Привет!
Сегодня рассказываем про сегментирование контейнерной сети для защиты приложений. Мы рекомендуем использовать несколько инструментов и следовать простым советам:
📍Network Policy
С помощью Network Policy можно контролировать сетевой трафик внутри и между namespaces. В дополнение к ним можно использовать сторонние средства, которые позволяют визуализировать сетевые потоки.
📍Service Mesh
Service Mesh могут быть полезны тем что, реализуют маршрутизацию и поиск микросервисов, используя штатные механизмы безопасности. Настройку этих механизмов можно реализовать с помощью политик, в которых указываются протоколы и другие важные настройки.
📍L7 Firewall
Контроль контейнерной сети возможен на L3/4. Для защиты непосредственно веб-приложений рекомендуем использовать L7 Firewall.
📍Разделение по нодам или кластерам
Мы рекомендуем разделять приложения по разным нодам или кластерам. Это можно делать, исходя из чувствительности данных, compliance-требований или по принадлежности к командам разработки.
Stay tuned! Еще расскажем о миксе подходов, чтобы приложения были максимально защищенными
Сегодня рассказываем про сегментирование контейнерной сети для защиты приложений. Мы рекомендуем использовать несколько инструментов и следовать простым советам:
📍Network Policy
С помощью Network Policy можно контролировать сетевой трафик внутри и между namespaces. В дополнение к ним можно использовать сторонние средства, которые позволяют визуализировать сетевые потоки.
📍Service Mesh
Service Mesh могут быть полезны тем что, реализуют маршрутизацию и поиск микросервисов, используя штатные механизмы безопасности. Настройку этих механизмов можно реализовать с помощью политик, в которых указываются протоколы и другие важные настройки.
📍L7 Firewall
Контроль контейнерной сети возможен на L3/4. Для защиты непосредственно веб-приложений рекомендуем использовать L7 Firewall.
📍Разделение по нодам или кластерам
Мы рекомендуем разделять приложения по разным нодам или кластерам. Это можно делать, исходя из чувствительности данных, compliance-требований или по принадлежности к командам разработки.
Stay tuned! Еще расскажем о миксе подходов, чтобы приложения были максимально защищенными
И снова седая ночь пятница!
Впереди выходные, можно чуть расслабиться и посмотреть сериал. Хотя, я бы порекомендовал кое-что получше:
Курс CS50 от Гарварда, который рассказывает про основы программирования!
Очень доступно, просто и, главное, захватывающе! Да, обучение может быть захватывающим, да еще настолько, что любой сериал позавидует :) Разорвать адресную книгу для объяснения бинарного поиска? Почему бы и нет!
Кому это может быть интересно? Всем! Те, кто знают программирование могут почерпнуть для себя подходы к его объяснению, а те, кто не знают - смогут разобраться и понять, что к чему :)
И все это доступно благодаря ребятам из Vert Dider, которые провели колоссальную работу по переводу курса. За что им огромное спасибо!
Всем хороших выходных!
Впереди выходные, можно чуть расслабиться и посмотреть сериал. Хотя, я бы порекомендовал кое-что получше:
Курс CS50 от Гарварда, который рассказывает про основы программирования!
Очень доступно, просто и, главное, захватывающе! Да, обучение может быть захватывающим, да еще настолько, что любой сериал позавидует :) Разорвать адресную книгу для объяснения бинарного поиска? Почему бы и нет!
Кому это может быть интересно? Всем! Те, кто знают программирование могут почерпнуть для себя подходы к его объяснению, а те, кто не знают - смогут разобраться и понять, что к чему :)
И все это доступно благодаря ребятам из Vert Dider, которые провели колоссальную работу по переводу курса. За что им огромное спасибо!
Всем хороших выходных!
