Всем привет!
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта(маркетинг?), созданная Open AI.
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
На днях Mircosoft представил свой новый сервис – GitHub Copilot! Основная задача сервиса – помочь разработчикам в написании кода, сократив время на поиск «примеров в документации/интернете». В основе лежит OpenAI Codex – система искусственного интеллекта
Сперва может показаться, что Copilot – просто «автозаполнение», которое и сейчас присутствует в той или иной мере. Однако, есть и отличия, например:
🍭 Подсказывает какие тесты написать, исходя из результатов анализа кода
🍭 Предоставляет выбор того, как лучше написать ту или иную функцию
🍭 «Подстраивается» под стиль разработки – чем больше программист взаимодействует с Copilot, тем лучше его предположения
Пока что Copilot лучше всего работает с языками Python, JavaScript, TypeScript, Ruby, и Go, но не ограничивается ими. Насколько это все будет работать пока непонятно, но в любом случае проект крайне интересный. Записаться на «test drive» можно по приведенной ссылке, также можно установить Extension для Visual Studio Code.
GitHub
GitHub Copilot
AI that builds with you
Привет!
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
Google продолжает радовать наработками по обеспечению ИБ в open source проектах: Недавно Google совместно с OSSF (Open Source Security Foundation) выпустила новый релиз Security Scorecards: v2.0. Ранее Компания представила еще несколько инструментов для анализа open source и защите supply chain: deps.dev и SLSA.
Scorecards представляют из себя набор проверок, которые включают, но не ограничиваются:
🍭 Были ли commits за предыдущие 90 дней?
🍭 Реализована ли Branch Protection?
🍭 Осуществляется ли статический анализ исходного кода?
🍭 Содержит ли проект уязвимости (реализуется с использованием OSV) и много другое
Общее описание проверок можно найти по ссылке. Информация о том, что добавилось в версии 2.0 по сравнению с предыдущем релизе представлена в статье. Помимо этого, в указанной статье можно найти информацию о том, как команда планирует развивать проект
GitHub
GitHub - ossf/scorecard: OpenSSF Scorecard - Security health metrics for Open Source
OpenSSF Scorecard - Security health metrics for Open Source - ossf/scorecard
Aqua_Security_Cloud_Native_Security_Threat_Report_2020.pdf
9.8 MB
Всем привет!
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
Aqua Security подготовили отчет, посвященный угрозам и атакам Cloud Native приложений – «Evolution of Attacks in the Wild on Container Infrastructure».
Исследователи Nautilus Team (research команда Aqua) проанализировали 16,371 атак между июнем 2019 и июлем 2020 года.
На основании анализа они предложили выделить несколько наиболее часто встречающихся типов образов, используемых для атак:
🍭 Dedicated Malicious Image with an Explicit Image Name
🍭 Legitimate Image Name
🍭 “Vanilla” Image - Malicious Command
Общие выводы – большинство атак осуществляется для целей mining криптовалюты; количество атак растет – с ~ 11 атак/день в 2019 до ~ 160 атак в 2020 году.
Внутри отчета можно найти еще много всего интересного – анализ MITRE, примеры вредоносных контейнеров, информация о C’n’C-серверах, большое количество аналитики и т.д.
AquaSecurity_Cloud_Native_Threat_Report_2021.pdf
7.5 MB
UPD. Актуальная версия отчета за 2021 год, в предыдущем посте была версия 2020. Спасибо, Денису)
Привет!
