Всем привет!
Ребята из Apiiro Security Research Team обнаружили уязвимость CVE-2022-24348 в ArgoCD. Эксплуатация уязвимости позволяет злоумышленнику получить доступ к чувствительной информации, такой как секреты, пароли и API-ключи.
Attack Flow состоит из нескольких этапов:
🍭 Злоумышленник подготавливает malicious Helm chart
🍭 Через использование parsing confusion уязвимости получает доступ к чувствительной информации. Эта уязвимость связана с особенностями разбора (parsing) Values-файлов
🍭 Извлекает необходимые ему данные, которые он может использовать для последующих атак
Для реализации подобной атаки необходимо обладать правами на создание и/или обновление Applications в ArgoCD.
Чтобы понять, подвержена ли ваша инсталляция этой уязвимости можно использовать, например Kubescape.
Устранение уязвимости осуществляется путем установки обновления, доступного для версий 2.3.0, 2.2.4, 2.1.9.
Ребята из Apiiro Security Research Team обнаружили уязвимость CVE-2022-24348 в ArgoCD. Эксплуатация уязвимости позволяет злоумышленнику получить доступ к чувствительной информации, такой как секреты, пароли и API-ключи.
Attack Flow состоит из нескольких этапов:
🍭 Злоумышленник подготавливает malicious Helm chart
🍭 Через использование parsing confusion уязвимости получает доступ к чувствительной информации. Эта уязвимость связана с особенностями разбора (parsing) Values-файлов
🍭 Извлекает необходимые ему данные, которые он может использовать для последующих атак
Для реализации подобной атаки необходимо обладать правами на создание и/или обновление Applications в ArgoCD.
Чтобы понять, подвержена ли ваша инсталляция этой уязвимости можно использовать, например Kubescape.
Устранение уязвимости осуществляется путем установки обновления, доступного для версий 2.3.0, 2.2.4, 2.1.9.
Apiiro | Deep Application Security Posture Management (ASPM)
Malicious Kubernetes Helm charts can be used to steal sensitive information from Argo CD deployments
Apiiro's Security Research team has discovered a major vulnerability in Argo CD platform (CVE-2022-24348).
👍1
Всем привет!
Небольшое демо по использованию Cosign – инструмента генерации и проверки электронной подписи для образов контейнеров.
Подобные практики можно использовать для противодействия supply chain атакам – гарантировать, что запускаются только доверенные и подписанные образы.
Демо описывает следующий процесс:
🍭 Установка Cosign
🍭 Генерация ключевой пары – закрытый и открытый ключи
🍭 Подпись образа с использованием закрытого ключа
🍭 Помещение образа вместе с подписью в Container Registry
🍭 Использование открытого ключа для верификации подписи образа
Помимо указанного в демо приводится пример подписи Software Bill of Materials (SBOM). Сама SBOM генерируется при помощи Syft (о нем мы писали ранее) и подписывается при помощи Cosign.
Небольшое демо по использованию Cosign – инструмента генерации и проверки электронной подписи для образов контейнеров.
Подобные практики можно использовать для противодействия supply chain атакам – гарантировать, что запускаются только доверенные и подписанные образы.
Демо описывает следующий процесс:
🍭 Установка Cosign
🍭 Генерация ключевой пары – закрытый и открытый ключи
🍭 Подпись образа с использованием закрытого ключа
🍭 Помещение образа вместе с подписью в Container Registry
🍭 Использование открытого ключа для верификации подписи образа
Помимо указанного в демо приводится пример подписи Software Bill of Materials (SBOM). Сама SBOM генерируется при помощи Syft (о нем мы писали ранее) и подписывается при помощи Cosign.
GitHub
GitHub - colinbut/cosign-signing-container-images: signing and verifying container images using a tool called cosign
signing and verifying container images using a tool called cosign - colinbut/cosign-signing-container-images
Привет!
Сайт, посвященный RBAC Kubernetes. Все удобно сгруппировано по разделам:
🍭 Официальная документация Kubernetes
🍭 Статьи, посвященные RBAC
🍭 Средства автоматизации
В части автоматизации есть интересное деление – можно выбрать утилиты для проведения аудита настроек RBAC кластера (KubiScan, Krane). Другие утилиты позволяют упростить взаимодействие с Kubernetes для получения информации о возможностях учетных записей и ролей (kubectl-who-can, rakkess). Задача третьих – визуализировать управление доступом (rback-view, rbac).
P.S. А вы знали, что при помощи RBAC можно тренировать дельфинов? ☺️
P.P.S. Preview не работает, поэтому дублируем ссылку: https://rbac.dev/
Сайт, посвященный RBAC Kubernetes. Все удобно сгруппировано по разделам:
🍭 Официальная документация Kubernetes
🍭 Статьи, посвященные RBAC
🍭 Средства автоматизации
В части автоматизации есть интересное деление – можно выбрать утилиты для проведения аудита настроек RBAC кластера (KubiScan, Krane). Другие утилиты позволяют упростить взаимодействие с Kubernetes для получения информации о возможностях учетных записей и ролей (kubectl-who-can, rakkess). Задача третьих – визуализировать управление доступом (rback-view, rbac).