YouTube
Основы программирования: Легендарный Гарвардский курс CS50
Весь курс CS50 - https://javarush.com/s/course_cs50
Первая лекция курса «Основы программирования» https://javarush.com/quests/lectures/questharvardcs50.level00.lecture00
Знаете, как называется самый популярный в мире университетский курс? Это CS50, «Основы…
Первая лекция курса «Основы программирования» https://javarush.com/quests/lectures/questharvardcs50.level00.lecture00
Знаете, как называется самый популярный в мире университетский курс? Это CS50, «Основы…
Доброго понедельника! Подборка обучалок от Red Hat:
📍Бесплатный курс для разработчиков Introduction to OpenShift Applications https://www.redhat.com/en/engage/do101-introduction-openshift-s-202004060642
📍Серия бесплатных курсов по Ansible Automates https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview?sc_cid=7013a000002DlyOAAS
📍Бесплатный курс Red Hat Enterprise Linux Technical Overview https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
📍Больше бесплатных курсов тут
https://www.redhat.com/en/services/training-and-certification?learning_options=free_courses
📍Учебный ответ вирусу от Red Hat
https://servicesblog.redhat.com/2020/04/24/red-hat-provides-free-learning-opportunities/
📍Бесплатный курс для разработчиков Introduction to OpenShift Applications https://www.redhat.com/en/engage/do101-introduction-openshift-s-202004060642
📍Серия бесплатных курсов по Ansible Automates https://www.redhat.com/en/services/training/do007-ansible-essentials-simplicity-automation-technical-overview?sc_cid=7013a000002DlyOAAS
📍Бесплатный курс Red Hat Enterprise Linux Technical Overview https://www.redhat.com/en/services/training/rh024-red-hat-linux-technical-overview
📍Больше бесплатных курсов тут
https://www.redhat.com/en/services/training-and-certification?learning_options=free_courses
📍Учебный ответ вирусу от Red Hat
https://servicesblog.redhat.com/2020/04/24/red-hat-provides-free-learning-opportunities/
Redhat
DO101: Introduction to OpenShift Applications
Всем привет!
На последнем вебинаре мы рассказывали, в том числе, о стандартах ИБ и модели зрелости, которые можно использовать для вдохновения при поиске новых активностей по DevSecOps! И обещали поделиться с Вами, что с радостью делаем:
📍The Building Security in Maturity Model: BSIMM
📍OWASP Software Assurance Maturity Model: SAMM (и ссылка на github)
📍OWASP DevSecOps Maturity Model: DSOMM (и ссылка на github)
Кстати, если Ваш выбор упал на SAMM, то есть удобный online-калькулятор для проведения самооценки :)
Рассматриваемый перечень не является конечным, однако, может послужить отличным стартом или позволит усилить существующую практику за счет консолидации информации о том, что делают компании по всему миру!
Приятный бонус: 16 июня будет OWASP SAMM User Day Online, регистрация бесплатно! Подробности можно найти по ссылке!
На последнем вебинаре мы рассказывали, в том числе, о стандартах ИБ и модели зрелости, которые можно использовать для вдохновения при поиске новых активностей по DevSecOps! И обещали поделиться с Вами, что с радостью делаем:
📍The Building Security in Maturity Model: BSIMM
📍OWASP Software Assurance Maturity Model: SAMM (и ссылка на github)
📍OWASP DevSecOps Maturity Model: DSOMM (и ссылка на github)
Кстати, если Ваш выбор упал на SAMM, то есть удобный online-калькулятор для проведения самооценки :)
Рассматриваемый перечень не является конечным, однако, может послужить отличным стартом или позволит усилить существующую практику за счет консолидации информации о том, что делают компании по всему миру!
Приятный бонус: 16 июня будет OWASP SAMM User Day Online, регистрация бесплатно! Подробности можно найти по ссылке!
Blackduck
Building Security Maturity Model (BSIMM) Consulting Services | Black Duck
Building Security in Maturity Model security measurement from Black Duck. Learn more at Blackduck.com.
Kube-Scan - это open source утилита от Octarine для оценки риска кластера среды оркестрации, в основе которого лежит Kubernetes.
Уровень риска считается для каждой рабочей нагрузки (workload) кластера, исходя из параметров ее текущей конфигурации.
В качестве основы для расчета уровня риска использовалась собственная модель Octarine Kubernetes Common Configuration Scoring System (KCCSS).
