AdminNetworkPolicy
Всем привет!
У сетевых политик Kubernetes есть известный недостаток – отсутствие cluster wide сущностей. По крайней мере у «Native Network Policy». Некоторые CNI, такие как Cilium и Calico, реализуют требуемый механизм. Именно по этой причине невозможно создать сетевую политику, которая, применится ко всему кластеру.
У Kubernetes есть разные SIG, одной из которых является Network. В рамках одного из enhancements Авторы предлагают нововведение – AdminNetworkPolicy, которая решает указанную проблему. При этом разработчики не смогут на нее влиять, а на «обычную» Network Policy – вполне.
Это достигается за счет нового ресурса – AdminNeworkPolicy, который работает в нескольких «режимах»:
🍭 Deny: запрет всего трафика
🍭 Allow: трафик разрешен
🍭 Pass: самое интересное – «решение» о том, разрешать трафик или нет, передается на уровень обычной NetworkPolicy
Увы, функционал пока не реализован, но сам подход достаточно интересный. Больше про user stories и примеры того, как это можно использовать можно найти в описании enhancement. А если хочется еще больше, то можно посмотреть короткое видео (~ 22 минуты), где Авторы рассказывают про этот механизм.
Всем привет!
У сетевых политик Kubernetes есть известный недостаток – отсутствие cluster wide сущностей. По крайней мере у «Native Network Policy». Некоторые CNI, такие как Cilium и Calico, реализуют требуемый механизм. Именно по этой причине невозможно создать сетевую политику, которая, применится ко всему кластеру.
У Kubernetes есть разные SIG, одной из которых является Network. В рамках одного из enhancements Авторы предлагают нововведение – AdminNetworkPolicy, которая решает указанную проблему. При этом разработчики не смогут на нее влиять, а на «обычную» Network Policy – вполне.
Это достигается за счет нового ресурса – AdminNeworkPolicy, который работает в нескольких «режимах»:
🍭 Deny: запрет всего трафика
🍭 Allow: трафик разрешен
🍭 Pass: самое интересное – «решение» о том, разрешать трафик или нет, передается на уровень обычной NetworkPolicy
Увы, функционал пока не реализован, но сам подход достаточно интересный. Больше про user stories и примеры того, как это можно использовать можно найти в описании enhancement. А если хочется еще больше, то можно посмотреть короткое видео (~ 22 минуты), где Авторы рассказывают про этот механизм.
GitHub
enhancements/keps/sig-network/2091-admin-network-policy at master · kubernetes/enhancements
Enhancements tracking repo for Kubernetes. Contribute to kubernetes/enhancements development by creating an account on GitHub.
👍1
YaraHunter: идентификация malware
Привет!
YaraHunter – небольшая утилита, которая позволяет идентифицировать вредоносное ПО. С правилами, на основании которых происходит идентификация можно ознакомиться тут.
При помощи утилиты можно:
🍭 Искать вредоносное ПО в образах контейнеров, контейнерах и на файловой системе
🍭 Встраивать в CI/CD pipeline
🍭 Получать результаты в машиночитаемом формате – JSON
Пока что YaraHunter находится на стадии разработки. Одной из интересных функций будет интеграция с ThreatMapper – решением по управлению уязвимостями от того же Deepfence, про который мы писали тут. Увы, roadmap, как и документация на решение, пока что возвращают 404.
Привет!
YaraHunter – небольшая утилита, которая позволяет идентифицировать вредоносное ПО. С правилами, на основании которых происходит идентификация можно ознакомиться тут.
При помощи утилиты можно:
🍭 Искать вредоносное ПО в образах контейнеров, контейнерах и на файловой системе
🍭 Встраивать в CI/CD pipeline
🍭 Получать результаты в машиночитаемом формате – JSON
Пока что YaraHunter находится на стадии разработки. Одной из интересных функций будет интеграция с ThreatMapper – решением по управлению уязвимостями от того же Deepfence, про который мы писали тут. Увы, roadmap, как и документация на решение, пока что возвращают 404.
GitHub
GitHub - deepfence/YaraHunter: 🔍🔍 Malware scanner for cloud-native, as part of CI/CD and at Runtime 🔍🔍
🔍🔍 Malware scanner for cloud-native, as part of CI/CD and at Runtime 🔍🔍 - deepfence/YaraHunter
👍2
GuardDog: идентификация вредоносных python-пакетов
Всем привет!
Команда Datadog подготовила отличную статью, посвященную анализу безопасности python-пакетов и инструменту, который был создан для их анализа.
После исследования нескольких пакетов, команда пришла к выводу, что большинство вредоносных пакетов используются для Initial Access (например, typosquatting), Code Execution (eval/exec для получения нужного файла) и Exfiltration (передача данных различными способами).
