Kubernetes Security for dummies

Всем привет!

Еще одна электронная книга (~52 страницы) от Wiz, на этот раз посвященная защите контейнеров (предыдущая описывала концепт CNAPP и про нее мы писали тут).

Содержание книги состоит из разделов:
🍭 Living in a Cloud-Native World
🍭 Securing Kubernetes
🍭 Securing Containers
🍭 Keeping Kubernetes Compliant
🍭 Implementing a Container Security Solution
🍭 Ten Kubernetes Security Best Practices

Книга, хоть и не содержит детальных how to, но дает хорошее общее представление о том, на что обращать внимание при проработке концепции защиты кластеров Kubernetes

Тестирование производительности CoreDNS

Всем привет!

CoreDNS очень популярное решение, которое используется в кластерах Kubernetes. Он функционален, легковесен, удобен.

Сервис сам по себе достаточно критичный, поэтому команда Nortflank задумалась о том, насколько же он надежен. Для этого они решили провести его performance testing.

Есть несколько open source решений, которые могут помочь: DNSPerf, Resperf, Dnsdiag, Queryperf. Выбор Авторов пал на DNSPerf. Для анализа подготовили смешанный набор тестов: external, internal, не существующие записи.

Дальше все как обычно:
🍭 Создание кластера Kubernetes (GKE в случае Авторов)
🍭 Установка CoreDNS и DNSPerf
🍭 Генерация тестов для DNSPerf
🍭 Тесты, тесты, тесты, тесты

Что ж! В целом CoreDNS показал себя хорошо. Для тех, кому интересно – в завершении статьи есть табличка с разными результатами, в зависимости от количества CPU, а так же размышления Авторов на тему оптимизации работы CoreDNS.

Всем привет!

Мы ищем DevOps-инженера в нашу команду.

Совместно с нами тебе предстоит строить инфраструктуры на основе Kubernetes.

Если тебе интересны красивые и масштабные инженерные решения, читай подробности ниже и приходи к нам на собеседование.

🔹Требования к кандидату: https://hh.ru/vacancy/92963025

🔹Заработная плата: з/п в рынке и зависит от имеющихся навыков кандидата

🔹Формат работы: удаленка из регионов России или гибрид с офисом в центре Москвы

🔹Резюме и вопросы присылайте в телеграм нашему HR @valenciyani или в отклике на вакансию

Если вы прочитали и подумали, что по каким-то параметрам не дотягиваете, но очень хотите развиваться в этой области - приходите поговорить, не стесняйтесь.

PS. Наша команда активно проводит свои технические митапы и участвует в профильных технических конференциях (DevOps Conf, Highload).
Как пример, смотрите записи на нашем YouTube канале
Контейнерная оркестрация на отечественном
DevSecOps

Поиск Kubernetes Secrets на GitHub: исследование от Aqua Security

Всем привет!

По ссылке доступны результаты исследования, проведенного командой Nautilus (Aqua Security) в ноябре 2023. Основной задачей был поиск секретов Kubernetes (преимущественно dockercfg и dockerconfigjson), которые можно получить из общедоступной информации.

Для этого ребята воспользовались API GitHub и сосредоточились на поиске данных, в которых были указаны user и password. Получилось найти 438 записи, из которых 203 (~ 46%) были актуальными и ими можно было воспользоваться для получения доступа к репозиториям Компаний.

Больше деталей, статистики и аналитики по полученным результатам можно найти в статье (например, данные о registry, к которым можно было получить доступ с использованием найденных учетных записей, а также информация о некоторых Компаниях, которые стали «жертвой» исследователей).

Завершает материал небольшая заметка о том, почему не все утилиты по поиску секретов могут решить указанную проблему «по умолчанию», без дополнительных настроек. В качестве примеров ребята взяли 3 утилиты: GitLeaks, Trufflehog и Trivy.