Идейно она схожа с Common Vulnerability Scoring System (CVSS), стандартом для расчета уровня риска по уязвимостям, только вместо акцента на уязвимости, делается акцент на конфигурацию и параметры безопасности в ней.
Нужно больше информации?
🍭Ссылка на утилиту: https://github.com/octarinesec/kube-scan
🍭Вебинар о том, что такое KCCSS и как работает kube-scan доступен по ссылке: https://www.cncf.io/webinars/kube-scan-k8s-common-configur-scoring-sys/
P. S. И не путайте с KubiScan от CyberArk, о которой мы уже писали отдельно
Уровень риска считается для каждой рабочей нагрузки (workload) кластера, исходя из параметров ее текущей конфигурации.
В качестве основы для расчета уровня риска использовалась собственная модель Octarine Kubernetes Common Configuration Scoring System (KCCSS).
Идейно она схожа с Common Vulnerability Scoring System (CVSS), стандартом для расчета уровня риска по уязвимостям, только вместо акцента на уязвимости, делается акцент на конфигурацию и параметры безопасности в ней.
Нужно больше информации?
🍭Ссылка на утилиту: https://github.com/octarinesec/kube-scan
🍭Вебинар о том, что такое KCCSS и как работает kube-scan доступен по ссылке: https://www.cncf.io/webinars/kube-scan-k8s-common-configur-scoring-sys/
P. S. И не путайте с KubiScan от CyberArk, о которой мы уже писали отдельно
Vmware
VMware Security Solutions
Strengthen your ransomware defense with VMware. Find and evict threats in your private, hybrid, and multi-cloud environments with strong lateral security.
Всем привет!
Относительно недавно (в апреле 20') вышла книга Liz Rice, посвященная Container Security.
Liz - является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
Книга описывает такие аспекты безопасности контейнеров как:
📍Потенциальные угрозы безопасности
Linux Capabilities
📍Аспекты работы с образами контейнеров
📍Уязвимости ИБ в образах, способы их идентификации
📍Как повысить ИБ в контейнерах (SELinux, AppArmor и т.д.)
📍Аспекты сетевой безопасности и иные темы
Книга не является детальным how-to-guide, однако, позволяет сформировать целостное понимание об аспектах обеспечения ИБ в контейнерах.
Книга доступна по ссылке (для скачивания необходимо указать корпоративный email)
P.S. Если "побегать" по ссылкам (от Solutions до Blog) на сайте Aqua Security то можно найти много интересных отчетов и публикаций по тематике защиты контейнеров :)
Aquasec
Container Security O'Reilly Book
This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate
Относительно недавно (в апреле 20') вышла книга Liz Rice, посвященная Container Security.
Liz - является сотрудником Aqua Security, а так же входит в состав Technical Oversight Committee CNCF.
Книга описывает такие аспекты безопасности контейнеров как:
📍Потенциальные угрозы безопасности
Linux Capabilities
📍Аспекты работы с образами контейнеров
📍Уязвимости ИБ в образах, способы их идентификации
📍Как повысить ИБ в контейнерах (SELinux, AppArmor и т.д.)
📍Аспекты сетевой безопасности и иные темы
Книга не является детальным how-to-guide, однако, позволяет сформировать целостное понимание об аспектах обеспечения ИБ в контейнерах.
Книга доступна по ссылке (для скачивания необходимо указать корпоративный email)
P.S. Если "побегать" по ссылкам (от Solutions до Blog) на сайте Aqua Security то можно найти много интересных отчетов и публикаций по тематике защиты контейнеров :)
Aquasec
Container Security O'Reilly Book
This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate
Aquasec
Container Security
VMware vSphere with Kubernetes приносит нам несколько новых уровней абстракции и интересных сущностей.
В то время, как разработчики могут запускать свои приложения в выделенных нативных Kubernetes-кластерах на базе TKG (Tanzu Kubernetes Grid), "под ним" так же существует т.н. Supervisor Cluster. Он позволяет запускать контейнеры, но совсем по-другому. Появляется ряд вопросов:
📍Что такое vSphere Pod Service? Это виртуалка или нет?