P.S. А вы знали, что при помощи RBAC можно тренировать дельфинов? ☺️
P.P.S. Preview не работает, поэтому дублируем ссылку: https://rbac.dev/
Привет!
Очень-очень большая статья, посвященная теме управления секретами (~21 минута, если верить Medium). Да, она 2018 года, но все равно многое из того, что в ней написано актуально и по сей день.
В начале статьи приводится проблематика, с которой можно столкнуться: как для «классического ИТ», так и для Cloud и DevOps-окружений.
Отдельно хочется выделить часть статьи, в которой описано с какими сложностями столкнулись компании (Pinterest, Square) и почему они решили разработать собственные инструменты (Knox, Keywhiz).
Далее идет обзор-перечисление open source решений, которые могут быть использованы: Torus, Credstash, Sneaker и другие.
В завершении – описаны возможности поставщиков облачных услуг и размышления на тему вызовов информационной безопасности, с которыми можно столкнуться, погружаясь в тему управления секретами.
Очень-очень большая статья, посвященная теме управления секретами (~21 минута, если верить Medium). Да, она 2018 года, но все равно многое из того, что в ней написано актуально и по сей день.
В начале статьи приводится проблематика, с которой можно столкнуться: как для «классического ИТ», так и для Cloud и DevOps-окружений.
Отдельно хочется выделить часть статьи, в которой описано с какими сложностями столкнулись компании (Pinterest, Square) и почему они решили разработать собственные инструменты (Knox, Keywhiz).
Далее идет обзор-перечисление open source решений, которые могут быть использованы: Torus, Credstash, Sneaker и другие.
В завершении – описаны возможности поставщиков облачных услуг и размышления на тему вызовов информационной безопасности, с которыми можно столкнуться, погружаясь в тему управления секретами.
Medium
Secrets management guide — approaches, open source tools, commercial products, challenges…
Secrets management is a hard problem for cloud-native infrastructures and devops workflows.
👍1🔥1
Всем привет!
Небольшая статья о том, как Citi сделали Secure Software Factory. В качестве основы они выбрали «Software Supply Chain Best Practices» и «The Secure Software Factory». Оба документа содержат интересные мысли по теме и там есть, что почитать (каждый ~ 20 страниц).
В итоге получился следующий конструктор:
🍭 Подпись с использованием Sigstore Cosign
🍭 Автоматизация Pipeline: Tekton – Pipelines и Chains
🍭 Admission Controller – Kyverno
🍭 Identity Attestation – Spire
🍭 Оркестрация контейнеров – Kubernetes
С деталями и Quick Start Guide можно ознакомиться по ссылке ☺️
Небольшая статья о том, как Citi сделали Secure Software Factory. В качестве основы они выбрали «Software Supply Chain Best Practices» и «The Secure Software Factory». Оба документа содержат интересные мысли по теме и там есть, что почитать (каждый ~ 20 страниц).
В итоге получился следующий конструктор:
🍭 Подпись с использованием Sigstore Cosign
🍭 Автоматизация Pipeline: Tekton – Pipelines и Chains
🍭 Admission Controller – Kyverno
🍭 Identity Attestation – Spire
🍭 Оркестрация контейнеров – Kubernetes
С деталями и Quick Start Guide можно ознакомиться по ссылке ☺️
www.chainguard.dev
How Citi is building the secure software factory with Sigstore and Tekton
Everything you need to know about securing the software supply chain.
👍2
Всем привет!
Linux Capabilities – не самая простая, но очень интересная тема. Можно даже немного почувствовать себя исследователем и разобраться какому процессу/файлу какие привилегии (полномочия) нужны.
В цикле статей Автор простыми словами рассказывает про то, что это такое: первая часть теоретическая, а вторая – практическая (много примеров, в том числе про то, как читать и понимать вывод утилит, помогающих идентифицировать capabilities).
В статьях Автор рассматривает такие аспекты, как:
🍭 Типы capabilities: effective, inherited, permit, ambient и bounding; основные отличия между ними
🍭 Как происходит определение итогового перечня capabilities дочернего (нового) процесса. Автор показывает, как это работает на примере ping. Кстати, если Вы не знали, то ping не совсем прост и обладает интересными особенностями ☺️
Если тема интересна, то рекомендуем держать рядом с собой man на capabilities открытым, т.к. Автор к нему часто отсылается.
Управление capabilities, в том числе, может быть использовано для повышения ИБ сред контейнерной оркестрации. Наглядно об этом можно посмотреть в статье и интерактивном уроке от SNYK:
🍭 Container does not drop all default capabilities
🍭 Kubernetes securityContext: Linux capabilities in Kubernetes
P.S. Preview работает только для первой статьи, но мы рекомендуем прочитать обе ☺️
Linux Capabilities – не самая простая, но очень интересная тема. Можно даже немного почувствовать себя исследователем и разобраться какому процессу/файлу какие привилегии (полномочия) нужны.
В цикле статей Автор простыми словами рассказывает про то, что это такое: первая часть теоретическая, а вторая – практическая (много примеров, в том числе про то, как читать и понимать вывод утилит, помогающих идентифицировать capabilities).