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
По ссылкам ниже доступен небольшой цикл постов про использование STRIDE применительно к Kubernetes. Автор разбирает каждую из «букв» в отдельности и дает некоторые рекомендации относительно того, как можно сделать лучше:
🍭 Spoofing. Аутентификация, использование Service Accounts
🍭 Tampering. Ограничение доступа к Nodes, шифрование ETCD
🍭 Repudiation. Использование Audit Policy, логирование Kubelet, Falco
🍭 Information Disclosure. Безопасность взаимодействия ETCD peers, использование Vault-подобных решений, шифрование
🍭 Denial of Service. Resource Quotas и Limits, Pod Autoscaler, HA конфигурация
🍭 Elevation of Privileges. Управление Linux Capabilities, использование Security Context, использование Gatekeeper/Kyverno, Network Policies
Посты достаточно емкие, есть примеры и ссылки на полезные материалы, про которые рассказывается в самих постах
Anchore_2021_Software_Supply_Chain_Security_Survey_Report_FINAL.pdf
3.9 MB
Привет!
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Отчетов много не бывает ☺️ В прилагаемом файле еще один: «Software Supply Chain Security Report» от компании Anchore.
Помимо общих данных (увеличение роста контейнеров, значимость использования cloud, наиболее популярные типы приложений в контейнерах и т.д.) в отчете есть интересные данные:
🍭 «Ощущение/восприятие риска» контейнеров в сравнении с "традиционными приложениями": насколько он больше, меньше или аналогичный
🍭 Подверженность Компаний supply chain атакам за последний год
🍭 Значимость безопасности Supply Chain для Компаний
🍭 Распределение ответственности между участниками (Sec, Dev, DevOps, Product Owner и т.д.) по вопросам Container Security
И еще много разной аналитики, с которой можно ознакомиться в отчете ☺️
Всем привет!
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
По ссылке доступна статья, в которой приводится 5 Admission Control Policy, которые могут оказаться полезными для повышения уровня ИБ кластера среды контейнеризации.
🍭 Trusted Repo. Контроль реестров, из которых извлекается образ. Например, необходимо использовать только внутренний реестр
🍭 Label Safety. Контроль наличия необходимых Label. Например, Label используются для группировки ресурсов, они должны быть определенного формата
🍭 Prohibit (or Specify) Privileged Mode. Контроль Privileged
🍭 Define and Control Ingress. Контроль использования Ingress
🍭 Define and Control Egress. Контроль intra и extra взаимодействий применительно к Egress трафику
Помимо краткого описания политик в статье приводятся небольшие примеры, которые помогут разобраться
The New Stack
Open Policy Agent: The Top 5 Kubernetes Admission Control Policies
Without the right policies in place, the extensive power of Kuberentes can result in consequences that are as grand as the designs.
Всем привет!
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок(да, чтобы понять рекурсию надо понять рекурсию). «Проблема» таких awesome, как правило, заключается в том, что они перечисляют инструменты не всегда предоставляя их обзор, пусть и минималистичный.
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Иногда спрашивают – «С чего начать, если хочется погрузиться в мир контейнеризации? Какие бывают технологии?». Ответом на этот вопрос могут стать awesome-подборки, посвященные отдельным классам решений и подходам. Существуют даже awesome подборки awesome подборок
Недавно наткнулись на «альтернативный вариант». В статье автор собрал наиболее интересные, на его взгляд, инструменты и технологии по Dev(Sec)Ops, на которые стоит обратить внимание. Подборка получилась достаточно интересной:
🍭 Helm
🍭 ArgoCD
🍭 Istio
🍭 Kyverno
🍭 Velero и не только
Кроме перечисления инструментария, автор дает небольшие комментарии о том, что это такое и зачем оно нужно. А если есть аналогичные решения – автор предоставляет ссылку на них ☺️
Medium
Kubernetes Essential Tools: 2021
Review of the best tools for Kubernetes
Привет!
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
Еще один инструмент, который можно использовать для анализа RBAC – Krane! Утилита позволяет анализировать текущую RBAC-модель, идентифицировать потенциальные риски и предлагать меры по их устранению.