📍В каких случаях этим нужно пользоваться?
📍Какой overhead это даёт, и как это сравнимо по производительности с контейнерами на bare metal?
Ответы на эти вопросы и много всего интересного можно найти в статьях вендора:
https://blogs.vmware.com/vsphere/2020/04/vsphere-7-vsphere-pod-service.html
https://blogs.vmware.com/vsphere/2020/05/vsphere-7-vsphere-pods-explained.html
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
В то время, как разработчики могут запускать свои приложения в выделенных нативных Kubernetes-кластерах на базе TKG (Tanzu Kubernetes Grid), "под ним" так же существует т.н. Supervisor Cluster. Он позволяет запускать контейнеры, но совсем по-другому. Появляется ряд вопросов:
📍Что такое vSphere Pod Service? Это виртуалка или нет?
📍В каких случаях этим нужно пользоваться?
📍Какой overhead это даёт, и как это сравнимо по производительности с контейнерами на bare metal?
Ответы на эти вопросы и много всего интересного можно найти в статьях вендора:
https://blogs.vmware.com/vsphere/2020/04/vsphere-7-vsphere-pod-service.html
https://blogs.vmware.com/vsphere/2020/05/vsphere-7-vsphere-pods-explained.html
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
VMware vSphere Blog
vSphere 7 - Introduction to the vSphere Pod Service
#vSphere7 with Kubernetes introduces two ways to run modern applications. Let's look at what the vSphere Pod Service provides to developers & vSphere admins
Всем пятница!
Последнее время все только и говорят,что о море и о закате, о том, какой Kubernetes классный! И он такой. Правда.
Однако, нет ничего абсолютного. И Kubernetes не исключение, у него есть своя "темная сторона", которую не стоит скрывать. Иначе можно совершить "ошибку уцелевшего".
Для того, чтобы не допустить ее и посмотреть на Kubernetes более трезвым взглядом, рекомендуем ознакомиться с перечнем статей и видеоматериалов, в которых рассказывается про трудности, с которыми столкнулись специалисты по мере работы с технологией. Возможно это поможет Вам избежать собственных ошибок или решить существующие :)
https://github.com/hjacobs/kubernetes-failure-stories
Последнее время все только и говорят,
Однако, нет ничего абсолютного. И Kubernetes не исключение, у него есть своя "темная сторона", которую не стоит скрывать. Иначе можно совершить "ошибку уцелевшего".
Для того, чтобы не допустить ее и посмотреть на Kubernetes более трезвым взглядом, рекомендуем ознакомиться с перечнем статей и видеоматериалов, в которых рассказывается про трудности, с которыми столкнулись специалисты по мере работы с технологией. Возможно это поможет Вам избежать собственных ошибок или решить существующие :)
https://github.com/hjacobs/kubernetes-failure-stories
GitHub
GitHub - hjacobs/kubernetes-failure-stories: Compilation of public failure/horror stories related to Kubernetes
Compilation of public failure/horror stories related to Kubernetes - hjacobs/kubernetes-failure-stories
СЕГОДНЯ ВЫШЛА LAST OF US 2. Но не об этом... OpenShift 4.4! Что нового!
https://m.habr.com/ru/news/t/507252/
https://m.habr.com/ru/news/t/507252/
Хабр
Что нового в OpenShift Container Platform 4.4?
Недавно Red Hat представила обновление контейнерной платформы OpenShift. Теперь новая версия 4.4 доступна для установки. Новый релиз содержит много новшеств и bug-fix`ов. Расскажем о наиболее...
Всем привет! На прошлой неделе мы с вами смотрели материалы по линейке продуктов от VMware, разбирались где заканчивается виртуализация и начинается контейнеризация. Разобрались (но это не точно).
