Всем привет! На прошлой неделе мы с вами смотрели материалы по линейке продуктов от VMware, разбирались где заканчивается виртуализация и начинается контейнеризация. Разобрались (но это не точно).

К слову, возможности по виртуализации давно встроены в платформу Red Hat OpenShift. Такая интеграция позволяет обращаться с виртуалками как с контейнерами. Это может быть очень полезно и эффективно. Существует уже достаточно зрелый набор инструментов для работы с сетью и storage в таких контейнерных виртуалках. Кроме того, уже есть визарды по импорту виртуалок из существующих гипервизоров! Грань между виртуализацией и контейнеризацией стирается все больше и больше.

https://www.openshift.com/blog/blog-openshift-virtualization-whats-new-with-virtualization-from-red-hat

Привет!

Часто говорят, что DevSecOps - это во многом про общение. И системы/сервисы... не являются исключением! Ведь, во многом, DevSecOps это про большое количество интеграций, передачу данных между системами, взаимодействие различных сервисов и, конечно же, про автоматизацию!

Иногда хочется, получать информацию об изменениях в системах, как только они произошли! Хочется, чтобы одна система "сказала" другой - "Эй, смотри, у меня есть новые данные! Лови!". И такие механизмы есть! ) Один из них называется webhook. Несколько примеров использования:

📍Телеграм-бот, который оповестит вас о том, что произошел какой-то сбой в ИТ-инфраструктуре
📍Запуск сканирования реестра образов контейнеров при поступлении новых образов
📍Чуть посложнее: автоматическое создание exception в настройках средств защиты при согласовании его сотрудниками ИБ в task-management системе и многое другое!

Общий принцип можно свести к следующему: происходит изменение, о котором одна система оповещает другую и направляет ей данные. Вторая система получает данные и на основе их анализа предпринимает действие!

Более подробно про то, что это такое можно почитать по ссылке!

PANW NGFW CN!

Нет, это не котейка прошелся по клавиатуре и не заклинание для вызова Ктулху! :)

Это Palo Alto Networks Next Generation Firewall CN-Series - первый в мире NGFW для среды контейнеризации!
Хотите узнать больше? Регистрируйтесь на вебинар, который пройдет 2-ого июля 2020 года в 11:00 (время московское)!

Команда специалистов Aqua Security на днях опубликовала результаты исследования, в рамках которого проводился анализ заражённых образов. 

В процессе исследования специалисты компании отсканировали тысячи образов в Docker Hub и разбили их на группы, одна из которых привлекла особое внимание.

В группу попали 23 связанных между собой образа. Они были размещены в Docker Hub 7-ю разными людьми и, кроме этого, были связаны с 15-ю разными GitHub аккаунтами.

Позже специалисты выяснили, что эта инфраструктура принадлежит алжирской хакерской группировке DzMLT. 

Интересно, что образы были собраны так, чтобы снизить вероятность обнаружения вредоносного ПО внутри них при сканировании статическими утилитами.

Основные операции совершались после запуска контейнера, т.е. в runtime. Большинство контейнеров подключалось к GitHub, чтобы загрузить вредоносные элементы и криптомайнеры. 

В статье приводится детальное описание логики работы инфраструктуры и рекомендации в части обеспечения ИБ. Полное описание доступно по ссылке тут. 

Привет!

Последнее время все чаще спрашивают про инструменты, позволяющие автоматизировать процесс тестирования настроек ИТ-инфраструктуры. Любых. И по безопасности тоже. Одним из таких решений является Inspec spoiler: не Inspec’ом единым :)

Второй вопрос, который задают – «А что им можно протестировать?», ну и третий, мой самый любимый – «А это же можно сделать на Ansible! Зачем еще один инструмент?». Можно! В общем-то и на bash/powershell скриптах все можно, главное знать «как» и уметь «готовить» :)

По поводу первых двух вопросов есть отличная статья, в которой описывается что это за решение, как и когда его можно использовать. С примерами и ссылками на полезные материалы. Много! Есть даже ссылка на открытый канал, где можно задавать вопросы!!!

