Kubernetes: security-oriented scheduling стратегии

Всем привет!

Читая статьи про безопасность Kubernetes чаще всего можно встретить упоминание важности RBAC, сетевой изоляции и Network Policy, использования Admission Controller для анализа манифестов с целью дальнейшего принятия решения о возможности создания ресурса и много чего еще.

Однако, крайне редко где-то упоминается очень сильная возможность Kubernetes – контролируемый scheduling, который, в том числе, может быть полезен и ИБ. Самый простой пример – сокращение поверхности атаки (если критичное отделено от не критичного) и затруднение lateral movement.

Команда Doyensec в своей статье разбирает возможные способы управления выбором целевых узлов:
🍭 nodeSelector
🍭 nodeName
🍭 (Anti) Affinity
🍭 Taints and Tolerations
🍭 Создание собственного Scheduler

Для каждого из рассмотренных способов приводятся его сильные и слабые стороны, а также комментарии про то, кто «выиграет», если в конфигурации будет указано сразу несколько вариантов «фильтрации».

В завершении статьи предоставляются рекомендации о том, на что стоит обратить внимание при создании собственной security-oriented scheduling стратегии.

Валидация API Token

Всем привет!

Leakey – bash скрипт, который позволит проверить валидность учетных данных (API Token), полученных, например, при проведении penetration test или при проведении reconnaissance.

«Внутри» уже есть проверки для:
🍭 Slack
🍭 GitHub
🍭 GitLab
🍭 Microsoft Azure и много чего еще

Если чего-то не хватает, то функционал можно просто расширить. Потребуется лишь дописать конфигурацию в файл signatures.json

Kubernetes OWASP Top 10: Comprehensive Guide

Всем привет!

По ссылке доступен массивный разбор (~ 23 минуты чтения) практик обеспечения информационной безопасности Kubernetes, описанных в OWASP Top 10.

Рассматриваются такие области, как:
🍭 Misconfigurations
🍭 RBAC: control and audit
🍭 Network Segmentation
🍭 Logging and monitoring и не только

Каждый раздел детально описывается: приводятся примеры и лучшие практики, способы как можно выполнять рекомендации. Дополнительно Автор описывает утилиты, которые могут быть использованы для автоматизации. Например, Kube-Bench, OPA, Prometheus, KubeView, RBAC Audit и еще много всего.

Материал может стать как отличным началом пути в обеспечении ИБ Kubernetes, так и источником «чего-то нового».

Glasskube: пакетный менеджер для Kubernetes

Всем привет!

Недавно был представлен проект Glasskube, позиционирующий себя как пакетный менеджер для Kubernetes.

Основной задачей, которую он призван решить, является помощь в установке ПО и поддержании его в актуальном состоянии. Сделать это можно как с использованием GUI, так и с использованием CLI.

Пока что с использованием Glasskube можно установить 4 пакета:
🍭 Cert Manager
🍭 Ingress Nginx Controller
🍭 Kubernetes dashboard (кто бы знал зачем)
🍭 Cyclops

Из планов – добавление популярных инструментов: Prometheus, Velero, GitLab, KeyCloak, HashiCorp Vault и т.д. Если в голове сразу появился вопрос – «Хм, у меня есть Helm, зачем мне Glasskube?», то у ребят есть ответ на это.

С одной стороны выглядит интересно, с другой – не очень понятно зачем нужно подобное ПО в уже и без того плотной «экосистеме» Kubernetes. А что Вы думаете по этому поводу?

Анализ безопасности GitHub Actions

Всем привет!

Герой сегодняшнего поста – Raven – open source утилита, которая позволяет анализировать ИБ в GitHub Actions.

