрами)
StackRox_CKS_K8s_Study_Guide.pdf
1.2 MB
Всем привет!
Stackrox подготовили неплохой материал, который можно использовать при подготовке к экзамену Certified Kubernetes Security Specialist (CKS). Материал охватывает рекомендации и ссылки на полезные материалы по таким разделам как:
🍭 Cluster Setup (Network policy, CIS Bench, Ingress etc.)
🍭 Cluster Hardening (API Access, RBAC, etc.)
🍭 System Hardening
🍭 Minimize Microservice Vulnerabilities (PSP, OPA, Security Context, etc)
🍭 Supply Chain Security
🍭 Monitoring, Logging and Runtime Security
Stackrox подготовили неплохой материал, который можно использовать при подготовке к экзамену Certified Kubernetes Security Specialist (CKS). Материал охватывает рекомендации и ссылки на полезные материалы по таким разделам как:
🍭 Cluster Setup (Network policy, CIS Bench, Ingress etc.)
🍭 Cluster Hardening (API Access, RBAC, etc.)
🍭 System Hardening
🍭 Minimize Microservice Vulnerabilities (PSP, OPA, Security Context, etc)
🍭 Supply Chain Security
🍭 Monitoring, Logging and Runtime Security
Всем привет!
На Хабре появилась аналитическая статья по текущему использованию контейнерной разработки в нашей стране.
Подоплекой статьи послужило масштабное исследование, проведенное несколько месяцев назад среди крупных представителей отечественного рынка об использовании контейнерных технологий в разработке ПО.
Подобного материала в интернете, казалось бы, достаточно, однако не каждое исследование опирается на реалии российского рынка.
В статье приводятся любопытные комментарии и интересная статистика на интригующие темы:
🍩 Насколько распространена контейнеризация в российских компаниях.
🍩 Сильно ли мы отстаём от западных стран
🍩 С какими сложностями при внедрении контейнеров сталкиваются отечественные крупные игроки рынка
🍩 Успевает ли безопасность адаптироваться под новые среды
🍩 Opensource или Enterprise
Материал может быть полезен всем, кто использует или планирует использовать контейнерную разработку в своих компаниях. А так же может быть полезным с точки зрения понимания потенциальных проблем, с которыми приходится сталкиваться бизнесу при внедрении новых для себя технологий!
Статья доступна по ссылке: https://habr.com/ru/company/jetinfosystems/blog/539404/
На Хабре появилась аналитическая статья по текущему использованию контейнерной разработки в нашей стране.
Подоплекой статьи послужило масштабное исследование, проведенное несколько месяцев назад среди крупных представителей отечественного рынка об использовании контейнерных технологий в разработке ПО.
Подобного материала в интернете, казалось бы, достаточно, однако не каждое исследование опирается на реалии российского рынка.
В статье приводятся любопытные комментарии и интересная статистика на интригующие темы:
🍩 Насколько распространена контейнеризация в российских компаниях.
🍩 Сильно ли мы отстаём от западных стран
🍩 С какими сложностями при внедрении контейнеров сталкиваются отечественные крупные игроки рынка
🍩 Успевает ли безопасность адаптироваться под новые среды
🍩 Opensource или Enterprise
Материал может быть полезен всем, кто использует или планирует использовать контейнерную разработку в своих компаниях. А так же может быть полезным с точки зрения понимания потенциальных проблем, с которыми приходится сталкиваться бизнесу при внедрении новых для себя технологий!
Статья доступна по ссылке: https://habr.com/ru/company/jetinfosystems/blog/539404/
Хабр
Контейнеры взлетели, но невысоко: результаты исследования применения контейнерных технологий в России
Контейнеризация приложений не покидает шорт-лист горячих тем. Сегодня это Tesla в мире ИТ — равнодушных нет. А как же обстоит дело с реальным применением контейн...
Всем привет!
Вышло обновление и без того прекрасной схемы о том, как Troubleshoot Kubernetes Deployments. По ссылке доступна сама схема (да, есть вариант в pdf!) и рекомендации:
🍭 Полезные команды при troubleshoot pods
🍭 Обзор startup ошибок (ImagePullBackoff, ErrImageNeverPull, RegistryUnavailable и т.д.) с рекомендациями по поиску ошибок
🍭 Обзор runtime ошибок (CrashLoopBackOff, KillPodSandboxError, RunInitContainerError и т.д.) с рекомендациями по поиску ошибок
🍭 Как подойти к вопросу troubleshoot для Service
🍭 Рекомендации по поиску ошибок в работе Ingress
P.S. Схема невероятна, хоть на стену вешай! Всех с пятницей!