В статьях Автор рассматривает такие аспекты, как:
🍭 Типы capabilities: effective, inherited, permit, ambient и bounding; основные отличия между ними
🍭 Как происходит определение итогового перечня capabilities дочернего (нового) процесса. Автор показывает, как это работает на примере ping. Кстати, если Вы не знали, то ping не совсем прост и обладает интересными особенностями ☺️
Если тема интересна, то рекомендуем держать рядом с собой man на capabilities открытым, т.к. Автор к нему часто отсылается.
Управление capabilities, в том числе, может быть использовано для повышения ИБ сред контейнерной оркестрации. Наглядно об этом можно посмотреть в статье и интерактивном уроке от SNYK:
🍭 Container does not drop all default capabilities
🍭 Kubernetes securityContext: Linux capabilities in Kubernetes
P.S. Preview работает только для первой статьи, но мы рекомендуем прочитать обе ☺️
Container-Solutions
Linux Capabilities: Why They Exist and How They Work
Linux capabilities can confuse even the most experienced Cloud Native engineer. Container Solutions' Adrian Mouat tells why they exist and how they work.
🔥4👍1
Всем привет!
В статье описывается интересный подход к созданию набора OPA-проверок, которые формируются на основании входных данных.
Суть проста – у нас есть n проверок по различным группам, например, storage, network, compute, security и т.д. Скорее всего, за каждый тип проверок отвечают разные команды и разные люди.
Как быть в такой ситуации? Писать единое «полотно» с указанием всевозможных проверок по группам? И так для каждого приложения? А если их много? Вероятно, такой подход не является самым оптимальным и правильным.
В статье предлагается рассмотреть альтернативный подход – каждая команда создает свои проверки и создается общий main-файл, который возьмет на себя роль «роутера» и позволит перенаправлять запросы и получать обратную связь по проверкам.
Это придаст гибкость и повысит управляемость использования OPA-проверок. Небольшой пример описанного концепта приводится в статье ☺️
В статье описывается интересный подход к созданию набора OPA-проверок, которые формируются на основании входных данных.
Суть проста – у нас есть n проверок по различным группам, например, storage, network, compute, security и т.д. Скорее всего, за каждый тип проверок отвечают разные команды и разные люди.
Как быть в такой ситуации? Писать единое «полотно» с указанием всевозможных проверок по группам? И так для каждого приложения? А если их много? Вероятно, такой подход не является самым оптимальным и правильным.
В статье предлагается рассмотреть альтернативный подход – каждая команда создает свои проверки и создается общий main-файл, который возьмет на себя роль «роутера» и позволит перенаправлять запросы и получать обратную связь по проверкам.
Это придаст гибкость и повысит управляемость использования OPA-проверок. Небольшой пример описанного концепта приводится в статье ☺️
Styra
Dynamic Policy Composition for OPA
Learn how to use dynamic policy composition in Open Policy Agent (OPA) systems, across applications and infrastructure.
🔥1
Привет!
В продолжение темы проверки K8S-манифестов представляем kube-review! Небольшую утилиту, которая используется для трансформации манифеста в… AdmissionReview Request!
Это может быть удобно для локального тестирования манифестов, без необходимости обращения к Kubernetes API.
Можно тестировать:
🍭 Манифесты локально, в том числе с использованием OPA
🍭 Манифесты, использованные для запуска сущностей на кластере
Единственное, что не поддерживается kube-review – это CRD
В продолжение темы проверки K8S-манифестов представляем kube-review! Небольшую утилиту, которая используется для трансформации манифеста в… AdmissionReview Request!
Это может быть удобно для локального тестирования манифестов, без необходимости обращения к Kubernetes API.
Можно тестировать:
🍭 Манифесты локально, в том числе с использованием OPA
(kube-review... | opa eval...). Есть альтернативный вариант локального использования OPA, о нем мы писали тут🍭 Манифесты, использованные для запуска сущностей на кластере
(kubectl get pod -o yaml | kube-review... | opa eval...)
Таким образом можно сделать небольшой инструмент аудита, в том числе уже запущенных сущностей. Подобный функционал есть и у Gatekeeper/Kyverno, но kube-review может быть попроще для начала (например, потому что не требуется создание и настройка дополнительных сущностей в кластере)Единственное, что не поддерживается kube-review – это CRD
GitHub
GitHub - anderseknert/kube-review: Create Kubernetes AdmissionReview requests from Kubernetes resource manifests
Create Kubernetes AdmissionReview requests from Kubernetes resource manifests - anderseknert/kube-review
Привет!
Написание RBAC правил в Kubernetes не самое увлекательное занятие, в котором можно легко запутаться.
Иногда хочется некоторого полиморфизма – «Мне нужна почти такая же роль, толькос перламутровыми пуговицами с немного иными привилегиями…».
И все заново – перечисляем ресурсы, права… Можно ли как-то иначе?
Оказывается, можно! С проектом от Red Hat, который называется Dynamic RBAC-operator. Он как раз дает тот самый полиморфизм: мы указываем «родительскую» роль и на базе нее создаем нужную нам, внося небольшие правки и корректировки.
В repo есть отличный пример создания роли «admin-without-users», наследованной от «cluster-admin», но с некоторыми отличиями ☺️
Написание RBAC правил в Kubernetes не самое увлекательное занятие, в котором можно легко запутаться.
