Удаление «старых» образов/контейнеров в Kubernetes
Всем привет!
Не всегда получается поддерживать актуальность используемых образов/контейнеров в кластерах Kubernetes. Альтернативный сценарий – unused images, которые могут храниться на узлах.
Хорошо, что у Kubernetes есть собственный механизм garbage collection, которому посвящена статья. Если просто – то многое зависит от размера образа и времени его последнего использования. Например, большой образ, который использовался неделю назад будет с большей вероятностью удален, чем небольшой и используемый «вчера».
Однако, это можно настроить через манифесты Kubelet:
🍭 Указать необходимый disk threshold
🍭 Задавать определенное количество dead containers (по умолчанию отсутствует)
🍭 Количество минут, через которое контейнер будет считаться «старым» и станет кандидатом на устранение (по умолчанию отсутствует) и не только
Статья 2021 года, но механизмы актуальны. Есть направления по переходу на механизм eviction, который может заменить garbage collection в будущем.
Всем привет!
Не всегда получается поддерживать актуальность используемых образов/контейнеров в кластерах Kubernetes. Альтернативный сценарий – unused images, которые могут храниться на узлах.
Хорошо, что у Kubernetes есть собственный механизм garbage collection, которому посвящена статья. Если просто – то многое зависит от размера образа и времени его последнего использования. Например, большой образ, который использовался неделю назад будет с большей вероятностью удален, чем небольшой и используемый «вчера».
Однако, это можно настроить через манифесты Kubelet:
🍭 Указать необходимый disk threshold
🍭 Задавать определенное количество dead containers (по умолчанию отсутствует)
🍭 Количество минут, через которое контейнер будет считаться «старым» и станет кандидатом на устранение (по умолчанию отсутствует) и не только
Статья 2021 года, но механизмы актуальны. Есть направления по переходу на механизм eviction, который может заменить garbage collection в будущем.
How-To Geek
How to Clean Up Old Containers and Images in Your Kubernetes Cluster
An active Kubernetes cluster can accumulate old containers and images. Ensuring discarded resources are removed when redundant helps to free up resources on your cluster’s nodes. Here’s how to approach garbage collection in Kubernetes.
👍2
AdminNetworkPolicy
Всем привет!
У сетевых политик Kubernetes есть известный недостаток – отсутствие cluster wide сущностей. По крайней мере у «Native Network Policy». Некоторые CNI, такие как Cilium и Calico, реализуют требуемый механизм. Именно по этой причине невозможно создать сетевую политику, которая, применится ко всему кластеру.
У Kubernetes есть разные SIG, одной из которых является Network. В рамках одного из enhancements Авторы предлагают нововведение – AdminNetworkPolicy, которая решает указанную проблему. При этом разработчики не смогут на нее влиять, а на «обычную» Network Policy – вполне.
Это достигается за счет нового ресурса – AdminNeworkPolicy, который работает в нескольких «режимах»:
🍭 Deny: запрет всего трафика
🍭 Allow: трафик разрешен
🍭 Pass: самое интересное – «решение» о том, разрешать трафик или нет, передается на уровень обычной NetworkPolicy
Увы, функционал пока не реализован, но сам подход достаточно интересный. Больше про user stories и примеры того, как это можно использовать можно найти в описании enhancement. А если хочется еще больше, то можно посмотреть короткое видео (~ 22 минуты), где Авторы рассказывают про этот механизм.
Всем привет!
У сетевых политик Kubernetes есть известный недостаток – отсутствие cluster wide сущностей. По крайней мере у «Native Network Policy». Некоторые CNI, такие как Cilium и Calico, реализуют требуемый механизм. Именно по этой причине невозможно создать сетевую политику, которая, применится ко всему кластеру.
У Kubernetes есть разные SIG, одной из которых является Network. В рамках одного из enhancements Авторы предлагают нововведение – AdminNetworkPolicy, которая решает указанную проблему. При этом разработчики не смогут на нее влиять, а на «обычную» Network Policy – вполне.
Это достигается за счет нового ресурса – AdminNeworkPolicy, который работает в нескольких «режимах»:
🍭 Deny: запрет всего трафика
🍭 Allow: трафик разрешен
🍭 Pass: самое интересное – «решение» о том, разрешать трафик или нет, передается на уровень обычной NetworkPolicy
Увы, функционал пока не реализован, но сам подход достаточно интересный. Больше про user stories и примеры того, как это можно использовать можно найти в описании enhancement. А если хочется еще больше, то можно посмотреть короткое видео (~ 22 минуты), где Авторы рассказывают про этот механизм.
GitHub
enhancements/keps/sig-network/2091-admin-network-policy at master · kubernetes/enhancements
Enhancements tracking repo for Kubernetes. Contribute to kubernetes/enhancements development by creating an account on GitHub.
👍1
YaraHunter: идентификация malware
Привет!