Основные функции:
🍭 RBAC Risk Rules – риски идентифицируются на основе существующих правил, которые можно добавлять
🍭 Portability – работает локально (в качестве CLI или docker-container), в CI/CD pipeline (для анализа потенциального RBAC-изменения до его применения на prod) или в качестве непрерывного мониторинга кластера на наличие «RBAC-рисков»
🍭 Reporting – предоставляет отчетность в машиночитаемом формате
🍭 Dashboard – наглядное изображение RBAC, возможность проведения дополнительного анализа
🍭 Alerting – реализован через интеграцию с Slack
🍭 RBAC in the Graph – Krane формирует граф из RBAC, который впоследствии можно анализировать CypherQL запросами
Подробную информацию, как обычно, можно прочесть в описании repo ☺️ Ранее мы уже писали о инструментах, выполняющих задачи по схожей тематике: KubiScan и kubectl-who-can
GitHub
GitHub - appvia/krane: Kubernetes RBAC static analysis & visualisation tool
Kubernetes RBAC static analysis & visualisation tool - appvia/krane
Всем привет!
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
В 18-19 августа 2021 года пройдет eBPF Summit! Зарегистрироваться можно по ссылке. Программа пока что не утверждена окончательно, но можно ознакомиться с темами, на которые будут разговоры:
🍭 Introduction & Getting Started with eBPF
🍭 eBPF-based Networking, Load-Balancing, & Network Security
🍭 Securing Systems, CI/CD pipelines, Networks, ... with eBPF
🍭 eBPF Projects (bpftrace, Cilium, Falco, ...) и многое другое
Множество интересных спикеров, среди которых будет и Liz Rice (эксперт по контейнеризации и автор множества интересных книг и статей по обеспечению их безопасности), которая является частью команды Isovalent (Cilium)
P.S. Регистрация бесплатная ☺️
ebpf.io
eBPF Summit 2021
Register now for the eBPF Summit 2021, Aug 18-19, 2021, a free virtual event for DevOps, SRE, SecOps, and developers.
Всем привет!
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
ThreatMapper – проект, который позволяет анализировать состояние ИБ кластера:
🍭 Визуализирует workloads кластера для упрощения восприятия
🍭 Идентифицирует уязвимости в образах контейнеров
🍭 Интегрируется с registry, CI/CD для сканирования образов
🍭 Анализирует запущенные контейнеры
Отличие ThreatMapper, например, от Trivy в том, что у первого есть приятный интерфейс, который может быть использован для последующей аналитики и запуска сканирований. Помимо этого, присутствует интеграция с SIEM
P.S. Для просмотра demo можно воспользоваться ссылкой: https://deepfence.io/community-demo-form/ (требуется электронная почта)
GitHub
GitHub - deepfence/ThreatMapper: Open Source Cloud Native Application Protection Platform (CNAPP)
Open Source Cloud Native Application Protection Platform (CNAPP) - deepfence/ThreatMapper
Всех с пятницей!!!
Kubernetes-external-secrets – проект, основная задача которого состоит в извлечении секрета из стороннего хранилища и передачи его сущностям кластера в качестве Secret.
Состоит из двух частей:
🍭 ExternalSecret – CRD – описывает какие данные необходимо извлечь
🍭 Controller – «конвертирует» ExternalSecret в Secret K8S
На текущий момент поддерживаются следующие внешние хранилища: AWS Secrets Manager, AWS System Manager, Akeyless, Hashicorp Vault, Azure Key Vault, Google Secret Manager and Alibaba Cloud KMS Secret Manager.
P.S. Больше информации - архитектура, настройка, примеры использования и т.д. находится в самом repo
Kubernetes-external-secrets – проект, основная задача которого состоит в извлечении секрета из стороннего хранилища и передачи его сущностям кластера в качестве Secret.
Состоит из двух частей:
🍭 ExternalSecret – CRD – описывает какие данные необходимо извлечь
🍭 Controller – «конвертирует» ExternalSecret в Secret K8S
На текущий момент поддерживаются следующие внешние хранилища: AWS Secrets Manager, AWS System Manager, Akeyless, Hashicorp Vault, Azure Key Vault, Google Secret Manager and Alibaba Cloud KMS Secret Manager.