Для идентификации подобных пакетов ребята разработали GuardDog. Инструмент не анализирует пакеты на наличие CVE, как делает большинство SCA-решений, а использует SAST-практики. Примечательно, что анализу подлежит не только исходный код, но и метаданные пакета.
В качестве основы GuardDog используется Semgrep, с правилами идентификации уязвимостей в коде можно ознакомиться тут. Для анализа метаданных ребята подготовили собственные проверки, которые доступны вот тут.
В итоге получилась достаточно занятная утилита. Настоятельно рекомендуем ознакомиться со статьей – в ней есть примеры запуска, много сведений об анализе python-пакетов и о том, что они могут содержать. Читается легко и непринужденно. Как раз то, что нужно для пятницы!
Всем привет!
Команда Datadog подготовила отличную статью, посвященную анализу безопасности python-пакетов и инструменту, который был создан для их анализа.
После исследования нескольких пакетов, команда пришла к выводу, что большинство вредоносных пакетов используются для Initial Access (например, typosquatting), Code Execution (eval/exec для получения нужного файла) и Exfiltration (передача данных различными способами).
Для идентификации подобных пакетов ребята разработали GuardDog. Инструмент не анализирует пакеты на наличие CVE, как делает большинство SCA-решений, а использует SAST-практики. Примечательно, что анализу подлежит не только исходный код, но и метаданные пакета.
В качестве основы GuardDog используется Semgrep, с правилами идентификации уязвимостей в коде можно ознакомиться тут. Для анализа метаданных ребята подготовили собственные проверки, которые доступны вот тут.
В итоге получилась достаточно занятная утилита. Настоятельно рекомендуем ознакомиться со статьей – в ней есть примеры запуска, много сведений об анализе python-пакетов и о том, что они могут содержать. Читается легко и непринужденно. Как раз то, что нужно для пятницы!
Datadoghq
Finding malicious PyPI packages through static code analysis: Meet GuardDog
GuardDog is an open-source tool to identify malicious PyPI packages through source code and metadata analysis
👍5
API Hacking Tree & API Security Checklist
Всем привет!
По ссылке доступен mind map, посвященный API Hacking. Материал структурирован по двум основным направлениям: Reconnaissance и Security Testing.
Указанные направления детализируются далее, например:
🍭 Search for APIs
🍭 Enumerate endpoints/methods
🍭 Excessive data exposure
🍭 Improper asset management и другие
Для каждого «листа» дерева приводится дополнительная информация: способы реализации, ссылки на полезные материалы/статьи.
Может быть удобно использовать еще с одним проектом – API Security Checklist. У последнего есть даже перевод на русский язык.
Всем привет!
По ссылке доступен mind map, посвященный API Hacking. Материал структурирован по двум основным направлениям: Reconnaissance и Security Testing.
Указанные направления детализируются далее, например:
🍭 Search for APIs
🍭 Enumerate endpoints/methods
🍭 Excessive data exposure
🍭 Improper asset management и другие
Для каждого «листа» дерева приводится дополнительная информация: способы реализации, ссылки на полезные материалы/статьи.
Может быть удобно использовать еще с одним проектом – API Security Checklist. У последнего есть даже перевод на русский язык.
Whimsical
KARTIK GUPTA
Whimsical combines whiteboards and docs in an all-in-one collaboration hub.
👍5
Supply Chain: защита SCM
Всем привет!
Статья, посвященная анализу ИБ систем управления исходным кодом (Source Code Management, SCM) на примере GitHub. В статье Автор определяет 3 основные цели злоумышленника, вокруг которых в дальнейшем будет построена статья. Этими целями являются: Submit malicious source code, Delete source code, Push a release tag pointing to vulnerable commit.
Далее Автор рассматривает каждую цель с двух сторон:
🍭 Read Team: что надо сделать, чтобы достичь целей?
🍭 Blue Team: что надо сделать, чтобы помешать злоумышленнику?
Отличительной особенностью статьи является наличие Attack Trees и Defense Trees, которые визуализирую действия злоумышленника или защитников. Для каждой цели описывается как ее можно достичь или рекомендации, как этому можно противодействовать.
В заключение статьи можно найти перечень возможностей GitHub, которые упоминались в статье. В целом рассмотренный подход можно применять и к другим SCM (GitLab, Bitbucket и т.д.).
«Деревья» доступны на GitHub. Если верить Автору, то материал будет дорабатываться со временем.
Всем привет!
Статья, посвященная анализу ИБ систем управления исходным кодом (Source Code Management, SCM) на примере GitHub. В статье Автор определяет 3 основные цели злоумышленника, вокруг которых в дальнейшем будет построена статья. Этими целями являются: Submit malicious source code, Delete source code, Push a release tag pointing to vulnerable commit.
Далее Автор рассматривает каждую цель с двух сторон:
🍭 Read Team: что надо сделать, чтобы достичь целей?
🍭 Blue Team: что надо сделать, чтобы помешать злоумышленнику?