YaraHunter – небольшая утилита, которая позволяет идентифицировать вредоносное ПО. С правилами, на основании которых происходит идентификация можно ознакомиться тут.
При помощи утилиты можно:
🍭 Искать вредоносное ПО в образах контейнеров, контейнерах и на файловой системе
🍭 Встраивать в CI/CD pipeline
🍭 Получать результаты в машиночитаемом формате – JSON
Пока что YaraHunter находится на стадии разработки. Одной из интересных функций будет интеграция с ThreatMapper – решением по управлению уязвимостями от того же Deepfence, про который мы писали тут. Увы, roadmap, как и документация на решение, пока что возвращают 404.
Привет!
YaraHunter – небольшая утилита, которая позволяет идентифицировать вредоносное ПО. С правилами, на основании которых происходит идентификация можно ознакомиться тут.
При помощи утилиты можно:
🍭 Искать вредоносное ПО в образах контейнеров, контейнерах и на файловой системе
🍭 Встраивать в CI/CD pipeline
🍭 Получать результаты в машиночитаемом формате – JSON
Пока что YaraHunter находится на стадии разработки. Одной из интересных функций будет интеграция с ThreatMapper – решением по управлению уязвимостями от того же Deepfence, про который мы писали тут. Увы, roadmap, как и документация на решение, пока что возвращают 404.
GitHub
GitHub - deepfence/YaraHunter: 🔍🔍 Malware scanner for cloud-native, as part of CI/CD and at Runtime 🔍🔍
🔍🔍 Malware scanner for cloud-native, as part of CI/CD and at Runtime 🔍🔍 - deepfence/YaraHunter
👍2
GuardDog: идентификация вредоносных python-пакетов
Всем привет!
Команда Datadog подготовила отличную статью, посвященную анализу безопасности python-пакетов и инструменту, который был создан для их анализа.
После исследования нескольких пакетов, команда пришла к выводу, что большинство вредоносных пакетов используются для Initial Access (например, typosquatting), Code Execution (eval/exec для получения нужного файла) и Exfiltration (передача данных различными способами).
Для идентификации подобных пакетов ребята разработали GuardDog. Инструмент не анализирует пакеты на наличие CVE, как делает большинство SCA-решений, а использует SAST-практики. Примечательно, что анализу подлежит не только исходный код, но и метаданные пакета.
В качестве основы GuardDog используется Semgrep, с правилами идентификации уязвимостей в коде можно ознакомиться тут. Для анализа метаданных ребята подготовили собственные проверки, которые доступны вот тут.
В итоге получилась достаточно занятная утилита. Настоятельно рекомендуем ознакомиться со статьей – в ней есть примеры запуска, много сведений об анализе python-пакетов и о том, что они могут содержать. Читается легко и непринужденно. Как раз то, что нужно для пятницы!
Всем привет!
Команда Datadog подготовила отличную статью, посвященную анализу безопасности python-пакетов и инструменту, который был создан для их анализа.
После исследования нескольких пакетов, команда пришла к выводу, что большинство вредоносных пакетов используются для Initial Access (например, typosquatting), Code Execution (eval/exec для получения нужного файла) и Exfiltration (передача данных различными способами).
Для идентификации подобных пакетов ребята разработали GuardDog. Инструмент не анализирует пакеты на наличие CVE, как делает большинство SCA-решений, а использует SAST-практики. Примечательно, что анализу подлежит не только исходный код, но и метаданные пакета.
В качестве основы GuardDog используется Semgrep, с правилами идентификации уязвимостей в коде можно ознакомиться тут. Для анализа метаданных ребята подготовили собственные проверки, которые доступны вот тут.
В итоге получилась достаточно занятная утилита. Настоятельно рекомендуем ознакомиться со статьей – в ней есть примеры запуска, много сведений об анализе python-пакетов и о том, что они могут содержать. Читается легко и непринужденно. Как раз то, что нужно для пятницы!
Datadoghq
Finding malicious PyPI packages through static code analysis: Meet GuardDog
GuardDog is an open-source tool to identify malicious PyPI packages through source code and metadata analysis
👍5
API Hacking Tree & API Security Checklist
Всем привет!
По ссылке доступен mind map, посвященный API Hacking. Материал структурирован по двум основным направлениям: Reconnaissance и Security Testing.
Указанные направления детализируются далее, например:
🍭 Search for APIs
🍭 Enumerate endpoints/methods
🍭 Excessive data exposure
🍭 Improper asset management и другие
Для каждого «листа» дерева приводится дополнительная информация: способы реализации, ссылки на полезные материалы/статьи.
Может быть удобно использовать еще с одним проектом – API Security Checklist. У последнего есть даже перевод на русский язык.
Всем привет!
По ссылке доступен mind map, посвященный API Hacking. Материал структурирован по двум основным направлениям: Reconnaissance и Security Testing.