Иногда хочется некоторого полиморфизма – «Мне нужна почти такая же роль, только
И все заново – перечисляем ресурсы, права… Можно ли как-то иначе?
Оказывается, можно! С проектом от Red Hat, который называется Dynamic RBAC-operator. Он как раз дает тот самый полиморфизм: мы указываем «родительскую» роль и на базе нее создаем нужную нам, внося небольшие правки и корректировки.
В repo есть отличный пример создания роли «admin-without-users», наследованной от «cluster-admin», но с некоторыми отличиями ☺️
GitHub
GitHub - redhat-cop/dynamic-rbac-operator
Contribute to redhat-cop/dynamic-rbac-operator development by creating an account on GitHub.
👍4
NIST.SP.800-218.pdf
722.5 KB
Всех с пятницей!
В приложении свежий материал от NIST (февраль, 2022) – «Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities».
Framework вводит 4 группы практик:
🍭 Prepare The Organization (PO): в Компании должна быть зрелая культура, готовая принять практики безопасной разработки
🍭 Protect the Software (PS): защита всех компонентов ПО от изменений и несанкционированного доступа
🍭 Produce Well-Secured Software (PW): стремление к сокращению уязвимостей в ПО при релизах
🍭 Respond to Vulnerabilities (RV): управление «остаточными» уязвимостями
Далее, как обычно – перечень рекомендаций по группам, примеры реализации и, что особенно круто – готовый mapping на аналогичные контроли в других стандартах.
P.S. Сам по себе документ небольшой, всего 36 страниц. Всем отличного вечера пятницы и выходных!
В приложении свежий материал от NIST (февраль, 2022) – «Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities».
Framework вводит 4 группы практик:
🍭 Prepare The Organization (PO): в Компании должна быть зрелая культура, готовая принять практики безопасной разработки
🍭 Protect the Software (PS): защита всех компонентов ПО от изменений и несанкционированного доступа
🍭 Produce Well-Secured Software (PW): стремление к сокращению уязвимостей в ПО при релизах
🍭 Respond to Vulnerabilities (RV): управление «остаточными» уязвимостями
Далее, как обычно – перечень рекомендаций по группам, примеры реализации и, что особенно круто – готовый mapping на аналогичные контроли в других стандартах.
P.S. Сам по себе документ небольшой, всего 36 страниц. Всем отличного вечера пятницы и выходных!
🔥2
Привет!
Хорошая обзорная статья про Persistent Volume и как его настроить. Каждый pod, по умолчанию, потеряет данные после того, как будет воссоздан заново.
Для того, чтобы исправить это используются механизмы Volume (грубо говоря – папку на worker node) и Persistent Volume.
Именно о вторых и пойдет речь в статье:
🍭 Что такое Persistent Volume (PV) и принципы его работы
🍭 В чем разница между Storage Class, Persistent Volume и Persistent Volume Claim
🍭 Режимы доступа (Access Modes): ROX, RWO, RWX, RWOP. Приводится краткое описание каждого режима доступа
🍭 Описание процесса выделения дискового пространства pod’у: выбор подходящего Storage Class, определение требуемого объема памяти (Persistent Volume), создание Persistent Volume Claim, чтобы у pod была возможность использования внешнего хранилища данных
В завершении статьи приводится пример того, как это можно реализовать. Как всегда, с кодом, командами и небольшими пояснениями ☺️
Хорошая обзорная статья про Persistent Volume и как его настроить. Каждый pod, по умолчанию, потеряет данные после того, как будет воссоздан заново.
Для того, чтобы исправить это используются механизмы Volume (грубо говоря – папку на worker node) и Persistent Volume.
Именно о вторых и пойдет речь в статье:
🍭 Что такое Persistent Volume (PV) и принципы его работы
🍭 В чем разница между Storage Class, Persistent Volume и Persistent Volume Claim
🍭 Режимы доступа (Access Modes): ROX, RWO, RWX, RWOP. Приводится краткое описание каждого режима доступа
🍭 Описание процесса выделения дискового пространства pod’у: выбор подходящего Storage Class, определение требуемого объема памяти (Persistent Volume), создание Persistent Volume Claim, чтобы у pod была возможность использования внешнего хранилища данных
В завершении статьи приводится пример того, как это можно реализовать. Как всегда, с кодом, командами и небольшими пояснениями ☺️
Medium
Kubernetes Persistent Volume Explained
Learn what a Persistent Volume is and how to create a persistent volume from a storage class. Then, learn how to create a persistent volume…
Всем привет!
В repo доступна ссылка на Container Security Checklist от Carol Valencia, участницы команды Aqua Security.
Подборка сделана с привязкой к жизненному циклу контейнера и покрывает аспекты ИБ, значимые как при создании образа, так и при последующей его эксплуатации в качестве контейнера (workload).