Работает по следующему алгоритму:
🍭 Скачивает данные о CI-конвейере
🍭 Обрабатывает полученные данные и помещает их в Neo4j базу данных
🍭 Обрабатывает полученные данные с использованием запросов. Ознакомиться с ними можно тут
🍭 Предоставляет отчет о проделанной работе

С его помощь можно идентифицировать уязвимости типа Injection, например: Issue, Pull Request, Workflow Run и CodeSee. По каждой из указанных уязвимостей в repo проекта можно ознакомиться с описанием, принципом работы и способами противодействия.

В завершении readme.md можно найти Hall of Fame – перечень проектов, в которых были найдены недостатки, включая такие проекты как Docker-Slim и OpenSSF Scorecard

Безопасность CI/CD: обзор

Всем привет!

Легкая пятничная статья, посвященная безопасности CI/CD. Авторы, без погружения в детали, разбирают наиболее важные моменты.

В статье можно найти информацию:
🍭 О том, что такое CI/CD pipeline
🍭 Какие риски ИБ могут быть реализованы в случае недостаточного контроля
🍭 Почему безопасность CI/CD это важно
🍭 Какие есть лучшие практики, которые можно использовать

Хоть в статье и нет деталей, зато есть много ссылок на реальные инциденты или материалы, детализирующие вопросы обеспечения ИБ CI/CD

Управление уязвимостями в образах контейнеров

Всем привет!

В ИБ-мире средств контейнеризации и контейнерной оркестрации очень много интересных тем – от того, как правильно настроить кластер, до обеспечения runtime-защиты запущенных контейнеров.

Зачастую, специалисты начинают свой путь в рассматриваемой сфере с управления уязвимостями (оставим за скобками насколько нужно на этом фокусироваться).

Для того, чтобы структурировать знания, предлагаем Вам обратить внимание на статью. Сперва Авторы разбирают общую терминологию, а дальше углубляются в вопросы управления уязвимостями в образах контейнеров.

Рассматриваются:
🍭 Base Images
🍭 Enterprise Images
🍭 Application и Builder Images
🍭 Custom Of The Shelf (COTS), образы, получаемы от Vendor

Далее Авторы обращают внимание на вопросы, характерные для patch management. В завершении статьи рассматриваются лучшие «точки встраивания» сканеров для идентификации уязвимостей, а также потенциальные сложности, с которыми скорее всего придется столкнуться.

Подделка signed commit в GitHub

Всем привет!

В небольшой статье Автор описывает интересный bug, благодаря которому можно было подделывать signed commit в GitHub от имени любого пользователя.

К сожалению, Автор не описывает что именно натолкнуло его на эту мысль, но он решил исследовать GitHub Enterprise Server путем деобфускации исходного кода Ruby.

Это позволило ему лучше понять процесс того, что происходит «под капотом» и какая последовательность действий осуществляется.

Проанализировав одну функцию Автор заметил, что поле с именем author commit'a проверяется регулярным выражением:
/\Aauthor (.+?) <(.+)>/
Однако, такая «регулярка» никак не отреагирует на… «пустого» пользователя.

Таким образом, добавив несколько полей с author (первое из которых – пустое) проверка «срабатывает», пропускает строку и использует следующее значение по списку.

На текущий момент времени уязвимость устранена (да-да, изменением регулярного выражения 😊), а больше деталей можно найти в статье.

Kubernetes Control Plane as a Pods

Всем привет!
Сегодня уже никого не удивишь большим количеством кластеров Kubernetes в одной компании. Кластера могут создаваться под конкретные среды (dev, test, prod) или под каждую команду разработчиков. Для этого придумали много способов автоматизации процесса подготовки кластеров, такие, как Cluster API. А сегодня мы хотим представить вам еще одну, хоть и не новую уже, концепцию: Hosted Control Plane.

Встречайте Kamaji!

Kamaji предлагает размещать Control Plane в подах, вместо отдельных машин и использовать концепцию операторов для управления множеством control plane'ов.