Вышло обновление и без того прекрасной схемы о том, как Troubleshoot Kubernetes Deployments. По ссылке доступна сама схема (да, есть вариант в pdf!) и рекомендации:
🍭 Полезные команды при troubleshoot pods
🍭 Обзор startup ошибок (ImagePullBackoff, ErrImageNeverPull, RegistryUnavailable и т.д.) с рекомендациями по поиску ошибок
🍭 Обзор runtime ошибок (CrashLoopBackOff, KillPodSandboxError, RunInitContainerError и т.д.) с рекомендациями по поиску ошибок
🍭 Как подойти к вопросу troubleshoot для Service
🍭 Рекомендации по поиску ошибок в работе Ingress
P.S. Схема невероятна, хоть на стену вешай! Всех с пятницей!
LearnKube
A visual guide on troubleshooting Kubernetes deployments
Troubleshooting in Kubernetes can be a daunting task. In this article you will learn how to diagnose issues in Pods, Services and Ingress.
Добрейшего утра!
К началу рабочей недели, чтобы скрасить холодное утро первого дня последнего зимнего месяца, спешим поделиться очень интересным интервью с разработчиком из «Авито».
В интервью он рассказывает об опыте внедрения ServiceMesh в большой продуктивной системе.
Здесь любопытно раскрывается тема ServiceMesh: что это вообще и почему его может потребоваться внедрить. Прочитать материал еще стоит для того, чтобы узнать о подводных камнях, с которыми пришлось столкнуться разработчикам и инфраструктурщикам при использовании подобных подходов в высоконагруженных и многокластерных системах.
В статье приоткрывается завеса тайны над такими животрепещущими темами как:
🍩 Почему ServiceMesh?
🍩 Istio или не Istio?
🍩 Можно ли разработать свой собственный ServiceMesh?
🍩 Каких сложностей стоит ожидать при внедрении?
Само интервью доступно по ссылке на Хабр.
Приятного чтения! ☺️
https://habr.com/ru/company/southbridge/blog/539804/
К началу рабочей недели, чтобы скрасить холодное утро первого дня последнего зимнего месяца, спешим поделиться очень интересным интервью с разработчиком из «Авито».
В интервью он рассказывает об опыте внедрения ServiceMesh в большой продуктивной системе.
Здесь любопытно раскрывается тема ServiceMesh: что это вообще и почему его может потребоваться внедрить. Прочитать материал еще стоит для того, чтобы узнать о подводных камнях, с которыми пришлось столкнуться разработчикам и инфраструктурщикам при использовании подобных подходов в высоконагруженных и многокластерных системах.
В статье приоткрывается завеса тайны над такими животрепещущими темами как:
🍩 Почему ServiceMesh?
🍩 Istio или не Istio?
🍩 Можно ли разработать свой собственный ServiceMesh?
🍩 Каких сложностей стоит ожидать при внедрении?
Само интервью доступно по ссылке на Хабр.
Приятного чтения! ☺️
https://habr.com/ru/company/southbridge/blog/539804/
Хабр
Опыт внедрения service mesh в «Авито»
Что такое service mesh и какие задачи по управлению инфраструктурой решает? Как service mesh внедряли в «Авито» и почему отказались от популярного Istio? Зачем стали писать аналог и к чему в итоге...
Привет!
Наверное у всех бывает такое что инструмент, которым ты часто пользуешься кажется таким знакомым и привычным, и ты уже думаешь что ничего нового для себя в нем уже не открыть? А потом случайно выясняется что некоторые действия можно было делать значительно проще?
🍩 "10 лайфхаков при работе в Excel"
или
🍩 "О боже мой, как я мог не знать что в Word есть функция_name!"
Спешим поделиться небольшой статейкой по Kubernetes из серии "Что нужно знать для подготовки к сдаче CKA".
Статья на анлгийском, однако состоит из 7 хинтов для работы с Kubernetes, которые вполне понятны из примеров. Плюс небольшой бонус в конце.