Подборка структурирована по категориям:
🍭 Secure the Build. Повышение защищенности образов во время сборки, использование Hadolint для проверки Dockerfile, сканирование образов на наличие уязвимостей, подпись образов
🍭 Secure the Container Registry. Использование private registry, управление доступом с использованием RBAC
🍭 Secure the Container Runtime. Настройка runtime в соответствии с лучшими практиками (CIS Benchmark)
🍭 Secure the Infrastructure. Управление уязвимостями и обновлениями для хостов, настройка хостов в соответствии с рекомендациями CIS Benchmark
🍭 Secure the Data. Контроль доступа к файловой системе, корректная инъекция секретов
🍭 Secure the Workloads. Контроль действий контейнеров, применение практик контроля drift prevention для обеспечения неизменяемости (immutable) контейнеров
Подборка содержит как общие советы по информационной безопасности, так и вполне конкретные действия. Также можно найти ссылки на open source инструменты и статьи, которые могут быть использованы для выполнения ряда требований
В repo доступна ссылка на Container Security Checklist от Carol Valencia, участницы команды Aqua Security.
Подборка сделана с привязкой к жизненному циклу контейнера и покрывает аспекты ИБ, значимые как при создании образа, так и при последующей его эксплуатации в качестве контейнера (workload).
Подборка структурирована по категориям:
🍭 Secure the Build. Повышение защищенности образов во время сборки, использование Hadolint для проверки Dockerfile, сканирование образов на наличие уязвимостей, подпись образов
🍭 Secure the Container Registry. Использование private registry, управление доступом с использованием RBAC
🍭 Secure the Container Runtime. Настройка runtime в соответствии с лучшими практиками (CIS Benchmark)
🍭 Secure the Infrastructure. Управление уязвимостями и обновлениями для хостов, настройка хостов в соответствии с рекомендациями CIS Benchmark
🍭 Secure the Data. Контроль доступа к файловой системе, корректная инъекция секретов
🍭 Secure the Workloads. Контроль действий контейнеров, применение практик контроля drift prevention для обеспечения неизменяемости (immutable) контейнеров
Подборка содержит как общие советы по информационной безопасности, так и вполне конкретные действия. Также можно найти ссылки на open source инструменты и статьи, которые могут быть использованы для выполнения ряда требований
GitHub
GitHub - krol3/container-security-checklist: Checklist for container security - devsecops practices
Checklist for container security - devsecops practices - krol3/container-security-checklist
👍4
Привет!
Вчера мы писали про лучшие практики по защите контейнеров на разных этапах жизненного цикла. Одной из таких практик, применимой для runtime, является контроль drift prevention.
Есть один занимательный способ, как это можно реализовать при помощи… Admission Controller и инструмента kube-exec-controller!
Идея ребят из Box простая и достаточно элегантная:
🍭 У нас есть Validating Webhook, который срабатывает для
🍭 Чтобы понять, к какому именно pod было «обращение» средствами kube-exec-controller вешается метка (label), в которой содержится информация о времени exec, об инициаторе
🍭 Дальше – интересней! Все pods, обладающие такой «черной меткой» начнут eviction process. Авторы подумали о том, что иногда exec бывает удобен и нужен, например, при debug. По этой причине они добавили Pod Time-To-Life (TTL), который больше для Dev-окружений и крайне мал для Prod-окружений
Чтобы с этим инструментом было проще работать ребята сделали kubectl plugin, получивший имя kubectl pi (сокращенно от pod interaction), который может показывать «меченых» и управлять временем TTL.
Если интересно – то можно почитать статью в официальном блоге Kubernetes, где детализируется этот концепт и есть наглядные схемы ☺️
Вчера мы писали про лучшие практики по защите контейнеров на разных этапах жизненного цикла. Одной из таких практик, применимой для runtime, является контроль drift prevention.
Есть один занимательный способ, как это можно реализовать при помощи… Admission Controller и инструмента kube-exec-controller!
Идея ребят из Box простая и достаточно элегантная:
🍭 У нас есть Validating Webhook, который срабатывает для
[pods/exec, pods/attach]. Он их «пропускает», но событие мы регистрируем🍭 Чтобы понять, к какому именно pod было «обращение» средствами kube-exec-controller вешается метка (label), в которой содержится информация о времени exec, об инициаторе
🍭 Дальше – интересней! Все pods, обладающие такой «черной меткой» начнут eviction process. Авторы подумали о том, что иногда exec бывает удобен и нужен, например, при debug. По этой причине они добавили Pod Time-To-Life (TTL), который больше для Dev-окружений и крайне мал для Prod-окружений
Чтобы с этим инструментом было проще работать ребята сделали kubectl plugin, получивший имя kubectl pi (сокращенно от pod interaction), который может показывать «меченых» и управлять временем TTL.
Если интересно – то можно почитать статью в официальном блоге Kubernetes, где детализируется этот концепт и есть наглядные схемы ☺️
GitHub
GitHub - box/kube-exec-controller: An admission controller service and kubectl plugin to handle container drift in K8s clusters
An admission controller service and kubectl plugin to handle container drift in K8s clusters - box/kube-exec-controller
👍3
Всем привет!
В статье рассказывается про то, как можно использовать возможности LinkerD для контроля трафика внутри K8S кластера.
Для этого используется механизм Traffic Policy (не путать с Network Policy), который в отличие от своего «K8S аналога» позволяет в том числе реализовать mTLS.