P.S. Больше информации - архитектура, настройка, примеры использования и т.д. находится в самом repo
GitHub
GitHub - external-secrets/kubernetes-external-secrets: Integrate external secret management systems with Kubernetes
Integrate external secret management systems with Kubernetes - external-secrets/kubernetes-external-secrets
Привет!
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
Что общего у статического анализа исходного кода и Elasticsearch? Например, проект BugHound! Простой SAST, анализирующий PHP и Java (в будущем планируется расширение перечня поддерживаемых языков).
Принцип работы BugHound достаточно прост:
🍭 Построение дерева файлов, находящихся в проекте
🍭 Анализ файлов для идентификации небезопасных функций/методов (в большей степени реализовано через regex)
🍭 Сбор результатов с последующей передачей в Kibana для отображения на преднастроенных dashboard
Полноценным SAST назвать такое решение нельзя, но проект интересен тем, как автор связал несколько технологий. Возможно, такой подход будет кому-то интересен для реализации у себя. Больше про BugHound можно почитать по ссылке.
GitHub
GitHub - mhaskar/Bughound: Static code analysis tool based on Elasticsearch
Static code analysis tool based on Elasticsearch. Contribute to mhaskar/Bughound development by creating an account on GitHub.
Привет!
Управление RBAC не самая простая задача, а зачастую около-избыточная (например, когда требуется создавать несколько RoleBinding, которые практически ничем не отличаются).
Для того, чтобы упростить жизнь был разработан RBAC-manager.
Он переопределяет подход к созданию RBAC через дополнительную сущность – RBACDefinition, которая описывает целевое (желаемое) состояние: «Instead of managing role bindings or service accounts directly, you can specify a desired state and RBAC Manager will make the necessary changes to achieve that state».
RBAC-manager может быть полезен в таких случаях как:
🍭 Обновление прав: не надо удалять/создавать новый RoleBinding, необходимо только обновить RBACDefinition и утилита сделает все остальное
🍭 Удаление RoleBinding: аналогично, необходимо лишь удалить интересующую сущность из RBACDefinition
🍭 И что очень приятно - можно задавать права доступа к нескольким namespace в едином конфигурационном файле
С документацией можно ознакомиться по ссылке. Также можно быстро "познакомиться" с решением и пользой от него в небольшом примере.
Управление RBAC не самая простая задача, а зачастую около-избыточная (например, когда требуется создавать несколько RoleBinding, которые практически ничем не отличаются).
Для того, чтобы упростить жизнь был разработан RBAC-manager.
Он переопределяет подход к созданию RBAC через дополнительную сущность – RBACDefinition, которая описывает целевое (желаемое) состояние: «Instead of managing role bindings or service accounts directly, you can specify a desired state and RBAC Manager will make the necessary changes to achieve that state».
RBAC-manager может быть полезен в таких случаях как:
🍭 Обновление прав: не надо удалять/создавать новый RoleBinding, необходимо только обновить RBACDefinition и утилита сделает все остальное
🍭 Удаление RoleBinding: аналогично, необходимо лишь удалить интересующую сущность из RBACDefinition
🍭 И что очень приятно - можно задавать права доступа к нескольким namespace в едином конфигурационном файле
С документацией можно ознакомиться по ссылке. Также можно быстро "познакомиться" с решением и пользой от него в небольшом примере.
GitHub
GitHub - FairwindsOps/rbac-manager: A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts.
A Kubernetes operator that simplifies the management of Role Bindings and Service Accounts. - FairwindsOps/rbac-manager
Приглашаем на цикл вебинаров DevSecOps, 2-й сезон!
Уже в этот четверг стартует 2-й сезон вебинаров DevSecOps для всех интересующихся. Наша команда Jet DevSecOps Team, включающая спецов по разработке, эксплуатации и безопасности поделится «боевыми» примерами и лайфхаками, полученными в реальных проектах: от мониторинга k8s и организации конвейера GitOps до резервного копирования в Kubernetes и управления «секретами».