🍩 Лайфхаки при работе с kubectl
🍩 Куда обращать внимание при конфигурировании сети
🍩 Куда смотреть если что то не работает
Кто знает, может быть это тот самый случай, когда можно открыть для себя что то новое и полезное? 😉
https://medium.com/faun/preparation-and-resources-for-cka-exam-ca868fc678c9
Наверное у всех бывает такое что инструмент, которым ты часто пользуешься кажется таким знакомым и привычным, и ты уже думаешь что ничего нового для себя в нем уже не открыть? А потом случайно выясняется что некоторые действия можно было делать значительно проще?
🍩 "10 лайфхаков при работе в Excel"
или
🍩 "О боже мой, как я мог не знать что в Word есть функция_name!"
Спешим поделиться небольшой статейкой по Kubernetes из серии "Что нужно знать для подготовки к сдаче CKA".
Статья на анлгийском, однако состоит из 7 хинтов для работы с Kubernetes, которые вполне понятны из примеров. Плюс небольшой бонус в конце.
🍩 Лайфхаки при работе с kubectl
🍩 Куда обращать внимание при конфигурировании сети
🍩 Куда смотреть если что то не работает
Кто знает, может быть это тот самый случай, когда можно открыть для себя что то новое и полезное? 😉
https://medium.com/faun/preparation-and-resources-for-cka-exam-ca868fc678c9
Medium
Preparation and resources for CKA exam
Recently I have successfully passed exam for Certified Kubernetes Administrator (CKA) and I would like to share learning tips and tricks…
Привет, я подсяду?
Спасибо! Почему у меня на рюкзаке значок DevOps? Ну, мне просто понравился значок в форме бесконечности. Поддерживаю ли я GitOps в Prom? Да.
Являюсь ли я частью сообщества? Да. А почему ты спрашиваешь?
В смысле, навязываю тебе что-то? Так ты же сам спросил.
Ладно. Хочу ли я рассказать тебе про ArgoCD? Боже, конечно!
ArgoCD - скромный, но одновременно мощный инструмент Continious Delievery в GitOps. Быстрый и простой вариант организации декларативной доставки приложений в Kubernetes/Openshift. Хороший поинт еще и в том что другой продукт от авторов концепта GitOps - Waeve Flux, так же использует движок ArgoCD
🍩Как это выглядит?
Берется один git, туда кладутся YAML манифесты для приложения с описанием deployment, service, route и всего что нужно для вашего приложения. Затем ArgoCD к подключается к этому репозиторию кода и вуа-ля!
ArgoCD способен постоянно мониторить изменения в манифестах в git, выполнять деплой в указанный кластер или группу кластеров, а так же следить за состоянием приложения. Если в приложении в кластере произошли изменения отличные от описанного в git, ArgoCD просигнализирует об этом и в зависимости от параметров настройки позволит вернуть исходную конфигурацию, либо сделает это автоматически.
🍩 В чем плюсы?
Декларативно описав единожды конфигурацию приложения в манифестах в Git, теперь можно быть увренным что состояние приложения всегда будет соответствовать эталонному. Нужно изменить конфигурацию с автоматическим deploy в кластер? Не проблема, изменение в коде в git приведет к триггеру деплоя новой версии приложения в кластер.
Удобный, простой и абсолютно понятный GUI.
🍩 Что с безопасностью?
ArgoCD сам может быть развернут как внутрикластерное приложение. Для развертывания приложений из git, ему потребуются права кластерного администратора, либо тонкая настройка прав в конкретном namespace для приложения, которое он будет деплоить.
То есть возможно грамотно настроить доступ, а если незачем, то можно оставить как есть.
🍩 Зачем мне это может понадобится?
Как насчет задеплоить приложение в 10 - 20 разных кластеров за один клик мышки? А не переживать за состояние приложения и его конфигурации в дальнейшем?
А управлять конфигурацией самого кластера? Machineconfig, RBAC и прочее? Звучит заманчиво? 😊
ArgoCD - безусловно, не серебряная пуля. Вряд ли будет справедливо гордо рассказывать друзьям как сделал у себя"труЪ GitOps" при одном его использовании. Однако внедрить ArgoCD, как минимум будет первым шагом в большой GitOps.