Статья разбита на несколько частей:
🍭 Принципы работы и способы конфигурации
🍭 Наглядный пример контроля трафика: запрет между namespace, разрешение внутри namespace, исключение из правила для некоторого трафика между namespace (например, health checks, metrics)
В завершении – подробная инструкция, «шаг за шагом», как это можно реализовать с примерами YAML и описанием действий
В статье рассказывается про то, как можно использовать возможности LinkerD для контроля трафика внутри K8S кластера.
Для этого используется механизм Traffic Policy (не путать с Network Policy), который в отличие от своего «K8S аналога» позволяет в том числе реализовать mTLS.
Статья разбита на несколько частей:
🍭 Принципы работы и способы конфигурации
🍭 Наглядный пример контроля трафика: запрет между namespace, разрешение внутри namespace, исключение из правила для некоторого трафика между namespace (например, health checks, metrics)
В завершении – подробная инструкция, «шаг за шагом», как это можно реализовать с примерами YAML и описанием действий
buoyant.io
Go directly to namespace jail: Locking down network traffic between Kubernetes namespaces
How do you restrict network traffic between namespaces in a Kubernetes cluster? Whether you’re running a multi-tenant cluster with strict isolation guarantees or simply want to introduce a layer of control, locking down namespaces within a cluster is a common…
👍1
Всем привет!
Небольшой longread (~ 10 минут), посвященный использованию sigstore stack (Cosign, Rekor и Fulcio) для подписи и проверки подписи образов контейнеров.
Все происходит постепенно:
🍭 Сперва демонстрируются возможности Cosign для подписи «локального» образа с использованием «локальных» ключей
🍭 Далее – добавляем Rekor в качестве альтернативного/дополнительного источника истины. Схема взаимодействия и количество компонентов сильно меняется
🍭 В завершении – концепт keyless sign с использованием Fulcio и Cosign
В статье приведены наглядные схемы взаимодействия компонентов и приводится много примеров и, конечно же, код, код и еще раз код. Рекомендуем к прочтению!
Небольшой longread (~ 10 минут), посвященный использованию sigstore stack (Cosign, Rekor и Fulcio) для подписи и проверки подписи образов контейнеров.
Все происходит постепенно:
🍭 Сперва демонстрируются возможности Cosign для подписи «локального» образа с использованием «локальных» ключей
🍭 Далее – добавляем Rekor в качестве альтернативного/дополнительного источника истины. Схема взаимодействия и количество компонентов сильно меняется
🍭 В завершении – концепт keyless sign с использованием Fulcio и Cosign
В статье приведены наглядные схемы взаимодействия компонентов и приводится много примеров и, конечно же, код, код и еще раз код. Рекомендуем к прочтению!
www.chainguard.dev
sigstore, the local way
Build and run Sigstore locally to easily sign and verify container images without external dependencies. Everything you need to know about securing the software supply chain.
👍1
Привет!
Поиск проблем в сетевом взаимодействии – не самый тривиальный процесс, особенно когда дело касается контейнеров.
Именно для этого ребята сделали netshoot, который описали, как «швейцарский нож» для идентификации проблем в сети.
Он может быть полезен для выявления причин:
🍭 Проблем с latency
🍭 Некорректного routing
🍭 Ошибок в DNS resolution
🍭 Некорректной конфигурации firewall
🍭 Ошибок в ARP
Внутри repo есть перечень всего, что включено в netshoot, а также удобная графическая диаграмма, описывающая варианты применения инструментов и объектов для анализа.
Кроме того, в repo можно найти примеры использования netshoot (use case): iperf, tcpdump, netstat, nmap и другие.
Еще один вариант подобного инструмента - Network-MultiTool. Он является более актуальным, если смотреть по обновлениям repo.
Как и Netshoot, Network-MultiTool содержит в себе большое количество утилит для поиска проблем в сети. Есть несколько вариантов, которые отличаются набором утилит: Minimal и Extra.
Детальное описание "состава" можно найти в repo.
Поиск проблем в сетевом взаимодействии – не самый тривиальный процесс, особенно когда дело касается контейнеров.
Именно для этого ребята сделали netshoot, который описали, как «швейцарский нож» для идентификации проблем в сети.
Он может быть полезен для выявления причин:
🍭 Проблем с latency
🍭 Некорректного routing
🍭 Ошибок в DNS resolution
🍭 Некорректной конфигурации firewall
🍭 Ошибок в ARP
Внутри repo есть перечень всего, что включено в netshoot, а также удобная графическая диаграмма, описывающая варианты применения инструментов и объектов для анализа.
Кроме того, в repo можно найти примеры использования netshoot (use case): iperf, tcpdump, netstat, nmap и другие.
Еще один вариант подобного инструмента - Network-MultiTool. Он является более актуальным, если смотреть по обновлениям repo.
Как и Netshoot, Network-MultiTool содержит в себе большое количество утилит для поиска проблем в сети. Есть несколько вариантов, которые отличаются набором утилит: Minimal и Extra.
Детальное описание "состава" можно найти в repo.
GitHub
GitHub - nicolaka/netshoot: a Docker + Kubernetes network trouble-shooting swiss-army container
a Docker + Kubernetes network trouble-shooting swiss-army container - nicolaka/netshoot
Всем привет!