Отличительной особенностью статьи является наличие Attack Trees и Defense Trees, которые визуализирую действия злоумышленника или защитников. Для каждой цели описывается как ее можно достичь или рекомендации, как этому можно противодействовать.
В заключение статьи можно найти перечень возможностей GitHub, которые упоминались в статье. В целом рассмотренный подход можно применять и к другим SCM (GitLab, Bitbucket и т.д.).
«Деревья» доступны на GitHub. Если верить Автору, то материал будет дорабатываться со временем.
Medium
SLSA dip — At the Source of the problem!
This article is part of a multi-part series about the security of the software supply chain. We will be analyzing in depth each component…
👍3
Supply Chain: защита Build
Всем привет!
Продолжение вчерашнего поста, посвященного защите окружения разработки. На этот раз рассматривается Build-окружение.
Как и в предыдущем материале Автор определяет 3 основные цели злоумышленника:
🍭 Compromise the Build artifact
🍭 Compromise the self-hosted runner
🍭 Pivot to other resources
Далее рассматриваются Attack и Defense Trees. Материал содержит много ссылок на сведения по теме, конфигурацию окружения и лучшие практики, посвященные тематике. Итоговое «дерево» доступно по ссылке или на GitHub Автора.
Всем привет!
Продолжение вчерашнего поста, посвященного защите окружения разработки. На этот раз рассматривается Build-окружение.
Как и в предыдущем материале Автор определяет 3 основные цели злоумышленника:
🍭 Compromise the Build artifact
🍭 Compromise the self-hosted runner
🍭 Pivot to other resources
Далее рассматриваются Attack и Defense Trees. Материал содержит много ссылок на сведения по теме, конфигурацию окружения и лучшие практики, посвященные тематике. Итоговое «дерево» доступно по ссылке или на GitHub Автора.
Medium
SLSA dip — It’s Build Time!
This article is part of a multi-part series about the security of the software supply chain. We will be analyzing in depth each component…
👍3
Всем привет!
А вы участвуете в Highload 24-25 ноября в Москве?
Если да, то приходите к нам на стенд "Инфосистемы Джет", пообщаемся, ответим на ваши вопросы, поделимся опытом:
🕶 как делать DevSecOps в крупных компаниях,
🕶 как создать гибкую отказоустойчивую инфраструктуру,
🕶 как настроить интегрированный мониторинг,
🕶 как защищать контейнеры и обеспечить безопасность разработки
🔥 В треке «DevOps в Enterprise» наш эксперт Юрий Семенюков расскажет о том, как и на что можно заменить enterprise-решения и инструменты в части платформ управления контейнерами.
🎁 На нашем стенде можно сыграть в тематический квиз и получить призы)
Увидимся на Highload!!!
А вы участвуете в Highload 24-25 ноября в Москве?
Если да, то приходите к нам на стенд "Инфосистемы Джет", пообщаемся, ответим на ваши вопросы, поделимся опытом:
🕶 как делать DevSecOps в крупных компаниях,
🕶 как создать гибкую отказоустойчивую инфраструктуру,
🕶 как настроить интегрированный мониторинг,
🕶 как защищать контейнеры и обеспечить безопасность разработки
🔥 В треке «DevOps в Enterprise» наш эксперт Юрий Семенюков расскажет о том, как и на что можно заменить enterprise-решения и инструменты в части платформ управления контейнерами.
🎁 На нашем стенде можно сыграть в тематический квиз и получить призы)
Увидимся на Highload!!!
🔥8👏2🌭2👻2
Доброго пятничного утра!
Хотите поиграть?
Заходите на страничку, созданную по мотивам нашего участия в Highload и проходите квиз!
Первые 100 участников, ответившие верно на 60% вопросов получат в качестве приза классные DevSecOps носки 🎁
Там же вы найдете вакансии и видео-ролик о нашей команде.
Пройти квиз
Хотите поиграть?
Заходите на страничку, созданную по мотивам нашего участия в Highload и проходите квиз!
Первые 100 участников, ответившие верно на 60% вопросов получат в качестве приза классные DevSecOps носки 🎁
Там же вы найдете вакансии и видео-ролик о нашей команде.
Пройти квиз
👍6🎉5🔥2
The State of Kubernetes Open Source Security.pdf
737.1 KB
The State of Kubernetes Open Source Security
Привет!
В приложении доступен отчет от Armo, посвященный использованию open source решений для защиты Kubernetes. Были опрошены 200 специалистов различных ролей из Америки, Европы и APAC.