К слову, возможности по виртуализации давно встроены в платформу Red Hat OpenShift. Такая интеграция позволяет обращаться с виртуалками как с контейнерами. Это может быть очень полезно и эффективно. Существует уже достаточно зрелый набор инструментов для работы с сетью и storage в таких контейнерных виртуалках. Кроме того, уже есть визарды по импорту виртуалок из существующих гипервизоров! Грань между виртуализацией и контейнеризацией стирается все больше и больше.
https://www.openshift.com/blog/blog-openshift-virtualization-whats-new-with-virtualization-from-red-hat
К слову, возможности по виртуализации давно встроены в платформу Red Hat OpenShift. Такая интеграция позволяет обращаться с виртуалками как с контейнерами. Это может быть очень полезно и эффективно. Существует уже достаточно зрелый набор инструментов для работы с сетью и storage в таких контейнерных виртуалках. Кроме того, уже есть визарды по импорту виртуалок из существующих гипервизоров! Грань между виртуализацией и контейнеризацией стирается все больше и больше.
https://www.openshift.com/blog/blog-openshift-virtualization-whats-new-with-virtualization-from-red-hat
Redhat
OpenShift virtualization: What's new with virtualization from Red Hat
Check out the state of combining VMs and containers in the same environment in OpenShift.
Считаете ли вы это полезным, видите ли кейсы применения?
Anonymous Poll
55%
Да, считаю полезным. Есть кейсы!
0%
Нет, есть контраргументы!
45%
Не знаю, надо подождать более явных результатов для анализа
Привет!
Часто говорят, что DevSecOps - это во многом про общение. И системы/сервисы... не являются исключением! Ведь, во многом, DevSecOps это про большое количество интеграций, передачу данных между системами, взаимодействие различных сервисов и, конечно же, про автоматизацию!
Иногда хочется, получать информацию об изменениях в системах, как только они произошли! Хочется, чтобы одна система "сказала" другой - "Эй, смотри, у меня есть новые данные! Лови!". И такие механизмы есть! ) Один из них называется webhook. Несколько примеров использования:
📍Телеграм-бот, который оповестит вас о том, что произошел какой-то сбой в ИТ-инфраструктуре
📍Запуск сканирования реестра образов контейнеров при поступлении новых образов
📍Чуть посложнее: автоматическое создание exception в настройках средств защиты при согласовании его сотрудниками ИБ в task-management системе и многое другое!
Общий принцип можно свести к следующему: происходит изменение, о котором одна система оповещает другую и направляет ей данные. Вторая система получает данные и на основе их анализа предпринимает действие!
Более подробно про то, что это такое можно почитать по ссылке!
Часто говорят, что DevSecOps - это во многом про общение. И системы/сервисы... не являются исключением! Ведь, во многом, DevSecOps это про большое количество интеграций, передачу данных между системами, взаимодействие различных сервисов и, конечно же, про автоматизацию!
Иногда хочется, получать информацию об изменениях в системах, как только они произошли! Хочется, чтобы одна система "сказала" другой - "Эй, смотри, у меня есть новые данные! Лови!". И такие механизмы есть! ) Один из них называется webhook. Несколько примеров использования:
📍Телеграм-бот, который оповестит вас о том, что произошел какой-то сбой в ИТ-инфраструктуре
📍Запуск сканирования реестра образов контейнеров при поступлении новых образов
📍Чуть посложнее: автоматическое создание exception в настройках средств защиты при согласовании его сотрудниками ИБ в task-management системе и многое другое!
Общий принцип можно свести к следующему: происходит изменение, о котором одна система оповещает другую и направляет ей данные. Вторая система получает данные и на основе их анализа предпринимает действие!
Более подробно про то, что это такое можно почитать по ссылке!
Simonfredsted
What is a Webhook? – Blog post – Simon Fredsted
The personal Web site, CV and blog of Simon Fredsted. Posts about Web development, devops, and more.
👍1
PANW NGFW CN!
Нет, это не котейка прошелся по клавиатуре и не заклинание для вызова Ктулху! :)
Это Palo Alto Networks Next Generation Firewall CN-Series - первый в мире NGFW для среды контейнеризации!
Хотите узнать больше? Регистрируйтесь на вебинар, который пройдет 2-ого июля 2020 года в 11:00 (время московское)!