И конечно же, это весело!
https://argoproj.github.io/argo-cd/
Спасибо! Почему у меня на рюкзаке значок DevOps? Ну, мне просто понравился значок в форме бесконечности. Поддерживаю ли я GitOps в Prom? Да.
Являюсь ли я частью сообщества? Да. А почему ты спрашиваешь?
В смысле, навязываю тебе что-то? Так ты же сам спросил.
Ладно. Хочу ли я рассказать тебе про ArgoCD? Боже, конечно!
ArgoCD - скромный, но одновременно мощный инструмент Continious Delievery в GitOps. Быстрый и простой вариант организации декларативной доставки приложений в Kubernetes/Openshift. Хороший поинт еще и в том что другой продукт от авторов концепта GitOps - Waeve Flux, так же использует движок ArgoCD
🍩Как это выглядит?
Берется один git, туда кладутся YAML манифесты для приложения с описанием deployment, service, route и всего что нужно для вашего приложения. Затем ArgoCD к подключается к этому репозиторию кода и вуа-ля!
ArgoCD способен постоянно мониторить изменения в манифестах в git, выполнять деплой в указанный кластер или группу кластеров, а так же следить за состоянием приложения. Если в приложении в кластере произошли изменения отличные от описанного в git, ArgoCD просигнализирует об этом и в зависимости от параметров настройки позволит вернуть исходную конфигурацию, либо сделает это автоматически.
🍩 В чем плюсы?
Декларативно описав единожды конфигурацию приложения в манифестах в Git, теперь можно быть увренным что состояние приложения всегда будет соответствовать эталонному. Нужно изменить конфигурацию с автоматическим deploy в кластер? Не проблема, изменение в коде в git приведет к триггеру деплоя новой версии приложения в кластер.
Удобный, простой и абсолютно понятный GUI.
🍩 Что с безопасностью?
ArgoCD сам может быть развернут как внутрикластерное приложение. Для развертывания приложений из git, ему потребуются права кластерного администратора, либо тонкая настройка прав в конкретном namespace для приложения, которое он будет деплоить.
То есть возможно грамотно настроить доступ, а если незачем, то можно оставить как есть.
🍩 Зачем мне это может понадобится?
Как насчет задеплоить приложение в 10 - 20 разных кластеров за один клик мышки? А не переживать за состояние приложения и его конфигурации в дальнейшем?
А управлять конфигурацией самого кластера? Machineconfig, RBAC и прочее? Звучит заманчиво? 😊
ArgoCD - безусловно, не серебряная пуля. Вряд ли будет справедливо гордо рассказывать друзьям как сделал у себя"труЪ GitOps" при одном его использовании. Однако внедрить ArgoCD, как минимум будет первым шагом в большой GitOps.
И конечно же, это весело!
https://argoproj.github.io/argo-cd/
Привет!
В блоге компании NeuVector есть любопытная статья про уязвимость Apache Struts и ее эксплуатацию в кластере Kubernetes.
Apache struts уязвимость уже не новая, что однако, не делает ее менее неприятной.
Эксплуатируя эту уязвимость, нарушитель может выполнить такие вещи гадкие вещи как например:
🍩 Container breakout
🍩 Выполнение RCE
🍩 Binary injection в соседний контейнер с приложением
🍩 Примонтировать ФС хоста
🍩 ???
В статье присутствует техническое «мясцо» о том, как конкретно проэксплуатировать уязвимость с наглядными примерами, а для тех кому лень читать - можно посмотреть короткий вебинар! ☺️
Читаем, смотрим, и делаем выводы!
P.S. Мы не для того чтобы показать как МОЖНО атаковать, а чтобы подумать как НУЖНО защищаться
👇 Ссылка, как всегда, внизу 👇
https://blog.neuvector.com/article/hack-kubernetes-container
В блоге компании NeuVector есть любопытная статья про уязвимость Apache Struts и ее эксплуатацию в кластере Kubernetes.
Apache struts уязвимость уже не новая, что однако, не делает ее менее неприятной.
Эксплуатируя эту уязвимость, нарушитель может выполнить такие вещи гадкие вещи как например:
🍩 Container breakout
🍩 Выполнение RCE
🍩 Binary injection в соседний контейнер с приложением
🍩 Примонтировать ФС хоста
🍩 ???