Результаты оказались достаточно интересными:
🍭 Больше половины компаний использует open source. И не один (в среднем – около 3-4 решений). Тут все просто: как правило OSS решает одну задачу, чего бывает недостаточно
🍭 Больше всего commercial решений там, где требуется runtime. ServiceMesh, анализ конфигураций – как правило open source
🍭 Самое большое опасение в commercial-решениях – это… blackbox! Недостаточно видимости того, что «внутри»
🍭 Самая большая сложность по мнению опрошенных – интеграция таких решений в существующее окружение. Отчасти это может быть обусловлено их «количеством»
🍭 И, конечно же, K8S Security не «самостоятельная дисциплина», а часть программы Cloud Security. Надеемся, что и у нас будет также
В отчете есть еще много чего интересного: challenges, частота сканирования, time-to-fix и т.д. Большое количество графики, текст по сути. Рекомендуем!
Привет!
В приложении доступен отчет от Armo, посвященный использованию open source решений для защиты Kubernetes. Были опрошены 200 специалистов различных ролей из Америки, Европы и APAC.
Результаты оказались достаточно интересными:
🍭 Больше половины компаний использует open source. И не один (в среднем – около 3-4 решений). Тут все просто: как правило OSS решает одну задачу, чего бывает недостаточно
🍭 Больше всего commercial решений там, где требуется runtime. ServiceMesh, анализ конфигураций – как правило open source
🍭 Самое большое опасение в commercial-решениях – это… blackbox! Недостаточно видимости того, что «внутри»
🍭 Самая большая сложность по мнению опрошенных – интеграция таких решений в существующее окружение. Отчасти это может быть обусловлено их «количеством»
🍭 И, конечно же, K8S Security не «самостоятельная дисциплина», а часть программы Cloud Security. Надеемся, что и у нас будет также
В отчете есть еще много чего интересного: challenges, частота сканирования, time-to-fix и т.д. Большое количество графики, текст по сути. Рекомендуем!
👍5
Приглашаем принять участие в серии вебинаров «Как крупному бизнесу развивать ИТ за счет публичного облака и делать это безопасно».
Эксперты «Инфосистемы Джет» и Yandex Cloud раскроют тему с двух сторон: ИТ и ИБ, поэтому участие будет интересно как ИТ-менеджменту, так и ИБ-специалистам.
2 декабря, 11:00–12:30
«Как использовать облака в инфраструктуре предприятия»:
🔹Сценарии применения публичного облака для крупного бизнеса
🔹Локализация ИТ-инфраструктуры в России на базе облака
🔹Безопасность облачных сред
Зарегистрироваться
9 декабря, 11:00–12:30
«Безопасность публичных облаков для крупных компаний»:
🔹5 вопросов, которые нужно решить перед началом миграции
🔹Подводные камни, встречающиеся при миграции в облако. Что нужно учесть?
🔹Экспертный подход к защите публичного облака
Зарегистрироваться
Эксперты «Инфосистемы Джет» и Yandex Cloud раскроют тему с двух сторон: ИТ и ИБ, поэтому участие будет интересно как ИТ-менеджменту, так и ИБ-специалистам.
2 декабря, 11:00–12:30
«Как использовать облака в инфраструктуре предприятия»:
🔹Сценарии применения публичного облака для крупного бизнеса
🔹Локализация ИТ-инфраструктуры в России на базе облака
🔹Безопасность облачных сред
Зарегистрироваться
9 декабря, 11:00–12:30
«Безопасность публичных облаков для крупных компаний»:
🔹5 вопросов, которые нужно решить перед началом миграции
🔹Подводные камни, встречающиеся при миграции в облако. Что нужно учесть?
🔹Экспертный подход к защите публичного облака
Зарегистрироваться
🔥6
Общий взгляд на анализ безопасности K8S
Всем привет!
В первой статье собрана информация о возможных ИБ-недостатках Kubernetes, агрегированная по таким вектором атак, как:
🍭 Attack K8S Components (api-server, etcd, kubelet, kube-proxy)
🍭 Attack the external services
🍭 Attack the business pod
🍭 Container escape
Вторая статья посвящена иным векторам атак:
🍭 Lateral movement
🍭 Attack on third-party components
Обе статьи неплохо описывает концепты и возможные действия злоумышленника. Например, на что обращать внимание на стадии reconnaissance и на что в первую очередь обратят внимание. Материал не содержит что-либо «космическое». Однако, даже такие дефекты можно найти во многих инсталляциях K8S. Радует то, что поправить это не сложно и есть много информации о том, как это сделать.
Завершает статьи перечень недостатков в конфигурации pod’ов и перечень CVE, на которые обязательно стоит обратить внимание с точки зрения ИБ, сгруппированные по компонентам, которым они «принадлежат».
Всем привет!
В первой статье собрана информация о возможных ИБ-недостатках Kubernetes, агрегированная по таким вектором атак, как:
🍭 Attack K8S Components (api-server, etcd, kubelet, kube-proxy)
🍭 Attack the external services
🍭 Attack the business pod
🍭 Container escape
Вторая статья посвящена иным векторам атак:
🍭 Lateral movement
🍭 Attack on third-party components
Обе статьи неплохо описывает концепты и возможные действия злоумышленника. Например, на что обращать внимание на стадии reconnaissance и на что в первую очередь обратят внимание. Материал не содержит что-либо «космическое». Однако, даже такие дефекты можно найти во многих инсталляциях K8S. Радует то, что поправить это не сложно и есть много информации о том, как это сделать.