На всех вебинарах будет live demo решений! Как всегда вас ждут минимум слайдов, максимум хардкора и полное погружение.
Участие будет интересно DevOps инженерам, разработчикам, ИТ и ИБ специалистам, ИТ-менеджменту.
Расписание вебинаров:
🔹 22 июля, 16:00–17:30 Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
🔹 29 июля, 16:00–17:30 Зачем GitOps в Enterprise
🔹 5 августа, 16:00–17:30 Управление «секретами»: основы
🔹 12 августа, 16:00–17:30 Persistent данные и резервное копирование в кластере
Регистрируйтесь и зовите друзей)
Уже в этот четверг стартует 2-й сезон вебинаров DevSecOps для всех интересующихся. Наша команда Jet DevSecOps Team, включающая спецов по разработке, эксплуатации и безопасности поделится «боевыми» примерами и лайфхаками, полученными в реальных проектах: от мониторинга k8s и организации конвейера GitOps до резервного копирования в Kubernetes и управления «секретами».
На всех вебинарах будет live demo решений! Как всегда вас ждут минимум слайдов, максимум хардкора и полное погружение.
Участие будет интересно DevOps инженерам, разработчикам, ИТ и ИБ специалистам, ИТ-менеджменту.
Расписание вебинаров:
🔹 22 июля, 16:00–17:30 Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
🔹 29 июля, 16:00–17:30 Зачем GitOps в Enterprise
🔹 5 августа, 16:00–17:30 Управление «секретами»: основы
🔹 12 августа, 16:00–17:30 Persistent данные и резервное копирование в кластере
Регистрируйтесь и зовите друзей)
Всем привет!
Если сказать: «Подпись образов», то большинство подумает про проект «Notary». Однако, Notary не единственный способ реализации, есть альтернатива – «Cosign»!
Подход очень похож – использование Cosign для подписи и OPA для последующей ее валидации перед deploy в кластер. С небольшим примером можно ознакомиться по ссылке.
Принцип работы Cosign достаточно прост:
🍭 Генерация ключевой пары
🍭 Подпись образа контейнера при помощи закрытого ключа, помещение подписи в registry
🍭 Проверка наличия подписи у образа при помощи открытого ключа
На текущий момент Cosign поддерживает реестры: AWS Elastic Container Registry, GCP's Artifact, Registry and Container Registry, Docker Hub, Azure Container Registry, JFrog Artifactory Container Registry, The CNCF distribution/distribution Registry, GitLab Container Registry, GitHub Container Registry, The CNCF Harbor Registry, Digital Ocean Container Registry, Sonatype Nexus Container Registry
P.S. Последний release Notary был в 2018 году, возможно в скором времени будет обновление v2, с большим количеством нововведений. Очень советуем посмотреть видео по ссылке целиком
Если сказать: «Подпись образов», то большинство подумает про проект «Notary». Однако, Notary не единственный способ реализации, есть альтернатива – «Cosign»!
Подход очень похож – использование Cosign для подписи и OPA для последующей ее валидации перед deploy в кластер. С небольшим примером можно ознакомиться по ссылке.
Принцип работы Cosign достаточно прост:
🍭 Генерация ключевой пары
🍭 Подпись образа контейнера при помощи закрытого ключа, помещение подписи в registry
🍭 Проверка наличия подписи у образа при помощи открытого ключа
На текущий момент Cosign поддерживает реестры: AWS Elastic Container Registry, GCP's Artifact, Registry and Container Registry, Docker Hub, Azure Container Registry, JFrog Artifactory Container Registry, The CNCF distribution/distribution Registry, GitLab Container Registry, GitHub Container Registry, The CNCF Harbor Registry, Digital Ocean Container Registry, Sonatype Nexus Container Registry
P.S. Последний release Notary был в 2018 году, возможно в скором времени будет обновление v2, с большим количеством нововведений. Очень советуем посмотреть видео по ссылке целиком
GitHub
GitHub - developer-guy/container-image-sign-and-verify-with-cosign-and-opa: This is just a proof-of-concept project that aims to…
This is just a proof-of-concept project that aims to sign and verify container images using cosign and OPA (Open Policy Agent) - developer-guy/container-image-sign-and-verify-with-cosign-and-opa
Puppet-State-of-DevOps-Report-2021.pdf
6 MB
Всем привет!