Плохой нарушитель! Плохой!В статье присутствует техническое «мясцо» о том, как конкретно проэксплуатировать уязвимость с наглядными примерами, а для тех кому лень читать - можно посмотреть короткий вебинар! ☺️
Читаем, смотрим, и делаем выводы!
P.S. Мы не для того чтобы показать как МОЖНО атаковать, а чтобы подумать как НУЖНО защищаться
👇 Ссылка, как всегда, внизу 👇
https://blog.neuvector.com/article/hack-kubernetes-container
Neuvector
How to Hack a Kubernetes Container, Then Detect and Prevent It
Всем привет!
Сегодня это снова произошло! Никогда такого не было, и вот опять! Пятница!
А если пятница - значит время расслабить мозг, настроиться на уикенд, и почитать лёгкий пятничный пост.
Сегодня делимся утилитой, без которой терминальное управление кластером Kubernetes порой может показаться невозможным!
Строго говоря, непосредственно сама утилита ничем не управляет, а является скорее чем то вроде форка для kubectl, но однозначно можно сказать что жизнь С ней гораздо красочнее чем БЕЗ неё!
Итак, речь про Kubecolor.
Главное и единственное назначение утилиты - окрашивать вывод команд kubectl.
«И все?» - спросите вы
«И все» - ответим мы. - Но зато красиво как!»
Перечень команд с доступным «разноцветным» выводом не очень велик, но вполне достаточен, чтобы терминал не был скучным.
🍩 kubectl get
🍩 kubectl top
🍩 kubectl describe
🍩 kubectl explain
🍩 kubectl api-versions
И другие...
Технические характеристики:
🍩 Написана на Go
🍩 текущий релиз - 9-й (ДЕВЯТЫЙ!) 🤣
🍩 распространяется свободно под лицензией MIT
🍩 Разрабатывается командой из 6 человек (и вероятно, 1 канарейки)
Установочка простая, ссылочка ниже. Всех с пятницей!👇
https://github.com/dty1er/kubecolor?utm_sq=gn0thzo1t
Сегодня это снова произошло! Никогда такого не было, и вот опять! Пятница!
А если пятница - значит время расслабить мозг, настроиться на уикенд, и почитать лёгкий пятничный пост.
Сегодня делимся утилитой, без которой терминальное управление кластером Kubernetes порой может показаться невозможным!
Строго говоря, непосредственно сама утилита ничем не управляет, а является скорее чем то вроде форка для kubectl, но однозначно можно сказать что жизнь С ней гораздо красочнее чем БЕЗ неё!
Итак, речь про Kubecolor.
Главное и единственное назначение утилиты - окрашивать вывод команд kubectl.
«И все?» - спросите вы
«И все» - ответим мы. - Но зато красиво как!»
Перечень команд с доступным «разноцветным» выводом не очень велик, но вполне достаточен, чтобы терминал не был скучным.
🍩 kubectl get
🍩 kubectl top
🍩 kubectl describe
🍩 kubectl explain
🍩 kubectl api-versions
И другие...
Технические характеристики:
🍩 Написана на Go
🍩 текущий релиз - 9-й (ДЕВЯТЫЙ!) 🤣
🍩 распространяется свободно под лицензией MIT
🍩 Разрабатывается командой из 6 человек (и вероятно, 1 канарейки)
Установочка простая, ссылочка ниже. Всех с пятницей!👇
https://github.com/dty1er/kubecolor?utm_sq=gn0thzo1t
GitHub
GitHub - hidetatz/kubecolor: colorizes kubectl output
colorizes kubectl output. Contribute to hidetatz/kubecolor development by creating an account on GitHub.
Привет!
Есть отличный способ сэкономить 65$ и посетить (хоть и виртуально) одно из самых интересных мероприятий, посвященных контейнерам!
Конечно же, речь идет про KubeCon 2021, который пройдет 4-7 мая в online-формате. Регистрация ДО 15 февраля будет стоить всего 10$ (вместо стандартных 75$).
Согласно данным организаторов, за эту сумму вы получите «full-access to the keynotes, breakout sessions, solutions showcase, networking, games and more!»
Зарегистрироваться можно по ссылке.
P.S. Также есть free-версия, ограниченная «access to the daily keynotes, solutions showcase and sponsor demo theater only». Если захотите посетить Security Day (устраивается отдельно), то это будет стоить дополнительных 20$
Есть отличный способ сэкономить 65$ и посетить (хоть и виртуально) одно из самых интересных мероприятий, посвященных контейнерам!