Указанные направления детализируются далее, например:
🍭 Search for APIs
🍭 Enumerate endpoints/methods
🍭 Excessive data exposure
🍭 Improper asset management и другие
Для каждого «листа» дерева приводится дополнительная информация: способы реализации, ссылки на полезные материалы/статьи.
Может быть удобно использовать еще с одним проектом – API Security Checklist. У последнего есть даже перевод на русский язык.
Whimsical
KARTIK GUPTA
Whimsical combines whiteboards and docs in an all-in-one collaboration hub.
👍5
Supply Chain: защита SCM
Всем привет!
Статья, посвященная анализу ИБ систем управления исходным кодом (Source Code Management, SCM) на примере GitHub. В статье Автор определяет 3 основные цели злоумышленника, вокруг которых в дальнейшем будет построена статья. Этими целями являются: Submit malicious source code, Delete source code, Push a release tag pointing to vulnerable commit.
Далее Автор рассматривает каждую цель с двух сторон:
🍭 Read Team: что надо сделать, чтобы достичь целей?
🍭 Blue Team: что надо сделать, чтобы помешать злоумышленнику?
Отличительной особенностью статьи является наличие Attack Trees и Defense Trees, которые визуализирую действия злоумышленника или защитников. Для каждой цели описывается как ее можно достичь или рекомендации, как этому можно противодействовать.
В заключение статьи можно найти перечень возможностей GitHub, которые упоминались в статье. В целом рассмотренный подход можно применять и к другим SCM (GitLab, Bitbucket и т.д.).
«Деревья» доступны на GitHub. Если верить Автору, то материал будет дорабатываться со временем.
Всем привет!
Статья, посвященная анализу ИБ систем управления исходным кодом (Source Code Management, SCM) на примере GitHub. В статье Автор определяет 3 основные цели злоумышленника, вокруг которых в дальнейшем будет построена статья. Этими целями являются: Submit malicious source code, Delete source code, Push a release tag pointing to vulnerable commit.
Далее Автор рассматривает каждую цель с двух сторон:
🍭 Read Team: что надо сделать, чтобы достичь целей?
🍭 Blue Team: что надо сделать, чтобы помешать злоумышленнику?
Отличительной особенностью статьи является наличие Attack Trees и Defense Trees, которые визуализирую действия злоумышленника или защитников. Для каждой цели описывается как ее можно достичь или рекомендации, как этому можно противодействовать.
В заключение статьи можно найти перечень возможностей GitHub, которые упоминались в статье. В целом рассмотренный подход можно применять и к другим SCM (GitLab, Bitbucket и т.д.).
«Деревья» доступны на GitHub. Если верить Автору, то материал будет дорабатываться со временем.
Medium
SLSA dip — At the Source of the problem!
This article is part of a multi-part series about the security of the software supply chain. We will be analyzing in depth each component…
👍3
Supply Chain: защита Build
Всем привет!
Продолжение вчерашнего поста, посвященного защите окружения разработки. На этот раз рассматривается Build-окружение.
Как и в предыдущем материале Автор определяет 3 основные цели злоумышленника:
🍭 Compromise the Build artifact
🍭 Compromise the self-hosted runner
🍭 Pivot to other resources
Далее рассматриваются Attack и Defense Trees. Материал содержит много ссылок на сведения по теме, конфигурацию окружения и лучшие практики, посвященные тематике. Итоговое «дерево» доступно по ссылке или на GitHub Автора.
Всем привет!
Продолжение вчерашнего поста, посвященного защите окружения разработки. На этот раз рассматривается Build-окружение.
Как и в предыдущем материале Автор определяет 3 основные цели злоумышленника:
🍭 Compromise the Build artifact
🍭 Compromise the self-hosted runner
🍭 Pivot to other resources
Далее рассматриваются Attack и Defense Trees. Материал содержит много ссылок на сведения по теме, конфигурацию окружения и лучшие практики, посвященные тематике. Итоговое «дерево» доступно по ссылке или на GitHub Автора.
Medium
SLSA dip — It’s Build Time!
This article is part of a multi-part series about the security of the software supply chain. We will be analyzing in depth each component…
👍3
Всем привет!
А вы участвуете в Highload 24-25 ноября в Москве?
Если да, то приходите к нам на стенд "Инфосистемы Джет", пообщаемся, ответим на ваши вопросы, поделимся опытом:
🕶 как делать DevSecOps в крупных компаниях,
🕶 как создать гибкую отказоустойчивую инфраструктуру,
🕶 как настроить интегрированный мониторинг,
🕶 как защищать контейнеры и обеспечить безопасность разработки
🔥 В треке «DevOps в Enterprise» наш эксперт Юрий Семенюков расскажет о том, как и на что можно заменить enterprise-решения и инструменты в части платформ управления контейнерами.