Основные преимущества, которые выделяют разработчики:
🎹 Быстрое время развертывания кластеров (Control Plane готов принимать трафик в среднем через 16 секунд)
🎹 Оптимизированное обновление. (Обновление версии Kubernetes в среднем проходит за 10 секунд и используются Blue/Green deployments что бы избежать различия в версиях)
🎹 Автоматический скейлинг подов в зависимости от использования кластера
🎹 Возможность использования не только etcd, но и MySQL или PostgreSQL.

Это далеко не полный список того, что предлагает это решение! Но для каких целей оно может использоваться?
🎹 Построение решений типа PaaS
🎹 Создание большого количества private managed Kubernetes services
🎹 Гибридные развертывания (Control Plane в облаке, а workers в частном дата центре)
...и многое другое!

Решение получилось достаточно интересным, а если вам хочется подробнее познакомиться с концепцией Hosted Control Plane in Kubernetes, рекомендуем почитать статью от авторов этого проекта!

Также можно подробнее почитать про термин Multi-tenancy в официальной документации.

Kubernetes Security for dummies

Всем привет!

Еще одна электронная книга (~52 страницы) от Wiz, на этот раз посвященная защите контейнеров (предыдущая описывала концепт CNAPP и про нее мы писали тут).

Содержание книги состоит из разделов:
🍭 Living in a Cloud-Native World
🍭 Securing Kubernetes
🍭 Securing Containers
🍭 Keeping Kubernetes Compliant
🍭 Implementing a Container Security Solution
🍭 Ten Kubernetes Security Best Practices

Книга, хоть и не содержит детальных how to, но дает хорошее общее представление о том, на что обращать внимание при проработке концепции защиты кластеров Kubernetes

Тестирование производительности CoreDNS

Всем привет!

CoreDNS очень популярное решение, которое используется в кластерах Kubernetes. Он функционален, легковесен, удобен.

Сервис сам по себе достаточно критичный, поэтому команда Nortflank задумалась о том, насколько же он надежен. Для этого они решили провести его performance testing.

Есть несколько open source решений, которые могут помочь: DNSPerf, Resperf, Dnsdiag, Queryperf. Выбор Авторов пал на DNSPerf. Для анализа подготовили смешанный набор тестов: external, internal, не существующие записи.

Дальше все как обычно:
🍭 Создание кластера Kubernetes (GKE в случае Авторов)
🍭 Установка CoreDNS и DNSPerf
🍭 Генерация тестов для DNSPerf
🍭 Тесты, тесты, тесты, тесты

Что ж! В целом CoreDNS показал себя хорошо. Для тех, кому интересно – в завершении статьи есть табличка с разными результатами, в зависимости от количества CPU, а так же размышления Авторов на тему оптимизации работы CoreDNS.

Всем привет!

Мы ищем DevOps-инженера в нашу команду.

Совместно с нами тебе предстоит строить инфраструктуры на основе Kubernetes.

Если тебе интересны красивые и масштабные инженерные решения, читай подробности ниже и приходи к нам на собеседование.

🔹Требования к кандидату: https://hh.ru/vacancy/92963025

🔹Заработная плата: з/п в рынке и зависит от имеющихся навыков кандидата

🔹Формат работы: удаленка из регионов России или гибрид с офисом в центре Москвы

🔹Резюме и вопросы присылайте в телеграм нашему HR @valenciyani или в отклике на вакансию

Если вы прочитали и подумали, что по каким-то параметрам не дотягиваете, но очень хотите развиваться в этой области - приходите поговорить, не стесняйтесь.

PS. Наша команда активно проводит свои технические митапы и участвует в профильных технических конференциях (DevOps Conf, Highload).
Как пример, смотрите записи на нашем YouTube канале
Контейнерная оркестрация на отечественном
DevSecOps

Поиск Kubernetes Secrets на GitHub: исследование от Aqua Security

Всем привет!