Нет, это не котейка прошелся по клавиатуре и не заклинание для вызова Ктулху! :)
Это Palo Alto Networks Next Generation Firewall CN-Series - первый в мире NGFW для среды контейнеризации!
Хотите узнать больше? Регистрируйтесь на вебинар, который пройдет 2-ого июля 2020 года в 11:00 (время московское)!
Команда специалистов Aqua Security на днях опубликовала результаты исследования, в рамках которого проводился анализ заражённых образов.
В процессе исследования специалисты компании отсканировали тысячи образов в Docker Hub и разбили их на группы, одна из которых привлекла особое внимание.
В группу попали 23 связанных между собой образа. Они были размещены в Docker Hub 7-ю разными людьми и, кроме этого, были связаны с 15-ю разными GitHub аккаунтами.
Позже специалисты выяснили, что эта инфраструктура принадлежит алжирской хакерской группировке DzMLT.
Интересно, что образы были собраны так, чтобы снизить вероятность обнаружения вредоносного ПО внутри них при сканировании статическими утилитами.
Основные операции совершались после запуска контейнера, т.е. в runtime. Большинство контейнеров подключалось к GitHub, чтобы загрузить вредоносные элементы и криптомайнеры.
В статье приводится детальное описание логики работы инфраструктуры и рекомендации в части обеспечения ИБ. Полное описание доступно по ссылке тут.
В процессе исследования специалисты компании отсканировали тысячи образов в Docker Hub и разбили их на группы, одна из которых привлекла особое внимание.
В группу попали 23 связанных между собой образа. Они были размещены в Docker Hub 7-ю разными людьми и, кроме этого, были связаны с 15-ю разными GitHub аккаунтами.
Позже специалисты выяснили, что эта инфраструктура принадлежит алжирской хакерской группировке DzMLT.
Интересно, что образы были собраны так, чтобы снизить вероятность обнаружения вредоносного ПО внутри них при сканировании статическими утилитами.
Основные операции совершались после запуска контейнера, т.е. в runtime. Большинство контейнеров подключалось к GitHub, чтобы загрузить вредоносные элементы и криптомайнеры.
В статье приводится детальное описание логики работы инфраструктуры и рекомендации в части обеспечения ИБ. Полное описание доступно по ссылке тут.
Aqua
Threat Alert: An Attack Against a Docker API Leads To Hidden Cryptominers
We discovered an infrastructure of container images in Docker Hub containing Potentially Unwanted Application, designed to evade detection by static scanners
Привет!
Последнее время все чаще спрашивают про инструменты, позволяющие автоматизировать процесс тестирования настроек ИТ-инфраструктуры. Любых. И по безопасности тоже. Одним из таких решений является Inspec spoiler: не Inspec’ом единым :)
Второй вопрос, который задают – «А что им можно протестировать?», ну и третий, мой самый любимый – «А это же можно сделать на Ansible! Зачем еще один инструмент?». Можно! В общем-то и на bash/powershell скриптах все можно, главное знать «как» и уметь «готовить» :)
По поводу первых двух вопросов есть отличная статья, в которой описывается что это за решение, как и когда его можно использовать. С примерами и ссылками на полезные материалы. Много! Есть даже ссылка на открытый канал, где можно задавать вопросы!!!
По поводу третьего вопроса… Все сложно. Одними из возможных ответов могут быть:
🍭 Распределение ролей и задач – например, Ansible используют Ops команды, а Inspec – Sec (хотя, Inspec это не только о безопасности, а об описании желаемого состояния сущности в общем).
🍭 Проверка состояния - убрав какой-нибудь модуль из Ansible playbook он не будет убран на сервере, что отлично может «поймать» Inspec.
🍭 Синтаксис - да, это тоже может стать веской причиной для использования альтернативного решения от Ansible.
Иногда встречается тезис, что Inspec это от Chef, поэтому в паре с Ansible он работает «хуже». Не соглашусь, но если такие опасения у вас все-таки есть, попробуйте посмотреть в сторону Testinfra!