🎁 На нашем стенде можно сыграть в тематический квиз и получить призы)
Увидимся на Highload!!!
А вы участвуете в Highload 24-25 ноября в Москве?
Если да, то приходите к нам на стенд "Инфосистемы Джет", пообщаемся, ответим на ваши вопросы, поделимся опытом:
🕶 как делать DevSecOps в крупных компаниях,
🕶 как создать гибкую отказоустойчивую инфраструктуру,
🕶 как настроить интегрированный мониторинг,
🕶 как защищать контейнеры и обеспечить безопасность разработки
🔥 В треке «DevOps в Enterprise» наш эксперт Юрий Семенюков расскажет о том, как и на что можно заменить enterprise-решения и инструменты в части платформ управления контейнерами.
🎁 На нашем стенде можно сыграть в тематический квиз и получить призы)
Увидимся на Highload!!!
🔥8👏2🌭2👻2
Доброго пятничного утра!
Хотите поиграть?
Заходите на страничку, созданную по мотивам нашего участия в Highload и проходите квиз!
Первые 100 участников, ответившие верно на 60% вопросов получат в качестве приза классные DevSecOps носки 🎁
Там же вы найдете вакансии и видео-ролик о нашей команде.
Пройти квиз
Хотите поиграть?
Заходите на страничку, созданную по мотивам нашего участия в Highload и проходите квиз!
Первые 100 участников, ответившие верно на 60% вопросов получат в качестве приза классные DevSecOps носки 🎁
Там же вы найдете вакансии и видео-ролик о нашей команде.
Пройти квиз
👍6🎉5🔥2
The State of Kubernetes Open Source Security.pdf
737.1 KB
The State of Kubernetes Open Source Security
Привет!
В приложении доступен отчет от Armo, посвященный использованию open source решений для защиты Kubernetes. Были опрошены 200 специалистов различных ролей из Америки, Европы и APAC.
Результаты оказались достаточно интересными:
🍭 Больше половины компаний использует open source. И не один (в среднем – около 3-4 решений). Тут все просто: как правило OSS решает одну задачу, чего бывает недостаточно
🍭 Больше всего commercial решений там, где требуется runtime. ServiceMesh, анализ конфигураций – как правило open source
🍭 Самое большое опасение в commercial-решениях – это… blackbox! Недостаточно видимости того, что «внутри»
🍭 Самая большая сложность по мнению опрошенных – интеграция таких решений в существующее окружение. Отчасти это может быть обусловлено их «количеством»
🍭 И, конечно же, K8S Security не «самостоятельная дисциплина», а часть программы Cloud Security. Надеемся, что и у нас будет также
В отчете есть еще много чего интересного: challenges, частота сканирования, time-to-fix и т.д. Большое количество графики, текст по сути. Рекомендуем!
Привет!
В приложении доступен отчет от Armo, посвященный использованию open source решений для защиты Kubernetes. Были опрошены 200 специалистов различных ролей из Америки, Европы и APAC.
Результаты оказались достаточно интересными:
🍭 Больше половины компаний использует open source. И не один (в среднем – около 3-4 решений). Тут все просто: как правило OSS решает одну задачу, чего бывает недостаточно
🍭 Больше всего commercial решений там, где требуется runtime. ServiceMesh, анализ конфигураций – как правило open source
🍭 Самое большое опасение в commercial-решениях – это… blackbox! Недостаточно видимости того, что «внутри»
🍭 Самая большая сложность по мнению опрошенных – интеграция таких решений в существующее окружение. Отчасти это может быть обусловлено их «количеством»
🍭 И, конечно же, K8S Security не «самостоятельная дисциплина», а часть программы Cloud Security. Надеемся, что и у нас будет также
В отчете есть еще много чего интересного: challenges, частота сканирования, time-to-fix и т.д. Большое количество графики, текст по сути. Рекомендуем!
👍5
Приглашаем принять участие в серии вебинаров «Как крупному бизнесу развивать ИТ за счет публичного облака и делать это безопасно».
Эксперты «Инфосистемы Джет» и Yandex Cloud раскроют тему с двух сторон: ИТ и ИБ, поэтому участие будет интересно как ИТ-менеджменту, так и ИБ-специалистам.
2 декабря, 11:00–12:30
«Как использовать облака в инфраструктуре предприятия»:
🔹Сценарии применения публичного облака для крупного бизнеса
🔹Локализация ИТ-инфраструктуры в России на базе облака
🔹Безопасность облачных сред
Зарегистрироваться
9 декабря, 11:00–12:30
«Безопасность публичных облаков для крупных компаний»:
🔹5 вопросов, которые нужно решить перед началом миграции
🔹Подводные камни, встречающиеся при миграции в облако. Что нужно учесть?