По ссылке доступны результаты исследования, проведенного командой Nautilus (Aqua Security) в ноябре 2023. Основной задачей был поиск секретов Kubernetes (преимущественно dockercfg и dockerconfigjson), которые можно получить из общедоступной информации.

Для этого ребята воспользовались API GitHub и сосредоточились на поиске данных, в которых были указаны user и password. Получилось найти 438 записи, из которых 203 (~ 46%) были актуальными и ими можно было воспользоваться для получения доступа к репозиториям Компаний.

Больше деталей, статистики и аналитики по полученным результатам можно найти в статье (например, данные о registry, к которым можно было получить доступ с использованием найденных учетных записей, а также информация о некоторых Компаниях, которые стали «жертвой» исследователей).

Завершает материал небольшая заметка о том, почему не все утилиты по поиску секретов могут решить указанную проблему «по умолчанию», без дополнительных настроек. В качестве примеров ребята взяли 3 утилиты: GitLeaks, Trufflehog и Trivy.

Получившийся результат лишний раз показывает, что не стоит пренебрегать, казалось бы, очевидными практиками безопасности и анализировать commit и repo на предмет наличия в них секретов. Ведь причин, по которым они могут туда попасть очень много – от неосторожности пользователя до злонамеренных действий.

API, Web Security и много чего еще!

Всем привет!

По ссылке представлен «блог» специалиста по информационной безопасности, который агрегирует много информации: от основ сетей и программирования до обеспечения безопасности Web-приложений и API.

Материал структурирован по разделам:
🍭 API Security (Recon, Injection, Broken Authentication, SSRF и т.д.). Можно найти приятный MindMap на тему OWASP Top 10
🍭 Web AppSec (Recon, CORS, CSRF, Injection, Subdomain Takeover и т.д.)
🍭 BugBounty (Hunting Methodology)
🍭 Android AppSec (RoadMap for Android App Pentesting)

Наполнение варьируется – где-то можно найти много полезной информации с описанием, примерами, командами, утилитами и т.д. А где-то – ссылки на полезные материалы по теме. Надеемся, что Автор продолжит развивать свой ресурс, наполняя его интересными артефактами 😊

Управление ресурсами Kubernetes

Всем привет!

Наличие Request и Limits одна из редких рекомендаций, которую стараются придерживаться как ИТ, так и ИБ-специалисты.

Самым частым вопросом с котором можно столкнуться при проработке – «А сколько надо? Как это можно понять?».

Например, с использованием утилиты Kubernetes Resource Recommender (KRR). Она анализирует данные, собираемые с pod, из Prometheus и предоставляет рекомендаций по Requests/Limits для CPU/RAM конечному пользователю. С запросами, которые использует утилита для получения данных и с примерами ее работы можно ознакомиться в repo проекта.

Альтернативный способ – Goldilocks. В основе результатов ее работы лежит механизм vertical-pod-autoscaler, запущенный в рекомендательном режиме. Подробнее о ней можно почитать в документации.

Хотя, даже зная какие ресурсы рекомендуется поставить конкретному ресурсу, можно столкнуться с некоторыми особенностями. Например, наличие Limits у CPU может привести к throttling, а наличие overcommit по RAM (Burstable QoS) более часто приводит к OOMKilled.

Если тема Вам интересна – рекомендуем посмотреть презентацию Henning Jacobs «Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latency», которую он рассказывал на HighLoad в 2018 году.

Attacking API

Всем привет!

По ссылке доступна еще одна статья для неторопливого и вдумчивого чтения (~ 34 минуты) от Hadess, посвященная API Security.

В материале можно найти:
🍭 Поиск API ключей
🍭 Атаки на JSON Web Token (JWT)
🍭 Обход аутентификации
🍭 Атаки, связанные с учетными данными
🍭 Отсутствие Rate Limits
🍭 Различные инъекции (SQL, Command) и многое другое

Для каждого раздела приводятся теоретическое описание «Что это такое», способы защиты, а также примеры «Как хорошо» и «Как делать не надо» на Java и .NET (C#)

Hardening Kubernetes с использованием возможностей Linux

Всем привет!