Получившийся результат лишний раз показывает, что не стоит пренебрегать, казалось бы, очевидными практиками безопасности и анализировать commit и repo на предмет наличия в них секретов. Ведь причин, по которым они могут туда попасть очень много – от неосторожности пользователя до злонамеренных действий.

API, Web Security и много чего еще!

Всем привет!

По ссылке представлен «блог» специалиста по информационной безопасности, который агрегирует много информации: от основ сетей и программирования до обеспечения безопасности Web-приложений и API.

Материал структурирован по разделам:
🍭 API Security (Recon, Injection, Broken Authentication, SSRF и т.д.). Можно найти приятный MindMap на тему OWASP Top 10
🍭 Web AppSec (Recon, CORS, CSRF, Injection, Subdomain Takeover и т.д.)
🍭 BugBounty (Hunting Methodology)
🍭 Android AppSec (RoadMap for Android App Pentesting)

Наполнение варьируется – где-то можно найти много полезной информации с описанием, примерами, командами, утилитами и т.д. А где-то – ссылки на полезные материалы по теме. Надеемся, что Автор продолжит развивать свой ресурс, наполняя его интересными артефактами 😊

Управление ресурсами Kubernetes

Всем привет!

Наличие Request и Limits одна из редких рекомендаций, которую стараются придерживаться как ИТ, так и ИБ-специалисты.

Самым частым вопросом с котором можно столкнуться при проработке – «А сколько надо? Как это можно понять?».

Например, с использованием утилиты Kubernetes Resource Recommender (KRR). Она анализирует данные, собираемые с pod, из Prometheus и предоставляет рекомендаций по Requests/Limits для CPU/RAM конечному пользователю. С запросами, которые использует утилита для получения данных и с примерами ее работы можно ознакомиться в repo проекта.

Альтернативный способ – Goldilocks. В основе результатов ее работы лежит механизм vertical-pod-autoscaler, запущенный в рекомендательном режиме. Подробнее о ней можно почитать в документации.

Хотя, даже зная какие ресурсы рекомендуется поставить конкретному ресурсу, можно столкнуться с некоторыми особенностями. Например, наличие Limits у CPU может привести к throttling, а наличие overcommit по RAM (Burstable QoS) более часто приводит к OOMKilled.

Если тема Вам интересна – рекомендуем посмотреть презентацию Henning Jacobs «Optimizing Kubernetes Resource Requests/Limits for Cost-Efficiency and Latency», которую он рассказывал на HighLoad в 2018 году.

Attacking API

Всем привет!

По ссылке доступна еще одна статья для неторопливого и вдумчивого чтения (~ 34 минуты) от Hadess, посвященная API Security.

В материале можно найти:
🍭 Поиск API ключей
🍭 Атаки на JSON Web Token (JWT)
🍭 Обход аутентификации
🍭 Атаки, связанные с учетными данными
🍭 Отсутствие Rate Limits
🍭 Различные инъекции (SQL, Command) и многое другое

Для каждого раздела приводятся теоретическое описание «Что это такое», способы защиты, а также примеры «Как хорошо» и «Как делать не надо» на Java и .NET (C#)

Hardening Kubernetes с использованием возможностей Linux

Всем привет!

Linux предоставляет крайне мощные возможности по обеспечению информационной безопасности. Но есть нюанс – все это надо правильно настроить и поддерживать в актуальном состоянии. Это может быть не самой простой задачей на большой выборке контейнеров.

В статье Авторы рассматривают (практически) стандартные механизмы защиты применительно к Kubernetes:
🍭 Использование strace и чем она может быть полезна
🍭 Falco и мониторинг деятельности контейнера
🍭 AuditPolicy и сбор логов с kube-apiserver
🍭 AppArmor для контроля возможностей capabilities процессов
🍭 Seccomp для контроля syscalls

Каждый раздел содержит базовое описание что это и зачем это нужно, а также набор примеров, помогающих лучше разобраться и погрузиться в тему.

Принципы обеспечения ИБ для Package Repository

Всем привет!