🔹Экспертный подход к защите публичного облака
Зарегистрироваться
Эксперты «Инфосистемы Джет» и Yandex Cloud раскроют тему с двух сторон: ИТ и ИБ, поэтому участие будет интересно как ИТ-менеджменту, так и ИБ-специалистам.
2 декабря, 11:00–12:30
«Как использовать облака в инфраструктуре предприятия»:
🔹Сценарии применения публичного облака для крупного бизнеса
🔹Локализация ИТ-инфраструктуры в России на базе облака
🔹Безопасность облачных сред
Зарегистрироваться
9 декабря, 11:00–12:30
«Безопасность публичных облаков для крупных компаний»:
🔹5 вопросов, которые нужно решить перед началом миграции
🔹Подводные камни, встречающиеся при миграции в облако. Что нужно учесть?
🔹Экспертный подход к защите публичного облака
Зарегистрироваться
🔥6
Общий взгляд на анализ безопасности K8S
Всем привет!
В первой статье собрана информация о возможных ИБ-недостатках Kubernetes, агрегированная по таким вектором атак, как:
🍭 Attack K8S Components (api-server, etcd, kubelet, kube-proxy)
🍭 Attack the external services
🍭 Attack the business pod
🍭 Container escape
Вторая статья посвящена иным векторам атак:
🍭 Lateral movement
🍭 Attack on third-party components
Обе статьи неплохо описывает концепты и возможные действия злоумышленника. Например, на что обращать внимание на стадии reconnaissance и на что в первую очередь обратят внимание. Материал не содержит что-либо «космическое». Однако, даже такие дефекты можно найти во многих инсталляциях K8S. Радует то, что поправить это не сложно и есть много информации о том, как это сделать.
Завершает статьи перечень недостатков в конфигурации pod’ов и перечень CVE, на которые обязательно стоит обратить внимание с точки зрения ИБ, сгруппированные по компонентам, которым они «принадлежат».
Всем привет!
В первой статье собрана информация о возможных ИБ-недостатках Kubernetes, агрегированная по таким вектором атак, как:
🍭 Attack K8S Components (api-server, etcd, kubelet, kube-proxy)
🍭 Attack the external services
🍭 Attack the business pod
🍭 Container escape
Вторая статья посвящена иным векторам атак:
🍭 Lateral movement
🍭 Attack on third-party components
Обе статьи неплохо описывает концепты и возможные действия злоумышленника. Например, на что обращать внимание на стадии reconnaissance и на что в первую очередь обратят внимание. Материал не содержит что-либо «космическое». Однако, даже такие дефекты можно найти во многих инсталляциях K8S. Радует то, что поправить это не сложно и есть много информации о том, как это сделать.
Завершает статьи перечень недостатков в конфигурации pod’ов и перечень CVE, на которые обязательно стоит обратить внимание с точки зрения ИБ, сгруппированные по компонентам, которым они «принадлежат».
Tutorial Boy
A Detailed Talk about K8S Cluster Security from the Perspective of Attackers (Part 1)
👍3
Пишем свой первый Admission Controller
Всем привет!
Один из самых простых способов понять что-либо – сделать это самому! Если вам интересна тема Validating и Mutating Webhooks и Вы хотите «копнуть глубже» в то, что происходит «под капотом», то эта статья может Вам подойти.
В ней Автор предлагает вместе с ним написать свои собственные реализации Admission Controller, которые проверяют, что image взят с Dockerhub. Не самый лучший вариант с точки зрения ИБ, но в качестве базового примера – самое оно. Потребуется
Далее по шагам разобраны моменты:
🍭 Создание web-server (а Validating/Mutating Webhooks ничто иное как они)
🍭 Проработка логики проверок и/или изменений конфигурации создаваемого в кластере ресурса
🍭 Создание сертификатов с использованием cert-manager
🍭 Регистрация созданных webhooks и, конечно же, тестирование!
В статье все подробно описано, доступны примеры кода (включая итоговый проект). Все по полочкам! Очень рекомендуем повторить этот Путь 😊
Всем привет!
Один из самых простых способов понять что-либо – сделать это самому! Если вам интересна тема Validating и Mutating Webhooks и Вы хотите «копнуть глубже» в то, что происходит «под капотом», то эта статья может Вам подойти.
В ней Автор предлагает вместе с ним написать свои собственные реализации Admission Controller, которые проверяют, что image взят с Dockerhub. Не самый лучший вариант с точки зрения ИБ, но в качестве базового примера – самое оно. Потребуется
minikube (или «обычный» кластер k8s), golang, make и ko.Далее по шагам разобраны моменты:
🍭 Создание web-server (а Validating/Mutating Webhooks ничто иное как они)
🍭 Проработка логики проверок и/или изменений конфигурации создаваемого в кластере ресурса
🍭 Создание сертификатов с использованием cert-manager
🍭 Регистрация созданных webhooks и, конечно же, тестирование!