Завершает статьи перечень недостатков в конфигурации pod’ов и перечень CVE, на которые обязательно стоит обратить внимание с точки зрения ИБ, сгруппированные по компонентам, которым они «принадлежат».
Tutorial Boy
A Detailed Talk about K8S Cluster Security from the Perspective of Attackers (Part 1)
👍3
Пишем свой первый Admission Controller
Всем привет!
Один из самых простых способов понять что-либо – сделать это самому! Если вам интересна тема Validating и Mutating Webhooks и Вы хотите «копнуть глубже» в то, что происходит «под капотом», то эта статья может Вам подойти.
В ней Автор предлагает вместе с ним написать свои собственные реализации Admission Controller, которые проверяют, что image взят с Dockerhub. Не самый лучший вариант с точки зрения ИБ, но в качестве базового примера – самое оно. Потребуется
Далее по шагам разобраны моменты:
🍭 Создание web-server (а Validating/Mutating Webhooks ничто иное как они)
🍭 Проработка логики проверок и/или изменений конфигурации создаваемого в кластере ресурса
🍭 Создание сертификатов с использованием cert-manager
🍭 Регистрация созданных webhooks и, конечно же, тестирование!
В статье все подробно описано, доступны примеры кода (включая итоговый проект). Все по полочкам! Очень рекомендуем повторить этот Путь 😊
Всем привет!
Один из самых простых способов понять что-либо – сделать это самому! Если вам интересна тема Validating и Mutating Webhooks и Вы хотите «копнуть глубже» в то, что происходит «под капотом», то эта статья может Вам подойти.
В ней Автор предлагает вместе с ним написать свои собственные реализации Admission Controller, которые проверяют, что image взят с Dockerhub. Не самый лучший вариант с точки зрения ИБ, но в качестве базового примера – самое оно. Потребуется
minikube (или «обычный» кластер k8s), golang, make и ko.Далее по шагам разобраны моменты:
🍭 Создание web-server (а Validating/Mutating Webhooks ничто иное как они)
🍭 Проработка логики проверок и/или изменений конфигурации создаваемого в кластере ресурса
🍭 Создание сертификатов с использованием cert-manager
🍭 Регистрация созданных webhooks и, конечно же, тестирование!
В статье все подробно описано, доступны примеры кода (включая итоговый проект). Все по полочкам! Очень рекомендуем повторить этот Путь 😊
Kubesimplify
DIY: How To Build A Kubernetes Policy Engine
With the help of Kubernetes Admission Controller, Go, cert-manager and ko!
👍4
Kubeshark: анализ сети k8s
Всем привет!
Да, Вам не показалось. Wireshark для Kubernetes – Kubeshark! Хотя, согласно документации, Kubeshark – некоторая «смесь» Wireshark и BPF Compiler Collection Tools.
Kubeshark позволяет:
🍭 Выполнять sniffing TCP трафика в кластере и записывать их в PCAP-файлы
🍭 Анализировать трафик за счет enforce-policy
🍭 Создавать карту связности сервисов
🍭 Разбирать протоколы HTTP (1.0, 1.1, 2), AMPQ, Apache Kafka, Redis и не только
Решение обладает web-интерфейсом, упрощающим работу по анализу трафика. Подробнее с Kubeshark можно познакомиться при помощи документации.
Всем привет!
Да, Вам не показалось. Wireshark для Kubernetes – Kubeshark! Хотя, согласно документации, Kubeshark – некоторая «смесь» Wireshark и BPF Compiler Collection Tools.
Kubeshark позволяет:
🍭 Выполнять sniffing TCP трафика в кластере и записывать их в PCAP-файлы
🍭 Анализировать трафик за счет enforce-policy
🍭 Создавать карту связности сервисов
🍭 Разбирать протоколы HTTP (1.0, 1.1, 2), AMPQ, Apache Kafka, Redis и не только
Решение обладает web-интерфейсом, упрощающим работу по анализу трафика. Подробнее с Kubeshark можно познакомиться при помощи документации.
GitHub
GitHub - kubeshark/kubeshark: The API traffic analyzer for Kubernetes providing real-time K8s protocol-level visibility, capturing…
The API traffic analyzer for Kubernetes providing real-time K8s protocol-level visibility, capturing and monitoring all traffic and payloads going in, out and across containers, pods, nodes and clu...
👍5
Yet Another Kubernetes Dashboard
Всем привет!
Тема потребности наличия графического интерфейса Kubernetes достаточно спорная. С одной стороны все можно делать при помощи(почти как звезды).