Команда OpenSSF продолжает развивать практики обеспечения информационной безопасности для open source проектов и не только.

Недавно они выпустили небольшой framework, посвященный защите Package Repository. Согласно материалу, есть 4 основные категории:
🍭 Authentication
🍭 Authorization
🍭 General Capabilities
🍭 CLI Tooling

Для каждой категории framework определяет 4 уровня зрелости: от базовых ИБ-практик до продвинутых.

Рекомендации, соответствующие уровням зрелости, описаны для каждой категории отдельно, детализация – средняя. Материал относительно новый и, надеемся, будет продолжать развиваться ☺️

Безопасная настройка Docker

Всем привет!

Kubernetes – популярное решение по управлению контейнерами. Однако, для многих задач он может быть избыточен, и пользователи продолжают использовать Docker, запускать приложения через Docker Compose и вполне хорошо себя при этом чувствовать.

При этом для Kubernetes есть множество материалов, содержащих рекомендации по его настройке, примеров (не) правильных конфигураций, средств автоматизации (как open source, так и коммерческих) и много чего еще.

С Docker ситуация обстоит несколько хуже. Чтобы это исправить, предлагаем Вашему вниманию поистине большой материал, посвященный hardening’у Docker.

Материал разбит на разделы:
🍭 Docker Host
🍭 Docker Daemon
🍭 Containers Security
🍭 Automatic Image Scanning
🍭 AppArmor, Seccomp, и не только

И, что самое классное, в статье очень-очень-очень много примеров, команд, скриншотов и теоретической информации о том, что и зачем надо делать. Рекомендуем к изучению!

Курс по управлению уязвимостями от Chainguard

Всем привет!

Chainguard выпустили курс по управлению уязвимостями с говорящим названием «Painless Vulnerability Management».

Если вдруг вы про них не слышали, то это ребята, которые, в том числе, занимаются безопасностью образов контейнеров.

Курс состоит из следующих разделов:
🍭 Software Vulnerability Overview
🍭 How to Manage CVEs
🍭 More Secure Base Images
🍭 Chainguard Images to the Rescues
🍭 Final Project

Подробное описание курса можно найти по ссылке. На полное прохождение потребуется от 3-х до 5-и часов

Awesome CI/CD Security

Всем привет!

Еще одна awesome-подборка. На этот раз посвященная обеспечению информационной безопасности конвейеров сборки и доставки.

Материал содержит ссылки на:
🍭 Общая информация: риски CI/CD, ошибки конфигурации, статьи про их эксплуатацию и т.д.
🍭 Обеспечение ИБ GitLab CI, Jenkins, GitHub Actions
🍭 ArgoCD и как его настроить в защищенном исполнении
🍭 Наборы видеоматериалов
🍭 Репозитории с полезными материалами и playground
🍭 Примеры реализованных атак на CI/CD

Надеемся, что Вы подберете что-нибудь для себя для изучения в первые выходные Весны ☺️

Мы продолжаем радовать Вас интересными событиями!

В этот раз делимся информацией о выступлении наших ребят из команды DevSecOps на DevOpsConf 2024.


🍭Kubernetes и сеть: история одного TelcoCloud
Спикер: Степан Чернов
Когда: 4 марта 12:20 - 13:10
Где: Зал Дели + Калькутта


🍭Kyverno: старт без грабель
Спикер: Антон Гаврилов
Когда: 5 марта 17:00 - 17:50
Где: Зал Пекин

Приходите, будет интересно!

Управление секретами с Infisical

Всем привет!

Infisical – open source платформа, которая может быть использована для управления секретами. Доступна как облачная версия, так локальная (Docker Compose, Kubernetes).