Конечно же, речь идет про KubeCon 2021, который пройдет 4-7 мая в online-формате. Регистрация ДО 15 февраля будет стоить всего 10$ (вместо стандартных 75$).
Согласно данным организаторов, за эту сумму вы получите «full-access to the keynotes, breakout sessions, solutions showcase, networking, games and more!»
Зарегистрироваться можно по ссылке.
P.S. Также есть free-версия, ограниченная «access to the daily keynotes, solutions showcase and sponsor demo theater only». Если захотите посетить Security Day (устраивается отдельно), то это будет стоить дополнительных 20$
Привет!
Отличные новости для вторника! Стали доступны материалы с конференции Zero-trust, организованной Kong (spoiler: их реально много). Все доступно без регистрации и sms!
Примеры того, что можно найти по ссылке:
🍭 How To Do Kubernetes Security When You Don’t Know Anything About Kubernetes Security
🍭 Zero-Trust for Containers and Kubernetes
🍭 API Threat Protection: Learning From Real Life Examples
🍭 Learnings from CNCF’s Envoy and OPA Creators Matt Klein and Tim Hinrichs
И много другое ) Материалов много, есть не только video, но и статьи, e-books и отчеты. Надеемся, что вам пригодится!
Отличные новости для вторника! Стали доступны материалы с конференции Zero-trust, организованной Kong (spoiler: их реально много). Все доступно без регистрации и sms!
Примеры того, что можно найти по ссылке:
🍭 How To Do Kubernetes Security When You Don’t Know Anything About Kubernetes Security
🍭 Zero-Trust for Containers and Kubernetes
🍭 API Threat Protection: Learning From Real Life Examples
🍭 Learnings from CNCF’s Envoy and OPA Creators Matt Klein and Tim Hinrichs
И много другое ) Материалов много, есть не только video, но и статьи, e-books и отчеты. Надеемся, что вам пригодится!
Kong Inc.
Resources Library
Want to learn more about API and service connectivity? Kong provides hundreds of resources for enterprise leaders and developers alike. Plug in today!
Привет!
О важности анализа компонент ПО много и часто говорят. И не зря! По ссылке приведена очень интересная история, о том что может пойти не так, если не контролировать что находится в ПО и как оно туда попадает.
Что сделал автор?
🍭 Получил package.json, который содержал перечень npm-пакетов, используемых PayPal
🍭 Обратил внимание, что часть пакетов является private (отсутствовали в public репозиториях)
🍭 Создал собственные версии указанных пакетов в public репозиториях с указанием идентичных имен
🍭 Исследователь отметил, что при наличии идентичного пакета в public/private репозитории «выиграет» public. Иногда «выигрывает» бОльшая версия пакета
🍭 Собрал немного данных у Компании с помощью data exfiltration через DNS. Как? Ответ находится в статье ☺️
Аналогичный "трюк" он провернул с Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber 😊
О важности анализа компонент ПО много и часто говорят. И не зря! По ссылке приведена очень интересная история, о том что может пойти не так, если не контролировать что находится в ПО и как оно туда попадает.
Что сделал автор?
🍭 Получил package.json, который содержал перечень npm-пакетов, используемых PayPal
🍭 Обратил внимание, что часть пакетов является private (отсутствовали в public репозиториях)
🍭 Создал собственные версии указанных пакетов в public репозиториях с указанием идентичных имен
🍭 Исследователь отметил, что при наличии идентичного пакета в public/private репозитории «выиграет» public. Иногда «выигрывает» бОльшая версия пакета
🍭 Собрал немного данных у Компании с помощью data exfiltration через DNS. Как? Ответ находится в статье ☺️
Аналогичный "трюк" он провернул с Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber 😊
BleepingComputer
Researcher hacks over 35 tech firms in novel supply chain attack
A researcher managed to hack systems of over 35 major tech companies including Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla, and Uber in a novel software supply chain attack. For his ethical hacking research efforts, the researcher has been…
Всем привет!
Наткнулись на интересный проект, которые агрегирует решения по ИБ, актуальные в том числе и для DevSecOps.