В статье собрана общая информация о том, какие есть варианты – от весьма известных до недавно появившихся:
🍭 Lens
🍭 Octant
🍭 Kubevious
🍭 Kubenav и другие
Для каждого рассматриваемого графического интерфейса кратко описываются его возможности, сильные и слабые стороны.
А что думаете Вы? Нужна ли «графика» или одной лишь консоли вполне достаточно для полноценной работы? Пишите в комментариях 😊
Всем привет!
Тема потребности наличия графического интерфейса Kubernetes достаточно спорная. С одной стороны все можно делать при помощи
kubectl, с другой – такие проекты нет-нет, да и появляются, а значит они кому-то нужны В статье собрана общая информация о том, какие есть варианты – от весьма известных до недавно появившихся:
🍭 Lens
🍭 Octant
🍭 Kubevious
🍭 Kubenav и другие
Для каждого рассматриваемого графического интерфейса кратко описываются его возможности, сильные и слабые стороны.
А что думаете Вы? Нужна ли «графика» или одной лишь консоли вполне достаточно для полноценной работы? Пишите в комментариях 😊
Medium
YAKD: Yet Another Kubernetes Dashboard
No, YAKD is not a new Kubernetes Dashboard project, but that could be a good name for a new Kubernetes Dashboard application.
Примеры использования Network Policy
Всем привет!
В статье рассматривается создание Network Policy для защиты приложения, которое состоит из трех компонентов: Frontend (взаимодействие с Пользователями), Backend (логика) и Database (данные).
Для приложения:
🍭 Создаются отдельные namespace для каждого компонента приложения. Для демонстрации работы Network Policy, если компоненты будут размещены в одном namespace, логика сохранится
🍭Описываются возможные Security Risks и способы их преодоления с использованием Network Policy
🍭Создаются Network Policy для сегментирования трафика приложения между его компонентами
🍭Осуществляется проверка того, что все работает как надо
Схемы, описание, код – все на месте. Если хочется больше примеров использования Network Policy, то их можно найти на сайте networkpolicy.io, в котором собрана как теоретическая информация, так и разные примеры реализации сетевых политик.
Всем привет!
В статье рассматривается создание Network Policy для защиты приложения, которое состоит из трех компонентов: Frontend (взаимодействие с Пользователями), Backend (логика) и Database (данные).
Для приложения:
🍭 Создаются отдельные namespace для каждого компонента приложения. Для демонстрации работы Network Policy, если компоненты будут размещены в одном namespace, логика сохранится
🍭Описываются возможные Security Risks и способы их преодоления с использованием Network Policy
🍭Создаются Network Policy для сегментирования трафика приложения между его компонентами
🍭Осуществляется проверка того, что все работает как надо
Схемы, описание, код – все на месте. Если хочется больше примеров использования Network Policy, то их можно найти на сайте networkpolicy.io, в котором собрана как теоретическая информация, так и разные примеры реализации сетевых политик.
Medium
Network Policy to Secure Workloads on Kubernetes Cluster
Secure your single/multi-tenant cluster using network policies
😁2
APISec University
Всем привет!
По ссылке можно зарегистрироваться и пройти курсы, посвященные API Secuirty. Бесплатно. На текущий момент доступен только один – «API Penetration Testing Course».
Курс содержим в себе разделы:
🍭 Introduction
🍭 API Reconnaissance
🍭 Endpoint Analysis
🍭 Scanning APIs
🍭 Exploiting API Authorization и другие
Надеемся, что в скором времени станут доступны и другие – «API Security Defender» и «APIsec Certified User».
Всем привет!
По ссылке можно зарегистрироваться и пройти курсы, посвященные API Secuirty. Бесплатно. На текущий момент доступен только один – «API Penetration Testing Course».
Курс содержим в себе разделы:
🍭 Introduction
🍭 API Reconnaissance
🍭 Endpoint Analysis
🍭 Scanning APIs
🍭 Exploiting API Authorization и другие
Надеемся, что в скором времени станут доступны и другие – «API Security Defender» и «APIsec Certified User».
🔥6👍1
SigNoz: Application Performance Monitoring (APM)
Всем привет!
SigNoz – open source решение, которое позволяет осуществлять мониторинг производительности приложений, что упрощает поиск ошибок.
Решение позволяет:
🍭 Осуществлять мониторинг Latency, RPS, Error Rates
🍭 Анализировать потребление CPU и RAM
🍭 Анализировать пользовательские запросы и логи приложения
🍭 Создавать Service Map, где указано взаимодействие сервисов
🍭 Настраивать alerting через различные каналы уведомлений (Slack, PagerDuty, Webhook)
Решение обладает web-интерфейсом. С тем, как именно устроен SigNoz, детальным описанием его возможностей можно ознакомиться в документации. Отдельно хочется отметить раздел «Tutorials», в котором приводятся инструкции по использованию SigNoz. Например, как настроить сбор метрик в k8s или как писать запросы к ClickHouse для создания dashboards.