По поводу третьего вопроса… Все сложно. Одними из возможных ответов могут быть:

🍭 Распределение ролей и задач – например, Ansible используют Ops команды, а Inspec – Sec (хотя, Inspec это не только о безопасности, а об описании желаемого состояния сущности в общем).
🍭 Проверка состояния - убрав какой-нибудь модуль из Ansible playbook он не будет убран на сервере, что отлично может «поймать» Inspec.
🍭 Синтаксис - да, это тоже может стать веской причиной для использования альтернативного решения от Ansible.

Иногда встречается тезис, что Inspec это от Chef, поэтому в паре с Ansible он работает «хуже». Не соглашусь, но если такие опасения у вас все-таки есть, попробуйте посмотреть в сторону Testinfra!

Доброе утро!

DevOps Days! Вероятно, одна из самых первых конференций по нашей любимой теме, которая появилась в далеком 2009 году в Бельгии, а потом «дни» начали проходить во многих странах и городах мира, что стало отличной традицией!

И даже в наше странное время эта традиция не утеряна!!! Уже анонсированы следующие DevOps Days:

🍭 Нидерланды (free of charge)! Тюльпаны, оранжевый цвет и Эдвин ван дер Сар! Зарегистрироваться можно по ссылке. 9 июля, совсем скоро!

🍭 Чикаго! Ветер, прямоугольная пицца и зеленая река (в определенный день года :) ). Регистрация пока что не открыта, но можно подписаться на уведомления по ссылке. 1 сентября! Back to school!

🍭 Москва! Матрешка, балалайки и медведи Храмы, набережные и невероятно красивые парки! Точный срок мероприятия пока что не определен, отслеживать изменения можно по ссылке. В том году лично ходили на это мероприятие, было очень круто и атмосферно!

Как и большинство современных мероприятий DevOps Days планируются в online-формате :)

P.S. А какие конференции посещаете вы? Не стесняйтесь делиться об этом в чате! :)

Всем привет! На днях вышел новый релиз системы защиты контейнеров от Aqua Security – это Aqua CSP 5.0.

В этой версии были сделаны не просто улучшения, но и добавлены крутые функции, которыми мы не можем не поделиться.

Вот некоторые из них:
📍 Интеграция с «песочницей» для контейнеров (Aqua DTA), чтобы проводить динамический анализ образов до того, как они будут запущены как контейнеры в реальной инфраструктуре;
📍 Разграничение доступа на уровне приложений (Multi-Application RBAC). Например, кроме пользователя, роли и пула разрешений, теперь можно назначать к каким приложениям специалист сможет иметь доступ (артефакты, элементы кластера (workloads) или инфраструктуры);
📍 Реализация модели рисков (Risk-based Insights). По факту это объединение найденных уязвимостей в группы (например, Remote Exploit, Network Attack Vector и пр).

Кстати, в июне 2019 вышла новая версия фреймворка CVSS 3.1. В 5-й версии консоли Aqua CSP можно увидеть данные о доступности и типах эксплоитов, используемых для взлома уязвимых приложений.

На прошлой неделе мы писали про исследование компании Aqua Security, в рамках которого ее специалистами проводилось сканирование образов в Docker Hub и было выявлено несколько зараженных контейнеров хакерской группировки DzMLT.

В рамках исследования как раз использовался продукт Aqua DTA, упомянутый выше.

Сканирование с Aqua DTA реализуется или из реестра, или в процессе CI/CD-сборки.

Запуская контейнер внутри «защищенной среды», Aqua DTA изучает его поведение в течение нескольких минут, выявляя подозрительные сетевые взаимодействия, вредоносное ПО и multi-stage/zero-day атаки.

Пока продукт является облачным сервисом, но в будущем компания планирует сделать и on-prem версию.

Описание основных функций можно найти по ссылке.