Последнее время все чаще спрашивают про инструменты, позволяющие автоматизировать процесс тестирования настроек ИТ-инфраструктуры. Любых. И по безопасности тоже. Одним из таких решений является Inspec spoiler: не Inspec’ом единым :)
Второй вопрос, который задают – «А что им можно протестировать?», ну и третий, мой самый любимый – «А это же можно сделать на Ansible! Зачем еще один инструмент?». Можно! В общем-то и на bash/powershell скриптах все можно, главное знать «как» и уметь «готовить» :)
По поводу первых двух вопросов есть отличная статья, в которой описывается что это за решение, как и когда его можно использовать. С примерами и ссылками на полезные материалы. Много! Есть даже ссылка на открытый канал, где можно задавать вопросы!!!
По поводу третьего вопроса… Все сложно. Одними из возможных ответов могут быть:
🍭 Распределение ролей и задач – например, Ansible используют Ops команды, а Inspec – Sec (хотя, Inspec это не только о безопасности, а об описании желаемого состояния сущности в общем).
🍭 Проверка состояния - убрав какой-нибудь модуль из Ansible playbook он не будет убран на сервере, что отлично может «поймать» Inspec.
🍭 Синтаксис - да, это тоже может стать веской причиной для использования альтернативного решения от Ansible.
Иногда встречается тезис, что Inspec это от Chef, поэтому в паре с Ansible он работает «хуже». Не соглашусь, но если такие опасения у вас все-таки есть, попробуйте посмотреть в сторону Testinfra!
Ragnarson Blog
InSpec - Inspect Your Infrastructure
During last two years, there were few ideas which helped us providing better and more reliable services - one of them is infrastructure integration testing.
Доброе утро!
DevOps Days! Вероятно, одна из самых первых конференций по нашей любимой теме, которая появилась в далеком 2009 году в Бельгии, а потом «дни» начали проходить во многих странах и городах мира, что стало отличной традицией!
И даже в наше странное время эта традиция не утеряна!!! Уже анонсированы следующие DevOps Days:
🍭 Нидерланды (free of charge)! Тюльпаны, оранжевый цвет и Эдвин ван дер Сар! Зарегистрироваться можно по ссылке. 9 июля, совсем скоро!
🍭 Чикаго! Ветер, прямоугольная пицца и зеленая река (в определенный день года :) ). Регистрация пока что не открыта, но можно подписаться на уведомления по ссылке. 1 сентября! Back to school!
🍭 Москва!Матрешка, балалайки и медведи Храмы, набережные и невероятно красивые парки! Точный срок мероприятия пока что не определен, отслеживать изменения можно по ссылке. В том году лично ходили на это мероприятие, было очень круто и атмосферно!
Как и большинство современных мероприятий DevOps Days планируются в online-формате :)
P.S. А какие конференции посещаете вы? Не стесняйтесь делиться об этом в чате! :)
DevOps Days! Вероятно, одна из самых первых конференций по нашей любимой теме, которая появилась в далеком 2009 году в Бельгии, а потом «дни» начали проходить во многих странах и городах мира, что стало отличной традицией!
И даже в наше странное время эта традиция не утеряна!!! Уже анонсированы следующие DevOps Days:
🍭 Нидерланды (free of charge)! Тюльпаны, оранжевый цвет и Эдвин ван дер Сар! Зарегистрироваться можно по ссылке. 9 июля, совсем скоро!
🍭 Чикаго! Ветер, прямоугольная пицца и зеленая река (в определенный день года :) ). Регистрация пока что не открыта, но можно подписаться на уведомления по ссылке. 1 сентября! Back to school!
🍭 Москва!
Как и большинство современных мероприятий DevOps Days планируются в online-формате :)
P.S. А какие конференции посещаете вы? Не стесняйтесь делиться об этом в чате! :)
devopsdays.org
Registration
Registration for devopsdays Amsterdam 2020
Всем привет! На днях вышел новый релиз системы защиты контейнеров от Aqua Security – это Aqua CSP 5.0.
В этой версии были сделаны не просто улучшения, но и добавлены крутые функции, которыми мы не можем не поделиться.