В статье все подробно описано, доступны примеры кода (включая итоговый проект). Все по полочкам! Очень рекомендуем повторить этот Путь 😊
Kubesimplify
DIY: How To Build A Kubernetes Policy Engine
With the help of Kubernetes Admission Controller, Go, cert-manager and ko!
👍4
Kubeshark: анализ сети k8s
Всем привет!
Да, Вам не показалось. Wireshark для Kubernetes – Kubeshark! Хотя, согласно документации, Kubeshark – некоторая «смесь» Wireshark и BPF Compiler Collection Tools.
Kubeshark позволяет:
🍭 Выполнять sniffing TCP трафика в кластере и записывать их в PCAP-файлы
🍭 Анализировать трафик за счет enforce-policy
🍭 Создавать карту связности сервисов
🍭 Разбирать протоколы HTTP (1.0, 1.1, 2), AMPQ, Apache Kafka, Redis и не только
Решение обладает web-интерфейсом, упрощающим работу по анализу трафика. Подробнее с Kubeshark можно познакомиться при помощи документации.
Всем привет!
Да, Вам не показалось. Wireshark для Kubernetes – Kubeshark! Хотя, согласно документации, Kubeshark – некоторая «смесь» Wireshark и BPF Compiler Collection Tools.
Kubeshark позволяет:
🍭 Выполнять sniffing TCP трафика в кластере и записывать их в PCAP-файлы
🍭 Анализировать трафик за счет enforce-policy
🍭 Создавать карту связности сервисов
🍭 Разбирать протоколы HTTP (1.0, 1.1, 2), AMPQ, Apache Kafka, Redis и не только
Решение обладает web-интерфейсом, упрощающим работу по анализу трафика. Подробнее с Kubeshark можно познакомиться при помощи документации.
GitHub
GitHub - kubeshark/kubeshark: The API traffic analyzer for Kubernetes providing real-time K8s protocol-level visibility, capturing…
The API traffic analyzer for Kubernetes providing real-time K8s protocol-level visibility, capturing and monitoring all traffic and payloads going in, out and across containers, pods, nodes and clu...
👍5
Yet Another Kubernetes Dashboard
Всем привет!
Тема потребности наличия графического интерфейса Kubernetes достаточно спорная. С одной стороны все можно делать при помощи(почти как звезды).
В статье собрана общая информация о том, какие есть варианты – от весьма известных до недавно появившихся:
🍭 Lens
🍭 Octant
🍭 Kubevious
🍭 Kubenav и другие
Для каждого рассматриваемого графического интерфейса кратко описываются его возможности, сильные и слабые стороны.
А что думаете Вы? Нужна ли «графика» или одной лишь консоли вполне достаточно для полноценной работы? Пишите в комментариях 😊
Всем привет!
Тема потребности наличия графического интерфейса Kubernetes достаточно спорная. С одной стороны все можно делать при помощи
kubectl, с другой – такие проекты нет-нет, да и появляются, а значит они кому-то нужны В статье собрана общая информация о том, какие есть варианты – от весьма известных до недавно появившихся:
🍭 Lens
🍭 Octant
🍭 Kubevious
🍭 Kubenav и другие
Для каждого рассматриваемого графического интерфейса кратко описываются его возможности, сильные и слабые стороны.
А что думаете Вы? Нужна ли «графика» или одной лишь консоли вполне достаточно для полноценной работы? Пишите в комментариях 😊
Medium
YAKD: Yet Another Kubernetes Dashboard
No, YAKD is not a new Kubernetes Dashboard project, but that could be a good name for a new Kubernetes Dashboard application.
Примеры использования Network Policy
Всем привет!
В статье рассматривается создание Network Policy для защиты приложения, которое состоит из трех компонентов: Frontend (взаимодействие с Пользователями), Backend (логика) и Database (данные).
Для приложения:
🍭 Создаются отдельные namespace для каждого компонента приложения. Для демонстрации работы Network Policy, если компоненты будут размещены в одном namespace, логика сохранится
🍭Описываются возможные Security Risks и способы их преодоления с использованием Network Policy
🍭Создаются Network Policy для сегментирования трафика приложения между его компонентами
🍭Осуществляется проверка того, что все работает как надо
Схемы, описание, код – все на месте. Если хочется больше примеров использования Network Policy, то их можно найти на сайте networkpolicy.io, в котором собрана как теоретическая информация, так и разные примеры реализации сетевых политик.
Всем привет!
В статье рассматривается создание Network Policy для защиты приложения, которое состоит из трех компонентов: Frontend (взаимодействие с Пользователями), Backend (логика) и Database (данные).