Когда-то это должно было произойти. Вся интрига была - кто купит. Лишь бы красный гигант теперь не купил SUSE :)

https://rancher.com/press/suse-to-acquire-rancher/

"Persistent Storage в Kubernetes - да или нет? И если да - то как правильно?" - один из самых частых и непростых вопросов в мире контейнеризации. С одной стороны, не рекомендуется. С другой, потребность в этом есть, и причём устойчивая.

Можно сказать, что на текущий момент технологии в этом отношении ещё далеки от стадии зрелости. Community активно работает и ищет пути развития. В рамках такого развития рабочая группа CNCF (Storage SIG) обновила свой whitepaper. Это очень полезный документ, который по полочкам раскладывает такие аспекты как:

📍 Терминология
📍 Проблематика
📍 Подходы к реалищации
📍 Типы Storage

Кроме того в документе описано текущее состояние и планы по технологическому развитию persistent Storage в кубере. Рекомендуем к прочтению!

https://www.cncf.io/blog/2020/07/06/announcing-the-updated-cncf-storage-landscape-whitepaper/

TGIF! Всем привет!

Для того, чтобы приятно провести выходные и начать изучать нечто новое совсем не обязательно разворачивать инфраструктуру, устанавливать приложения и интегрировать системы. Можно, например, воспользоваться таким сервисом, как Katacoda!

Он предоставляет «виртуальное окружение», в котором можно попробовать свои силы и сделать первые шаги, например в:

🍭 Docker
🍭 Kubernetes
🍭 Jenkins
🍭 Ansible и многое другое

Сервис дает возможность доступа к playgrounds - сконфигурированным окружениям, в которых вы можете ознакомиться с технологией. Альтернативный вариант - добавить чуть больше системности к обучению и попробовать Labs - заранее подготовленные сценарии, в которых надо выполнять задания :)

Ну а если вы все знаете, то можете помочь в развитии community и создать обучающие курсы на свой вкус и цвет, которые будут размещены на платформе!

Возможно, что вы ищете курсы по отдельным темам. Да, такое тоже есть!

🍭 Docker!
🍭 Kubernetes!
🍭 Red Hat OpenShift!
🍭 Microservices!

И, напоследок... Хотите все-таки поднять окружение самостоятельно? Тогда вас может заинтересовать вот этот проект: DevSecOps-Studio! Окружение, в которое включены такие решения, как Metasploit, Brakeman, ZAP, Gaunlt, Gitlab CI/Jenkins и многое другое!!!

А какие курсы и/или площадки для практических экспериментов используете вы? Ждем ваших ответ в чате! :)

Отличных вам выходных!

Незаметно вышел релиз 4.5.1 Red Hat OpenShift Container Platform.

Важное из нового:

📍Kubernetes 1.18
📍Elasticseach обновился до 6.8.1, вместе с этим обновилась модель данных
📍 HAProxy 2.0.14
📍 Установка на vSphere через installer-provisioned infrastructure, т.е. полностью автоматическая
📍Официальная поддержка 3х-узловых кластеров на bare metal (без воркеров)
📍Стало удобнее обновление изолированных инсталляций
📍Descheduler все еще в Tech Preview, но появилась новая стратегия RemovePodsHavingTooManyRestarts
📍Vertical Pod Autoscaler Operator (Technology Preview) - автоматизация управления requests/limits через CR
📍В мониторинге продолжает развиваться гранулярный доступ из коробки
📍Много изменений в представлении для разработчиков
📍CSI volume cloning

Если здесь есть пользователи OpenShift, расскажите в чате, на какой вы версии сейчас? Интересно, перешли хотя бы на 4.x!?

GitOps, предложенный в 2017 WeaveWorks, находит все больше практического применения в Enterprise!!!

Вот и Red Hat выпустил свой гайд и лабу для практики на базе ArgoCD, OpenShift и относительно новой фичи - Advanced Cluster Management.