Система предоставляет следующий функционал:
🍭 Web UI, на котором наглядно отображена информация о секретах
🍭 Интеграционные возможности и управление Infisical, среди которых есть SDK, CLI, API
🍭 Поддержка интеграций с большим количеством систем «из коробки» (Kubernetes, GitLab, Jenkins и многое другое)
🍭 Наличие агента, который может «подставлять» секреты в приложения без модификации кода последних
🍭 Идентификация секретов (файлы, директории, git history) и не только

Для того, чтобы лучше узнать о возможностях системы, способах установки и настройки, рекомендуем ознакомиться с документацией

Компрометация k8s-кластеров AliBaba

Всем привет!

По ссылке можно ознакомиться с захватывающей историей, повествующей о том, как команда WIZ смогла «захватить» Managed Kubernetes Cluster в AliBaba Cloud.

За основу для анализа взяли PostgreSQL: сложная, многофункциональная, относительно проста для code execution.

При проведении первичного анализа ничего интересного не нашлось:
🍭 Это контейнер, повышенных привилегий нет
🍭 Shared namespaces – аналогично, все хорошо настроено
🍭 Shared resources – тоже самое, ни к чему не придраться

Команда не опустила руки, решила проводить дальнейшие исследования. И не зря! Они заметили, что при «включении» опции SSL-encryption, в том числе, вызывалась команда scp (для копирования сертификатов).  А если есть scp, то где-то можно найти /.ssh/config… Именно так WIZ получили reverse shell для доступа к ресурсам AliBaba.

А дальше – как обычно. Сбор информации, понимание контекста, нет-нет, да и встретится .dockerconfigjson. И не самый обычный, а от внутреннего Registry. Т.е. команда могла пойти дальше и поместить вредоносные образы, которые бы благополучно распространялись по кластерам Kubernetes.

Debug контейнеров в Kubernetes

Всем привет!

Debug – штука крайне важная и полезная! Но как ее делать для запущенных контейнеров в кластере Kubernetes? Одно из первых действий, что приходит на ум - exec. Но что, если это distroless образ или необходимые утилиты для полноценного debug отсутствуют?

Собирать образ по новой и ждать того «события», когда все сломается и надо искать причину? Наверное, так можно, но это точно не самый оптимальный способ!

Альтернативный метод – использование kubectl debug. Именно принципам ее работы и использованию посвящена статья.

В ней Автор разбирает:
🍭 Использование команды (запуск, установка «инструментария»)
🍭 Принципы работы («что под капотом?»)
🍭 Использование volume mounts для debug-контейнеров (потребуется дополнительный скрипт)

Все наглядно – команды, примеры, пояснения. Завершает статью взгляд Автора на решение аналогичной задачи с использованием «Non-Kubernetes native approaches»

Поиск секретов… в видео!

Всем привет!

Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.

В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?

Примерно для таких случаев команда GitLab разработала собственное решение (которое выложила в open source), анализирующая видео с YouTube!

Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns

Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!

P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов

Немного видео про Kubernetes.

Всем привет!

Недавно на Reddit появилась замечательная подборка видео с различных конференций про Kubernetes! Создатель запустил свою новостную ленту Tech Talks Weekley и собрал отличную коллекцию записей! Так что если любимые сериалы закончились, а новых ещё не завезли, то рекомендуем вам посмотреть ещё немного видео об этом замечательном оркестраторе за чашечкой кофе или чая🤗 Сразу предупредим, чашечек потребуется много😁

Лабораторные от WIZ

Всем привет!

Отличный подарок от команды WIZ – лабораторные работы (в формате CTF) по теме безопасности контейнеров!

Ребята подготовили 5 лабораторных:
🍭 Recon. Ищем internal services из компрометированного pod
🍭 Finding Neighbours. Невидимые sidecars и их секреты
🍭 Data Leakage. Использование устаревшей технологии… в production!
🍭 Bypassing boundaries. С большой силой приходит большая… ну вы знаете 😊
🍭 Lateral Movemement. Мутации не всегда доводят до добра

Ничего устанавливать не надо, все доступно прямо из Вашего браузера. Удачи!

P.S. Единственный недостаток лабораторных – их мало, хочется еще! 😊