Вышел ежегодный State of DevOps Report. Отчет содержит в себе общую информацию по таким темам, как:
🍭 Что же такое DevOps? Размышления на тему 😊
🍭 Какие структуры команд наиболее часто встречаются?
🍭 Что мешает развитию DevOps внутри Компаний?
🍭 Используются ли облачные вычисления и насколько часто?
🍭 Попытки предугадать что будет дальше – «The (future) state of DevOps»
Отчет для чтения, статистика присутствует, но ее не то, чтобы много
Вышел ежегодный State of DevOps Report. Отчет содержит в себе общую информацию по таким темам, как:
🍭 Что же такое DevOps? Размышления на тему 😊
🍭 Какие структуры команд наиболее часто встречаются?
🍭 Что мешает развитию DevOps внутри Компаний?
🍭 Используются ли облачные вычисления и насколько часто?
🍭 Попытки предугадать что будет дальше – «The (future) state of DevOps»
Отчет для чтения, статистика присутствует, но ее не то, чтобы много
Всех с пятницей!
Если вы хотите поближе познакомиться с eBPF, то рекомендуем посмотреть видео от Liz Rice: «A Beginner's Guide to eBPF Programming with Go».
В видео:
🍭 Приводится краткий обзор того, что такое eBPF
🍭 Как написать простое «Hello world» приложение
🍭 Множество demo, кода и примеров!
Желаем отличных выходных и прекрасного отдыха!
Если вы хотите поближе познакомиться с eBPF, то рекомендуем посмотреть видео от Liz Rice: «A Beginner's Guide to eBPF Programming with Go».
В видео:
🍭 Приводится краткий обзор того, что такое eBPF
🍭 Как написать простое «Hello world» приложение
🍭 Множество demo, кода и примеров!
Желаем отличных выходных и прекрасного отдыха!
YouTube
A Beginner's Guide to eBPF Programming with Go • Liz Rice • GOTO 2021
This presentation was recorded at GOTOpia February 2021. #GOTOcon #GOTOpia
http://gotopia.eu
Liz Rice - VP of Open Source Engineering at Aqua Security @lizrice5029
ABSTRACT
eBPF has been described as “Superpowers for Linux,” and recently we’ve seen an…
http://gotopia.eu
Liz Rice - VP of Open Source Engineering at Aqua Security @lizrice5029
ABSTRACT
eBPF has been described as “Superpowers for Linux,” and recently we’ve seen an…
Привет!
Визуализация помогает упростить восприятие информации, особенно, если «уровней абстракции» очень много, а возможностей «тонкой настройки» - еще больше!
По ссылке доступен проект – rback – который позволяет визуализировать RBAC в Kubernetes. В независимости от сложности реализованной структуры, rback проанализирует все созданные сущности и построит граф, на котором будут отображены Service Accounts/(Cluster) Roles, соответствующие bindings и возможности ☺️
Визуализация помогает упростить восприятие информации, особенно, если «уровней абстракции» очень много, а возможностей «тонкой настройки» - еще больше!
По ссылке доступен проект – rback – который позволяет визуализировать RBAC в Kubernetes. В независимости от сложности реализованной структуры, rback проанализирует все созданные сущности и построит граф, на котором будут отображены Service Accounts/(Cluster) Roles, соответствующие bindings и возможности ☺️
GitHub
GitHub - team-soteria/rback: RBAC in Kubernetes visualizer
RBAC in Kubernetes visualizer . Contribute to team-soteria/rback development by creating an account on GitHub.