Да-да, там раскатывают приложение в HA конфигурации на 3 кластера и даже без растянутой Submariner сети)

Подброности можно прочитать по ссылке!)

Новый год в июле?!

Все мы долго ждали, и вот, наконец, это свершилось! OKD 4.5 is Generally Available!

CoreOS, операторы, developer catalog и прочие фичи из OpenShift, все как мы любим!

Без дальнейших рассуждений - бежим ставить новую версию и делиться своими впечатлениями в чате! :)

https://github.com/openshift/okd

Всем привет! Компания CyberArk, известный на российском рынке производитель PAM-решений, выпустила бесплатный продукт Secretless Broker.

По факту это прокси-сервер, который берет на себя функцию инъекции секретов в контейнеры. При этом приложению знать секрет совсем не требуется.

Как это работает:

🍭Приложение подключается к брокеру
🍭Брокер берет секрет из системы управления секретами
🍭Брокер инициирует сессию с целевой системой (например, к БД), используя секрет
🍭Брокер "соединяет" трафик между приложением и целевой системой

Брокер представляет собой sidecar контейнер, который разворачивается "рядом" с контейнером приложения.

Более детальную информацию можно получить тут.

Всем привет!

Есть свежий пост про новый функционал в Red Hat OpenShift 4.5.1!!!

С пылу с жару (еще неделя не прошла, ну почти :) ) ребята подготовили обстоятельный и подробный пост, доступный по ссылке!!!

Привет!

Если вам интересна статистика по использованию Open Source при разработке ПО, то рекомендуем обратить внимание на отчет компании Synopsys (2020 Open Source Security and Risk Analysis (OSSRA) Report).

Отчет содержит сводную информацию о таких аспектах как:

🍭 Использование Open Source в различных отраслях
🍭 Какой Open Source используют больше всего
🍭 Как часто не соблюдаются правила лицензирования Open Source
🍭 Информация о наиболее "популярных" уязвимостях в Open Source компонентах и многое другое

Скачать материал можно по ссылке :)

Вышла новая версия HashiCorp Vault 1.5!

Буквально на днях обновился этот крутой и популярный тул, который умеет secrets management, PKI и много чего ещё!!!
В новом релизе много фич, которые делают его ещё более годным для true Enterprise-внедрений.

Как вам такое?!
🍬 Нативная поддержка в Red Hat OpenShift
🍬 Поддержка HA Storage для разных бэкендов
🍬 Поддержка сертификатов VMware и NetApp ONTAP

Нам очень 👍! И это далеко не все :) Подробности можно прочитать тут: https://www.hashicorp.com/blog/vault-1-5/

Всем привет! Ещё один инструмент для аудита кластера Kubernetes с говорящим названием - kubeaudit.

Kubeaudit - это cli утилита, с помощью которой можно просканировать кластер на различные аспекты безопасности.

Например :
🍡Запуск контейнера из-под рута
🍡Наличие расширенных привилегий (capabilities)
🍡Отсутствие network policies с настройкой default-deny и пр.

Утилита поддерживает 3 режима работы:

🍡манифест - сканирование файла манифеста кластера. В этом режиме утилита также позволяет патчить конфигурацию кластера с использованием команды autofix
🍡локальный - сканирование файла конфигурации кластера (kube/config)
🍡режим кластера - сканирование всего кластера.

Более детальная информация доступна тут.

Привет! Этим теплым июльским днем хотим поделиться зимней историей, как наша команда автоматизировала ввод в строй нескольких десятков серверов у ритейлера, чтобы успеть модернизировать ЦОД к новогоднему пику продаж.

Комплекс управления конфигурациями сложился как матрешка:

☃️ Cobbler,
☃️ HashiCorp Vault,
☃️ Ansible и AWX,
☃️ и все покрыл Molecule


*Спойлер: ЦОД был вовремя модернизирован, а Дед Мороз доставил детям миллионы подарков! 🎁
https://habr.com/ru/company/jetinfosystems/blog/513132/