Linux предоставляет крайне мощные возможности по обеспечению информационной безопасности. Но есть нюанс – все это надо правильно настроить и поддерживать в актуальном состоянии. Это может быть не самой простой задачей на большой выборке контейнеров.

В статье Авторы рассматривают (практически) стандартные механизмы защиты применительно к Kubernetes:
🍭 Использование strace и чем она может быть полезна
🍭 Falco и мониторинг деятельности контейнера
🍭 AuditPolicy и сбор логов с kube-apiserver
🍭 AppArmor для контроля возможностей capabilities процессов
🍭 Seccomp для контроля syscalls

Каждый раздел содержит базовое описание что это и зачем это нужно, а также набор примеров, помогающих лучше разобраться и погрузиться в тему.

Принципы обеспечения ИБ для Package Repository

Всем привет!

Команда OpenSSF продолжает развивать практики обеспечения информационной безопасности для open source проектов и не только.

Недавно они выпустили небольшой framework, посвященный защите Package Repository. Согласно материалу, есть 4 основные категории:
🍭 Authentication
🍭 Authorization
🍭 General Capabilities
🍭 CLI Tooling

Для каждой категории framework определяет 4 уровня зрелости: от базовых ИБ-практик до продвинутых.

Рекомендации, соответствующие уровням зрелости, описаны для каждой категории отдельно, детализация – средняя. Материал относительно новый и, надеемся, будет продолжать развиваться ☺️

Безопасная настройка Docker

Всем привет!

Kubernetes – популярное решение по управлению контейнерами. Однако, для многих задач он может быть избыточен, и пользователи продолжают использовать Docker, запускать приложения через Docker Compose и вполне хорошо себя при этом чувствовать.

При этом для Kubernetes есть множество материалов, содержащих рекомендации по его настройке, примеров (не) правильных конфигураций, средств автоматизации (как open source, так и коммерческих) и много чего еще.

С Docker ситуация обстоит несколько хуже. Чтобы это исправить, предлагаем Вашему вниманию поистине большой материал, посвященный hardening’у Docker.

Материал разбит на разделы:
🍭 Docker Host
🍭 Docker Daemon
🍭 Containers Security
🍭 Automatic Image Scanning
🍭 AppArmor, Seccomp, и не только

И, что самое классное, в статье очень-очень-очень много примеров, команд, скриншотов и теоретической информации о том, что и зачем надо делать. Рекомендуем к изучению!

Курс по управлению уязвимостями от Chainguard

Всем привет!

Chainguard выпустили курс по управлению уязвимостями с говорящим названием «Painless Vulnerability Management».

Если вдруг вы про них не слышали, то это ребята, которые, в том числе, занимаются безопасностью образов контейнеров.

Курс состоит из следующих разделов:
🍭 Software Vulnerability Overview
🍭 How to Manage CVEs
🍭 More Secure Base Images
🍭 Chainguard Images to the Rescues
🍭 Final Project

Подробное описание курса можно найти по ссылке. На полное прохождение потребуется от 3-х до 5-и часов

Awesome CI/CD Security

Всем привет!

Еще одна awesome-подборка. На этот раз посвященная обеспечению информационной безопасности конвейеров сборки и доставки.

Материал содержит ссылки на:
🍭 Общая информация: риски CI/CD, ошибки конфигурации, статьи про их эксплуатацию и т.д.
🍭 Обеспечение ИБ GitLab CI, Jenkins, GitHub Actions
🍭 ArgoCD и как его настроить в защищенном исполнении
🍭 Наборы видеоматериалов
🍭 Репозитории с полезными материалами и playground
🍭 Примеры реализованных атак на CI/CD

Надеемся, что Вы подберете что-нибудь для себя для изучения в первые выходные Весны ☺️