Всем привет!
SigNoz – open source решение, которое позволяет осуществлять мониторинг производительности приложений, что упрощает поиск ошибок.
Решение позволяет:
🍭 Осуществлять мониторинг Latency, RPS, Error Rates
🍭 Анализировать потребление CPU и RAM
🍭 Анализировать пользовательские запросы и логи приложения
🍭 Создавать Service Map, где указано взаимодействие сервисов
🍭 Настраивать alerting через различные каналы уведомлений (Slack, PagerDuty, Webhook)
Решение обладает web-интерфейсом. С тем, как именно устроен SigNoz, детальным описанием его возможностей можно ознакомиться в документации. Отдельно хочется отметить раздел «Tutorials», в котором приводятся инструкции по использованию SigNoz. Например, как настроить сбор метрик в k8s или как писать запросы к ClickHouse для создания dashboards.
GitHub
GitHub - SigNoz/signoz: SigNoz is an open-source observability platform native to OpenTelemetry with logs, traces and metrics in…
SigNoz is an open-source observability platform native to OpenTelemetry with logs, traces and metrics in a single application. An open-source alternative to DataDog, NewRelic, etc. 🔥 🖥. 👉 Open s...
🔥2
AquaNautilus Container Attacks Catalog 2022.pdf
6.8 MB
Container Attacks Catalog
Всем привет!
Team Nautilus, являющаяся частью Aqua Security, подготовила отчет об атаках на среды контейнеризации за 2022 год.
В отчете можно найти:
🍭 Общую статистику, распределение по типам образов, используемых для атак, географию атак и т.д.
🍭 Образы контейнеров, которые чаще других использовались в атаках
🍭 Общее описание атак, включающее в себя: image name, impact, category, entry point и т.д.
В целом получилась интересная агрегации информации об атаках на контейнеры за 2022 год. Особенностью отчета является то, что это не теория. В качестве «подопытных» рассматривалась honey pot сеть, которая собирала данные с 1-ого января по 1-ое ноября 2022 года.
Всем привет!
Team Nautilus, являющаяся частью Aqua Security, подготовила отчет об атаках на среды контейнеризации за 2022 год.
В отчете можно найти:
🍭 Общую статистику, распределение по типам образов, используемых для атак, географию атак и т.д.
🍭 Образы контейнеров, которые чаще других использовались в атаках
🍭 Общее описание атак, включающее в себя: image name, impact, category, entry point и т.д.
В целом получилась интересная агрегации информации об атаках на контейнеры за 2022 год. Особенностью отчета является то, что это не теория. В качестве «подопытных» рассматривалась honey pot сеть, которая собирала данные с 1-ого января по 1-ое ноября 2022 года.
👍2
Всем привет!
Мероприятие не совсем про DevSecOps, но Linux - штука крайне полезная и никогда не будет лишним.
Поэтому будем рады, если Вы 21 декабря в 11:00 подключитесь к онлайн-трансляции. Разберем тему безопасности Linux с практической стороны. Бесплатно.
В программе:
🔹Безопасность ядра Linux: в теории и на практике
Александр Попов, главный исследователь безопасности открытых операционных систем, Positive Technologies
🔹Обзор популярных уязвимостей Unix
Владимир Ротанов, руководитель группы практического анализа защищенности, «Инфосистемы Джет»
🔹Харденинг Linux
Антон Велижанинов, старший инженер по ИБ, «Инфосистемы Джет»
🔹Особенности вредоносного ПО под Linux-системы
Ярослав Шмелев, вирусный аналитик, «Лаборатория Касперского»
🔹Разбираем кейс по форензике
Александр Матвиенко, руководитель группы защиты от утечек информации, «Инфосистемы Джет»
🔹Анализ логов в Unix-системах
Артем Крикунов, аналитик центра мониторинга и реагирования Jet CSIRT
Слушай доклады ➡️ Выполняй задания киберучений ➡️ Отрабатывай практические навыки в ИБ!
Регистрация по ссылке
Мероприятие не совсем про DevSecOps, но Linux - штука крайне полезная и никогда не будет лишним.
Поэтому будем рады, если Вы 21 декабря в 11:00 подключитесь к онлайн-трансляции. Разберем тему безопасности Linux с практической стороны. Бесплатно.
В программе:
🔹Безопасность ядра Linux: в теории и на практике
Александр Попов, главный исследователь безопасности открытых операционных систем, Positive Technologies
🔹Обзор популярных уязвимостей Unix
Владимир Ротанов, руководитель группы практического анализа защищенности, «Инфосистемы Джет»
🔹Харденинг Linux
Антон Велижанинов, старший инженер по ИБ, «Инфосистемы Джет»
🔹Особенности вредоносного ПО под Linux-системы
Ярослав Шмелев, вирусный аналитик, «Лаборатория Касперского»
🔹Разбираем кейс по форензике
Александр Матвиенко, руководитель группы защиты от утечек информации, «Инфосистемы Джет»
🔹Анализ логов в Unix-системах
Артем Крикунов, аналитик центра мониторинга и реагирования Jet CSIRT
Слушай доклады ➡️ Выполняй задания киберучений ➡️ Отрабатывай практические навыки в ИБ!