Карточка решения включает в себя:
🍭 Краткое описание решения
🍭 Ссылка на официальный сайт
🍭 Тип – enterprise или open source
🍭 Поддерживаемые ОС – Windows/Linux
Проект продолжает развиваться, можно предложить собственные решения для того, чтобы их добавили. О том, как это сделать, написано по ссылке на GitHub 😊
Наткнулись на интересный проект, которые агрегирует решения по ИБ, актуальные в том числе и для DevSecOps.
Карточка решения включает в себя:
🍭 Краткое описание решения
🍭 Ссылка на официальный сайт
🍭 Тип – enterprise или open source
🍭 Поддерживаемые ОС – Windows/Linux
Проект продолжает развиваться, можно предложить собственные решения для того, чтобы их добавили. О том, как это сделать, написано по ссылке на GitHub 😊
tldr.run
TLDR.run - Best Security tools collection on the web
Curated list of security tools for Hackers and Builders
- О нет!
- О нет!
- О да-а-а! Сегодня пятница!
А это значит что ты знаешь что это значит! 🖖🏻
Это значит - время сбавить обороты, начать готовиться к выходным, а ещё самое время провести Chaos Engineering кластера в PROD!
Сломать PROD?!
Не просто сломать PROD, а сломать и посмотреть как именно сломается. Это и есть самое веселое в Chaos Engineering.
Стресс-тест кластера Kubernetes/Openshift может выявить некорректную конфигурацию или наоборот помочь убедиться в достаточной отказоустойчивости.
А ещё, это можно сделать весело!
И в этом поможет Kubeinvaders! Все сразу становится ясно, если сказать что это классический Invaders, только вместо элиенов (та-дам!) поды в кластере!! 😱
🍩 Управляй своим battleship’ом прямо в терминале
🍩 Истребляй полчища Alien-pod’ов
🍩 Анализируй метрики
И самое главное!
🍩 Тимлид не докопается, потому что ты занят Chaos Engineering!
Ссылка на GitHub ниже, установка простая, для всего остального есть кластер PROD👇
https://github.com/lucky-sideburn/KubeInvaders
- О нет!
- О да-а-а! Сегодня пятница!
А это значит что ты знаешь что это значит! 🖖🏻
Это значит - время сбавить обороты, начать готовиться к выходным, а ещё самое время провести Chaos Engineering кластера в PROD!
Сломать PROD?!
Не просто сломать PROD, а сломать и посмотреть как именно сломается. Это и есть самое веселое в Chaos Engineering.
Стресс-тест кластера Kubernetes/Openshift может выявить некорректную конфигурацию или наоборот помочь убедиться в достаточной отказоустойчивости.
А ещё, это можно сделать весело!
И в этом поможет Kubeinvaders! Все сразу становится ясно, если сказать что это классический Invaders, только вместо элиенов (та-дам!) поды в кластере!! 😱
🍩 Управляй своим battleship’ом прямо в терминале
🍩 Истребляй полчища Alien-pod’ов
🍩 Анализируй метрики
И самое главное!
🍩 Тимлид не докопается, потому что ты занят Chaos Engineering!
Ссылка на GitHub ниже, установка простая, для всего остального есть кластер PROD👇
https://github.com/lucky-sideburn/KubeInvaders
GitHub
GitHub - lucky-sideburn/kubeinvaders: Gamified Chaos Engineering Tool for Kubernetes
Gamified Chaos Engineering Tool for Kubernetes. Contribute to lucky-sideburn/kubeinvaders development by creating an account on GitHub.
Привет!
Небольшая, но интересная новость, которую вы может быть пропустили. Не знаете, какой сканер выбрать для анализа образов контейнеров? Используете Docker?
Попробуйте запустить команду…
Дополнительные возможности команды представлены на картинке ☺️
Примечание: сканирование local images находится в стадии beta. Подробности на официальной странице Docker
Небольшая, но интересная новость, которую вы может быть пропустили. Не знаете, какой сканер выбрать для анализа образов контейнеров? Используете Docker?
Попробуйте запустить команду…
docker scan! Docker и SNYK объявили о партнерстве и добавили эту функцию by default в версии Docker >= 2.3.6.0. При запуске вас спросят согласны ли вы с использованием стороннего сервиса (в данном случае – SNYK), после чего образ отсканируется и будет предоставлен результат.Дополнительные возможности команды представлены на картинке ☺️
Примечание: сканирование local images находится в стадии beta. Подробности на официальной странице Docker