Вот некоторые из них:
📍 Интеграция с «песочницей» для контейнеров (Aqua DTA), чтобы проводить динамический анализ образов до того, как они будут запущены как контейнеры в реальной инфраструктуре;
📍 Разграничение доступа на уровне приложений (Multi-Application RBAC). Например, кроме пользователя, роли и пула разрешений, теперь можно назначать к каким приложениям специалист сможет иметь доступ (артефакты, элементы кластера (workloads) или инфраструктуры);
📍 Реализация модели рисков (Risk-based Insights). По факту это объединение найденных уязвимостей в группы (например, Remote Exploit, Network Attack Vector и пр).
Кстати, в июне 2019 вышла новая версия фреймворка CVSS 3.1. В 5-й версии консоли Aqua CSP можно увидеть данные о доступности и типах эксплоитов, используемых для взлома уязвимых приложений.
В этой версии были сделаны не просто улучшения, но и добавлены крутые функции, которыми мы не можем не поделиться.
Вот некоторые из них:
📍 Интеграция с «песочницей» для контейнеров (Aqua DTA), чтобы проводить динамический анализ образов до того, как они будут запущены как контейнеры в реальной инфраструктуре;
📍 Разграничение доступа на уровне приложений (Multi-Application RBAC). Например, кроме пользователя, роли и пула разрешений, теперь можно назначать к каким приложениям специалист сможет иметь доступ (артефакты, элементы кластера (workloads) или инфраструктуры);
📍 Реализация модели рисков (Risk-based Insights). По факту это объединение найденных уязвимостей в группы (например, Remote Exploit, Network Attack Vector и пр).
Кстати, в июне 2019 вышла новая версия фреймворка CVSS 3.1. В 5-й версии консоли Aqua CSP можно увидеть данные о доступности и типах эксплоитов, используемых для взлома уязвимых приложений.
Aqua
Cloud Native Security for Containerized and Serverless Applications| Aqua
Full lifecycle, full stack cloud native security for cloud native applications from your CI/CD pipeline to runtime production environments, at any scale.
👍1
На прошлой неделе мы писали про исследование компании Aqua Security, в рамках которого ее специалистами проводилось сканирование образов в Docker Hub и было выявлено несколько зараженных контейнеров хакерской группировки DzMLT.
В рамках исследования как раз использовался продукт Aqua DTA, упомянутый выше.
Сканирование с Aqua DTA реализуется или из реестра, или в процессе CI/CD-сборки.
Запуская контейнер внутри «защищенной среды», Aqua DTA изучает его поведение в течение нескольких минут, выявляя подозрительные сетевые взаимодействия, вредоносное ПО и multi-stage/zero-day атаки.
Пока продукт является облачным сервисом, но в будущем компания планирует сделать и on-prem версию.
Описание основных функций можно найти по ссылке.
В рамках исследования как раз использовался продукт Aqua DTA, упомянутый выше.
Сканирование с Aqua DTA реализуется или из реестра, или в процессе CI/CD-сборки.
Запуская контейнер внутри «защищенной среды», Aqua DTA изучает его поведение в течение нескольких минут, выявляя подозрительные сетевые взаимодействия, вредоносное ПО и multi-stage/zero-day атаки.
Пока продукт является облачным сервисом, но в будущем компания планирует сделать и on-prem версию.
Описание основных функций можно найти по ссылке.
Telegram
Channel in DevSecOps Talks Chat
Команда специалистов Aqua Security на днях опубликовала результаты исследования, в рамках которого проводился анализ заражённых образов.
В процессе исследования специалисты компании отсканировали тысячи образов в Docker Hub и разбили их на группы, одна…
В процессе исследования специалисты компании отсканировали тысячи образов в Docker Hub и разбили их на группы, одна…
Когда-то это должно было произойти. Вся интрига была - кто купит. Лишь бы красный гигант теперь не купил SUSE :)
https://rancher.com/press/suse-to-acquire-rancher/
https://rancher.com/press/suse-to-acquire-rancher/