Регистрация по ссылке
🔥9👍4🥰1🐳1🌭1
OSV-Scanner: Vulnerability Scanner for Open Source
Всем привет!
13 декабря 2022 года Google представили в общий доступ собственную разработку – OSV Scanner, задачей которого является поиск уязвимостей в open source компонентах.
Активность тесно связана с Open Source Vulnerabilities (OSV) – проектом, представленным Google в предыдущем году и представляющим из себя базу данных по уязвимостям.
OSV-Scanner позволяет:
🍭 Анализировать Lockfiles, SBOMs
🍭 Получать результаты по анализу уязвимостей из OSV (в которой находится более 38 000 advisories, согласно данным Google)
🍭 Анализировать пакеты в Debian-based образах контейнеров
Кроме того, OSV-Scanner интегрирован в OpenSSF Scorecard’s Vulnerability Check. Дальнейшие планы по развитию – доработка для более удобной интеграции с CI, улучшение работы с C/C++ и поддержка VEX.
Всем привет!
13 декабря 2022 года Google представили в общий доступ собственную разработку – OSV Scanner, задачей которого является поиск уязвимостей в open source компонентах.
Активность тесно связана с Open Source Vulnerabilities (OSV) – проектом, представленным Google в предыдущем году и представляющим из себя базу данных по уязвимостям.
OSV-Scanner позволяет:
🍭 Анализировать Lockfiles, SBOMs
🍭 Получать результаты по анализу уязвимостей из OSV (в которой находится более 38 000 advisories, согласно данным Google)
🍭 Анализировать пакеты в Debian-based образах контейнеров
Кроме того, OSV-Scanner интегрирован в OpenSSF Scorecard’s Vulnerability Check. Дальнейшие планы по развитию – доработка для более удобной интеграции с CI, улучшение работы с C/C++ и поддержка VEX.
GitHub
GitHub - google/osv-scanner: Vulnerability scanner written in Go which uses the data provided by https://osv.dev
Vulnerability scanner written in Go which uses the data provided by https://osv.dev - google/osv-scanner
Управление уязвимостями образов контейнеров от Lyft
Всем привет!
Первая статья, посвященная тому, как Lyft выстраивали процесс управления уязвимостями в образах контейнеров и с какими трудностями они столкнулись.
Команда создала собственный концепт, который строится на идеях:
🍭 Самостоятельное устранение уязвимостей там, где это возможно(spoiler: почти не работает) . Постановка задач на устранение только в том случае, если у уязвимости есть fix
🍭 Автоматизация всего, чего только можно. Заодно можно будет узнать, почему ребята перешли с Clair на Trivy
🍭 Что делать, если в компании используется базовый образ, на основе которого могут строиться остальные? Как сделать так, чтобы обновление получили все?
🍭 Единое окно по сбору информации об образах и уязвимостях.DefectDojo! Нет, не в этот раз. Предпочтение отдали Cartography
🍭 Анализ только того, что используется. Общее количество образов оценивалось в 400 000, «активных» образов – 4 000
Очень много интересных размышлений, описание проблематики с которой можно столкнуться и возможные варианты решений на уровне идей. А реализация идей будет описана во второй статье, посвященной тому, как именно Lyft автоматизировали созданный ими концепт. Ждем!
Всем привет!
Первая статья, посвященная тому, как Lyft выстраивали процесс управления уязвимостями в образах контейнеров и с какими трудностями они столкнулись.
Команда создала собственный концепт, который строится на идеях:
🍭 Самостоятельное устранение уязвимостей там, где это возможно
🍭 Автоматизация всего, чего только можно. Заодно можно будет узнать, почему ребята перешли с Clair на Trivy
🍭 Что делать, если в компании используется базовый образ, на основе которого могут строиться остальные? Как сделать так, чтобы обновление получили все?
🍭 Единое окно по сбору информации об образах и уязвимостях.
🍭 Анализ только того, что используется. Общее количество образов оценивалось в 400 000, «активных» образов – 4 000
Очень много интересных размышлений, описание проблематики с которой можно столкнуться и возможные варианты решений на уровне идей. А реализация идей будет описана во второй статье, посвященной тому, как именно Lyft автоматизировали созданный ими концепт. Ждем!
Medium
Vulnerability Management at Lyft: Enforcing the Cascade [Part 1]
Vulnerability Management at Lyft: Enforcing the Cascade - Part 1 Abstract Over the past 2 years, we’ve built a comprehensive vulnerability management program at Lyft. This blog post will focus on …
👍5