Некоторое время назад SUSE купила NeuVector. А в январе 2022 года она сделала его open source: «The work to fully open source a formerly proprietary technology is a testament to SUSE’s open-source culture and our commitment to deliver open, interoperable and innovative solutions to our partners and customers»
NeuVector - комплексное решение по защите сред контейнерной оркестрации. У него достаточно много функций, в том числе по защите runtime:
🍭 Контроль сетевых соединений (monitor/prevent)
🍭 Контроль запускаемых процессов внутри контейнеров (monitor/prevent)
🍭 Сканирование образов контейнеров на наличие уязвимостей
🍭 Compliance-проверки для nodes
🍭 Admission controller для анализа запускаемых в кластере сущностей и многое другое
Описывать все функции в TG-посте вряд ли получится, это не полезная утилита, а полноценное решение, которое ранее было enterprise. Если вам интересно узнать больше о его возможностях – рекомендуем почитать документацию.
P.S. Ссылка на новость о покупке NeuVector компанией SUSE
P.P.S Ссылка на новость о том, что NeuVector стал open source
Некоторое время назад SUSE купила NeuVector. А в январе 2022 года она сделала его open source: «The work to fully open source a formerly proprietary technology is a testament to SUSE’s open-source culture and our commitment to deliver open, interoperable and innovative solutions to our partners and customers»
NeuVector - комплексное решение по защите сред контейнерной оркестрации. У него достаточно много функций, в том числе по защите runtime:
🍭 Контроль сетевых соединений (monitor/prevent)
🍭 Контроль запускаемых процессов внутри контейнеров (monitor/prevent)
🍭 Сканирование образов контейнеров на наличие уязвимостей
🍭 Compliance-проверки для nodes
🍭 Admission controller для анализа запускаемых в кластере сущностей и многое другое
Описывать все функции в TG-посте вряд ли получится, это не полезная утилита, а полноценное решение, которое ранее было enterprise. Если вам интересно узнать больше о его возможностях – рекомендуем почитать документацию.
P.S. Ссылка на новость о покупке NeuVector компанией SUSE
P.P.S Ссылка на новость о том, что NeuVector стал open source
GitHub
GitHub - neuvector/neuvector
Contribute to neuvector/neuvector development by creating an account on GitHub.
Привет!
В продолжение темы анализа сетевой связности для идентификации проблем. Если вы не хотите использовать для этого контейнеры и вам удобнее работать через kubectl… то есть отличный plugin – ksniff!
Он крайне прост в использовании: перенаправление tcpdump в локальный instance Wireshark.
Далее – используем привычный инструмент для разбора трафика.
Если хотите направить информацию в stdout – это также возможно (пример есть в repo).
Важно (!): согласно описанию ksniff пока лучше не использовать в production-окружениях.
P.S. О контейнерах, в которых собраны необходимые инструменты для анализа сетевого трафика мы писали тут
В продолжение темы анализа сетевой связности для идентификации проблем. Если вы не хотите использовать для этого контейнеры и вам удобнее работать через kubectl… то есть отличный plugin – ksniff!
Он крайне прост в использовании: перенаправление tcpdump в локальный instance Wireshark.
Далее – используем привычный инструмент для разбора трафика.
Если хотите направить информацию в stdout – это также возможно (пример есть в repo).
Важно (!): согласно описанию ksniff пока лучше не использовать в production-окружениях.
P.S. О контейнерах, в которых собраны необходимые инструменты для анализа сетевого трафика мы писали тут
GitHub
GitHub - eldadru/ksniff: Kubectl plugin to ease sniffing on kubernetes pods using tcpdump and wireshark
Kubectl plugin to ease sniffing on kubernetes pods using tcpdump and wireshark - eldadru/ksniff
👍1
Всем привет!
Хорошая обзорная статья от ребят из Flant, посвященная Kube-Bench и Kube-Hunter. Это open source утилиты, которые можно использовать при анализе ИБ сред контейнерной оркестрации.
🍭 Kube-Bench анализирует узлы кластера на соответствие требованиям CIS-benchmark. Можно включать и отключать проверки на усмотрение аналитика
🍭 Kube-Hunter позволяет взглянуть на кластер «глазами атакующего». Работает в нескольких режимах: Passive и Active. При этом в Active-режиме может изменить состояние кластера
В статье автор рассказывает про общие принципы работы, про возможности запуска (локально, в виде контейнера, внутри анализируемого кластера), про возможности настройки и, что самое интересное – приводит свои мысли по поводу результатов.
Вывод простой – использовать инструменты можно и нужно, но «слепо» следовать рекомендациям лучше не стоит. Ко всему стоит подходить с критическим мышлением и анализом возможных последствий
Хорошая обзорная статья от ребят из Flant, посвященная Kube-Bench и Kube-Hunter. Это open source утилиты, которые можно использовать при анализе ИБ сред контейнерной оркестрации.
🍭 Kube-Bench анализирует узлы кластера на соответствие требованиям CIS-benchmark. Можно включать и отключать проверки на усмотрение аналитика
🍭 Kube-Hunter позволяет взглянуть на кластер «глазами атакующего». Работает в нескольких режимах: Passive и Active. При этом в Active-режиме может изменить состояние кластера
В статье автор рассказывает про общие принципы работы, про возможности запуска (локально, в виде контейнера, внутри анализируемого кластера), про возможности настройки и, что самое интересное – приводит свои мысли по поводу результатов.