Для приложения:
🍭 Создаются отдельные namespace для каждого компонента приложения. Для демонстрации работы Network Policy, если компоненты будут размещены в одном namespace, логика сохранится
🍭Описываются возможные Security Risks и способы их преодоления с использованием Network Policy
🍭Создаются Network Policy для сегментирования трафика приложения между его компонентами
🍭Осуществляется проверка того, что все работает как надо
Схемы, описание, код – все на месте. Если хочется больше примеров использования Network Policy, то их можно найти на сайте networkpolicy.io, в котором собрана как теоретическая информация, так и разные примеры реализации сетевых политик.
Medium
Network Policy to Secure Workloads on Kubernetes Cluster
Secure your single/multi-tenant cluster using network policies
😁2
APISec University
Всем привет!
По ссылке можно зарегистрироваться и пройти курсы, посвященные API Secuirty. Бесплатно. На текущий момент доступен только один – «API Penetration Testing Course».
Курс содержим в себе разделы:
🍭 Introduction
🍭 API Reconnaissance
🍭 Endpoint Analysis
🍭 Scanning APIs
🍭 Exploiting API Authorization и другие
Надеемся, что в скором времени станут доступны и другие – «API Security Defender» и «APIsec Certified User».
Всем привет!
По ссылке можно зарегистрироваться и пройти курсы, посвященные API Secuirty. Бесплатно. На текущий момент доступен только один – «API Penetration Testing Course».
Курс содержим в себе разделы:
🍭 Introduction
🍭 API Reconnaissance
🍭 Endpoint Analysis
🍭 Scanning APIs
🍭 Exploiting API Authorization и другие
Надеемся, что в скором времени станут доступны и другие – «API Security Defender» и «APIsec Certified User».
🔥6👍1
SigNoz: Application Performance Monitoring (APM)
Всем привет!
SigNoz – open source решение, которое позволяет осуществлять мониторинг производительности приложений, что упрощает поиск ошибок.
Решение позволяет:
🍭 Осуществлять мониторинг Latency, RPS, Error Rates
🍭 Анализировать потребление CPU и RAM
🍭 Анализировать пользовательские запросы и логи приложения
🍭 Создавать Service Map, где указано взаимодействие сервисов
🍭 Настраивать alerting через различные каналы уведомлений (Slack, PagerDuty, Webhook)
Решение обладает web-интерфейсом. С тем, как именно устроен SigNoz, детальным описанием его возможностей можно ознакомиться в документации. Отдельно хочется отметить раздел «Tutorials», в котором приводятся инструкции по использованию SigNoz. Например, как настроить сбор метрик в k8s или как писать запросы к ClickHouse для создания dashboards.
Всем привет!
SigNoz – open source решение, которое позволяет осуществлять мониторинг производительности приложений, что упрощает поиск ошибок.
Решение позволяет:
🍭 Осуществлять мониторинг Latency, RPS, Error Rates
🍭 Анализировать потребление CPU и RAM
🍭 Анализировать пользовательские запросы и логи приложения
🍭 Создавать Service Map, где указано взаимодействие сервисов
🍭 Настраивать alerting через различные каналы уведомлений (Slack, PagerDuty, Webhook)
Решение обладает web-интерфейсом. С тем, как именно устроен SigNoz, детальным описанием его возможностей можно ознакомиться в документации. Отдельно хочется отметить раздел «Tutorials», в котором приводятся инструкции по использованию SigNoz. Например, как настроить сбор метрик в k8s или как писать запросы к ClickHouse для создания dashboards.
GitHub
GitHub - SigNoz/signoz: SigNoz is an open-source observability platform native to OpenTelemetry with logs, traces and metrics in…
SigNoz is an open-source observability platform native to OpenTelemetry with logs, traces and metrics in a single application. An open-source alternative to DataDog, NewRelic, etc. 🔥 🖥. 👉 Open s...
🔥2
AquaNautilus Container Attacks Catalog 2022.pdf
6.8 MB
Container Attacks Catalog
Всем привет!
Team Nautilus, являющаяся частью Aqua Security, подготовила отчет об атаках на среды контейнеризации за 2022 год.
В отчете можно найти:
🍭 Общую статистику, распределение по типам образов, используемых для атак, географию атак и т.д.
🍭 Образы контейнеров, которые чаще других использовались в атаках
🍭 Общее описание атак, включающее в себя: image name, impact, category, entry point и т.д.
В целом получилась интересная агрегации информации об атаках на контейнеры за 2022 год. Особенностью отчета является то, что это не теория. В качестве «подопытных» рассматривалась honey pot сеть, которая собирала данные с 1-ого января по 1-ое ноября 2022 года.
Всем привет!
Team Nautilus, являющаяся частью Aqua Security, подготовила отчет об атаках на среды контейнеризации за 2022 год.
В отчете можно найти:
🍭 Общую статистику, распределение по типам образов, используемых для атак, географию атак и т.д.
🍭 Образы контейнеров, которые чаще других использовались в атаках
🍭 Общее описание атак, включающее в себя: image name, impact, category, entry point и т.д.