Всем привет!
В статье автор описывает подход к созданию и управлению Network Policy. Материал разбит на несколько частей:
🍭 Основы. Что такое Network Policy и зачем они нужны (мы писали об этом тут и вот тут): ingress/egress, использование matchExpression, online-редактор политик от Cilium
🍭 Governance. Использование git для управления политиками, например:
1. Разработчику предоставляется доступ к repo, где описана Network Policy
2. Разработчик делает отдельный branch, вносит изменения при необходимости
3. Создается pull request
4. ИБ-специалисты либо принимают, либо не принимают request разработчика. Если НЕ принимают, то описывают почему именно, что не понравилось
5. В случае «успешного» принятия request изменения применяются на кластер
🍭 Автоматизация. Использование OPA для частичного автоматизации процесса внесения изменений в Network Policy
🍭 Debug. Как и откуда получать информацию для отладки политик
P.S. В статье много ссылок на полезные материалы по теме, включая ссылки на repo с «готовыми» Network Policies
В статье автор описывает подход к созданию и управлению Network Policy. Материал разбит на несколько частей:
🍭 Основы. Что такое Network Policy и зачем они нужны (мы писали об этом тут и вот тут): ingress/egress, использование matchExpression, online-редактор политик от Cilium
🍭 Governance. Использование git для управления политиками, например:
1. Разработчику предоставляется доступ к repo, где описана Network Policy
2. Разработчик делает отдельный branch, вносит изменения при необходимости
3. Создается pull request
4. ИБ-специалисты либо принимают, либо не принимают request разработчика. Если НЕ принимают, то описывают почему именно, что не понравилось
5. В случае «успешного» принятия request изменения применяются на кластер
🍭 Автоматизация. Использование OPA для частичного автоматизации процесса внесения изменений в Network Policy
🍭 Debug. Как и откуда получать информацию для отладки политик
P.S. В статье много ссылок на полезные материалы по теме, включая ссылки на repo с «готовыми» Network Policies
Medium
Lifecycle of Kubernetes Network Policies and Best Practices
In this blog post, we will talk about the whole lifecycle of Kubernetes Network Policies and best practices
Привет!
Тема безопасности software supply chain не прекращает быть актуальной. Недавно GitLab «предоставил» Package Hunter для community. Инструмент разработан GitLab и ранее использовался «внутри» конторы с ноября 2020 года.
Package Hunter анализирует зависимости на наличие вредоносного кода и иного нетипичного поведения через установку в изолированной среде (песочнице) с дальнейшим мониторингом активности. Интересно, что для его работы необходим Falco, правила находятся в repo проекта и их достаточно много.
На текущий момент поддерживается только NodeJS и Ruby. Подробности (ссылки на документацию, информацию по использованию, код) можно найти в статье по ссылке
P.S. Важно - This is beta software. Don't run on production servers.
Тема безопасности software supply chain не прекращает быть актуальной. Недавно GitLab «предоставил» Package Hunter для community. Инструмент разработан GitLab и ранее использовался «внутри» конторы с ноября 2020 года.
Package Hunter анализирует зависимости на наличие вредоносного кода и иного нетипичного поведения через установку в изолированной среде (песочнице) с дальнейшим мониторингом активности. Интересно, что для его работы необходим Falco, правила находятся в repo проекта и их достаточно много.
На текущий момент поддерживается только NodeJS и Ruby. Подробности (ссылки на документацию, информацию по использованию, код) можно найти в статье по ссылке
P.S. Важно - This is beta software. Don't run on production servers.
Gitlab
Meet Package Hunter: A tool for detecting malicious code in your dependencies
We developed, tested and open sourced a new tool to analyze program dependencies and protect the supply chain.