Вывод простой – использовать инструменты можно и нужно, но «слепо» следовать рекомендациям лучше не стоит. Ко всему стоит подходить с критическим мышлением и анализом возможных последствий
Palark
Kubernetes cluster security assessment with kube-bench and kube-hunter
Improving the security of your clusters can be easier: here's how you can benefit from well-known Open Source tools.
👍2
Всем привет!
Недавно была опубликована новая уязвимость – CVE-2022-0847, получившая имя «Dirty Pipe». Ее эксплуатация позволяет модифицировать файлы, которые должны быть доступны только для чтения.
Интересный анализ влияния этой уязвимости на контейнеры провел Rory McCune из команды Aqua Security. Он применил ее для модификации файлов в используемых образах контейнеров.
Если упростить, то модификация существующего файла в контейнере никак не должна модифицировать этот самый файл в используемом образе, что обусловлено использованием overlay filesystems.
Для проверки гипотезы Rory сделал следующее:
🍭 Взял самый обычный образ Ubuntu 21.04 с Dockerhub
🍭 При помощи exploit, подготовленного Max Kellerman, добавил “Hello world” в /etc/shells, находясь внутри контейнера [1]
🍭 Запустил новый контейнер [2] из того же самого образа Ubuntu 21.04 и… “Hello world” был в /etc/shells
Детали, screenshots и т.д. – можно посмотреть в статье по ссылке. Также рекомендуем почитать пост в блоге Max Kellerman, в котором приведено детальное описание Dirty Pipe, информация о способах противодействия (как обычно – patch) и пример рабочего exploit
P.S. Ссылка на саму CVE-2022-0847 в NVD
Недавно была опубликована новая уязвимость – CVE-2022-0847, получившая имя «Dirty Pipe». Ее эксплуатация позволяет модифицировать файлы, которые должны быть доступны только для чтения.
Интересный анализ влияния этой уязвимости на контейнеры провел Rory McCune из команды Aqua Security. Он применил ее для модификации файлов в используемых образах контейнеров.
Если упростить, то модификация существующего файла в контейнере никак не должна модифицировать этот самый файл в используемом образе, что обусловлено использованием overlay filesystems.
Для проверки гипотезы Rory сделал следующее:
🍭 Взял самый обычный образ Ubuntu 21.04 с Dockerhub
🍭 При помощи exploit, подготовленного Max Kellerman, добавил “Hello world” в /etc/shells, находясь внутри контейнера [1]
🍭 Запустил новый контейнер [2] из того же самого образа Ubuntu 21.04 и… “Hello world” был в /etc/shells
Детали, screenshots и т.д. – можно посмотреть в статье по ссылке. Также рекомендуем почитать пост в блоге Max Kellerman, в котором приведено детальное описание Dirty Pipe, информация о способах противодействия (как обычно – patch) и пример рабочего exploit
P.S. Ссылка на саму CVE-2022-0847 в NVD
Aqua
Dirty Pipe Linux Vulnerability: Overwriting Files in Container Images
CVE-2022-0847 Dirty Pipe in the Linux kernel allows users on Linux hosts running containerized applications to modify files in container images on the host
👍1
Привет!
В последнее время участились случаи добавления в open source проекты модификаций, применимых при использовании на территории РФ.
Они могут быть безобидными для ИТ - например, вставка каких-то сообщений в логи, а могут быть и достаточно "ощутимыми" - например, перезапись содержимого файла (пример с VueJS).
Одним из выходов (по возможности) может быть явное указание версий (проверенных) используемого open source без обновления до последних/актуальных версий.
Второй - контроль и аналитика используемого open source в сборке и создание SBOM, чтобы оперативно понять - присутствует ли уязвимый компонент у вас или нет.
Есть инициатива по ведению реестра такого "искаженного" open source, пока что просто в google-документах. Если у вас есть, что добавить в этот перечень, нужно воспользоваться формой.
В последнее время участились случаи добавления в open source проекты модификаций, применимых при использовании на территории РФ.
Они могут быть безобидными для ИТ - например, вставка каких-то сообщений в логи, а могут быть и достаточно "ощутимыми" - например, перезапись содержимого файла (пример с VueJS).
Одним из выходов (по возможности) может быть явное указание версий (проверенных) используемого open source без обновления до последних/актуальных версий.
Второй - контроль и аналитика используемого open source в сборке и создание SBOM, чтобы оперативно понять - присутствует ли уязвимый компонент у вас или нет.
Есть инициатива по ведению реестра такого "искаженного" open source, пока что просто в google-документах. Если у вас есть, что добавить в этот перечень, нужно воспользоваться формой.
GitHub
!!!!!!!!!!!! Please do something to warn USERS besides publishing new versions · Issue #7054 · vuejs/vue-cli
See https://github.com/RIAEvangelist/node-ipc/issues/233#issuecomment-1068182278 the node-ipc is doing things far more than ever expected. If any users are using ip in russia, all their file will b...
👍3