В целом получилась интересная агрегации информации об атаках на контейнеры за 2022 год. Особенностью отчета является то, что это не теория. В качестве «подопытных» рассматривалась honey pot сеть, которая собирала данные с 1-ого января по 1-ое ноября 2022 года.
👍2
Всем привет!
Мероприятие не совсем про DevSecOps, но Linux - штука крайне полезная и никогда не будет лишним.
Поэтому будем рады, если Вы 21 декабря в 11:00 подключитесь к онлайн-трансляции. Разберем тему безопасности Linux с практической стороны. Бесплатно.
В программе:
🔹Безопасность ядра Linux: в теории и на практике
Александр Попов, главный исследователь безопасности открытых операционных систем, Positive Technologies
🔹Обзор популярных уязвимостей Unix
Владимир Ротанов, руководитель группы практического анализа защищенности, «Инфосистемы Джет»
🔹Харденинг Linux
Антон Велижанинов, старший инженер по ИБ, «Инфосистемы Джет»
🔹Особенности вредоносного ПО под Linux-системы
Ярослав Шмелев, вирусный аналитик, «Лаборатория Касперского»
🔹Разбираем кейс по форензике
Александр Матвиенко, руководитель группы защиты от утечек информации, «Инфосистемы Джет»
🔹Анализ логов в Unix-системах
Артем Крикунов, аналитик центра мониторинга и реагирования Jet CSIRT
Слушай доклады ➡️ Выполняй задания киберучений ➡️ Отрабатывай практические навыки в ИБ!
Регистрация по ссылке
Мероприятие не совсем про DevSecOps, но Linux - штука крайне полезная и никогда не будет лишним.
Поэтому будем рады, если Вы 21 декабря в 11:00 подключитесь к онлайн-трансляции. Разберем тему безопасности Linux с практической стороны. Бесплатно.
В программе:
🔹Безопасность ядра Linux: в теории и на практике
Александр Попов, главный исследователь безопасности открытых операционных систем, Positive Technologies
🔹Обзор популярных уязвимостей Unix
Владимир Ротанов, руководитель группы практического анализа защищенности, «Инфосистемы Джет»
🔹Харденинг Linux
Антон Велижанинов, старший инженер по ИБ, «Инфосистемы Джет»
🔹Особенности вредоносного ПО под Linux-системы
Ярослав Шмелев, вирусный аналитик, «Лаборатория Касперского»
🔹Разбираем кейс по форензике
Александр Матвиенко, руководитель группы защиты от утечек информации, «Инфосистемы Джет»
🔹Анализ логов в Unix-системах
Артем Крикунов, аналитик центра мониторинга и реагирования Jet CSIRT
Слушай доклады ➡️ Выполняй задания киберучений ➡️ Отрабатывай практические навыки в ИБ!
Регистрация по ссылке
🔥9👍4🥰1🐳1🌭1
OSV-Scanner: Vulnerability Scanner for Open Source
Всем привет!
13 декабря 2022 года Google представили в общий доступ собственную разработку – OSV Scanner, задачей которого является поиск уязвимостей в open source компонентах.
Активность тесно связана с Open Source Vulnerabilities (OSV) – проектом, представленным Google в предыдущем году и представляющим из себя базу данных по уязвимостям.
OSV-Scanner позволяет:
🍭 Анализировать Lockfiles, SBOMs
🍭 Получать результаты по анализу уязвимостей из OSV (в которой находится более 38 000 advisories, согласно данным Google)
🍭 Анализировать пакеты в Debian-based образах контейнеров
Кроме того, OSV-Scanner интегрирован в OpenSSF Scorecard’s Vulnerability Check. Дальнейшие планы по развитию – доработка для более удобной интеграции с CI, улучшение работы с C/C++ и поддержка VEX.
Всем привет!
13 декабря 2022 года Google представили в общий доступ собственную разработку – OSV Scanner, задачей которого является поиск уязвимостей в open source компонентах.
Активность тесно связана с Open Source Vulnerabilities (OSV) – проектом, представленным Google в предыдущем году и представляющим из себя базу данных по уязвимостям.
OSV-Scanner позволяет:
🍭 Анализировать Lockfiles, SBOMs
🍭 Получать результаты по анализу уязвимостей из OSV (в которой находится более 38 000 advisories, согласно данным Google)
🍭 Анализировать пакеты в Debian-based образах контейнеров
Кроме того, OSV-Scanner интегрирован в OpenSSF Scorecard’s Vulnerability Check. Дальнейшие планы по развитию – доработка для более удобной интеграции с CI, улучшение работы с C/C++ и поддержка VEX.
GitHub
GitHub - google/osv-scanner: Vulnerability scanner written in Go which uses the data provided by https://osv.dev
Vulnerability scanner written in Go which uses the data provided by https://osv.dev - google/osv-scanner