Kubernetes Security and Observability

Всем привет!

В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.

Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?

Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊

Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое

Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде

Kubernetes… это просто Linux!

Всем привет!

Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.

В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.

Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование cgroups для управления ресурсами
🍭 Изоляция практически всего с использованием Linux namespaces
🍭 Фильтрация трафика с использованием iptables
🍭 Использование возможностей Linux для хранения данных и многое другое

Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?

Использование Nuclei для поиска уязвимостей

Всем привет!

В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.

Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity

После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.

Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊

SCALIBR: анализ open source от Google

Всем привет!

SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.

На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только

С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).

Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.

Poutine! Анализ конфигурации CI

Всем привет!

Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.

На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab (в качестве основы проверок, конечно же, OPA 😊).

Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.

Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о  GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.

Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!

Повышение привилегий в Docker через Search Permissions

Всем привет!

Допустим, что у вас есть учетная запись с UID = 1000. Она может перезагружать рабочую станцию, на которой есть Docker и какие-то контейнеры. Выглядит вполне безобидно, неправда ли?

Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до root

Например, можно реализовать вот такой сценарий:
🍭 Права на директорию /var/lib/docker - 711. Читать ничего нельзя, но можно search/execute
🍭 Допустим, что пользователь может пользоваться mount и монтирует данные контейнеров
🍭 Разведка! Ищем что-то с чем может работать наш пользователь
🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊
🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье

На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!

📍 Онлайн-конференция «Российские системы контейнеризации»
🗓 26 апреля, 11:00

Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика.

На мероприятии вы узнаете:
🔶 В чем преимущества контейнеров относительно серверной виртуализации?
🔶 Кто и зачем использует контейнеризацию в России?
🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes?
🔶 С чего начать создание собственной среды контейнеризации?
🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет?

От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.

OSV: автоматическое устранение уязвимостей в зависимостях

Всем привет!

В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях.

На текущий момент функционал находится в стадии [Experimental], поддерживается только package.json и package-lock.json.

OSV предлагает следующее:
🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей
🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных
🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только

OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение.

P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"

Iptables и Kubernetes

Всем привет!

Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊

Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables!

В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах.

Рассматривается:
🍭 Описание правил
🍭 Работа с chains
🍭 Добавление правил в custom chain
🍭 Управление логами Iptables
🍭 Использование Iptables для защиты Kubernetes и не только

В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️

БЕКОН: когда много «мяса»!

Всем привет!

Все именно так! Для тех, кто не знает, БЕКОН – конференция, посвященная безопасности контейнеров и всего, что с ними связано, созданная командой Luntry. В этом году она пройдет во второй раз!

Никакой воды, маркетинга, рекламы, product placement и всего такого. Только «мясо». Много «мяса» и технических подробностей реализации нетривиальных задач!

С полным описанием программы конференции можно ознакомиться на сайте. Мы лишь подсветим компании, которые представляют спикеры:
🍭 Tinkoff
🍭 Luntry
🍭 Samokat Tech
🍭 Сбертех
🍭 Флант
🍭 Яндекс Финтех
🍭 Лаборатория Числитель

Конференция пройдет 5-ого июня, в Москве (Loft Hall). Приходите, будет «вкусно», интересно и чрезвычайно полезно! И будем очень рады, если вы придете поддержать Алису Кириченко, которая выступит с докладом, посвященным работе с Audit Logs в Kubernetes 😊

Vulnerability Management: ключевая проблематика и стоимость

Всем привет!

«Сколько, в среднем, стоит устранение уязвимостей в Компаниях?» - именно такой вопрос задала себе команда Chainguard (одним из направления деятельности, которых является создание минималистичных образов контейнеров, в которых уязвимостей значительно меньше, чем в «обычных»).

Для того, чтобы ответить на этот вопрос Команда провела небольшое исследование, результаты которого можно найти в приложении.

Если кратко, то:
🍭 Оценить время для tirage конкретной CVE затруднительно. Оно может варьироваться от 20 минут до нескольких недель
🍭 Большое количество действий при tirage. Обилие данных может привести к «открытию и чтению десятков вкладок» браузера, чтобы понять «что это есть на самом деле»
🍭 Shift Left не панацея. Уязвимости могут появляться ежедневно, поэтому управлять ими надо в «режиме реального времени»
🍭 Некоторые компании тратят тысячи часов на процесс управления уязвимостями. Грубо говоря, 1 и более сотрудников полноценно занимаются только этим в течение года

Для того, чтобы избежать этих проблем Chainguard предлагает свой подход. Суть его, хоть и похожа, но отличается в корне – не исправлять уязвимости в образах контейнеров, а использовать образы, в которых количество уязвимостей сведено к минимуму.

А что вы думаете по этому поводу? Имеет ли такой подход место быть и нужно ли стремиться к «zero tolerance»?

GitLab: CIS Benchmark

Всем привет!

В апреле этого года GitLab совместно с Center for Internet Security (CIS) выпустили CIS GitLab Benchmark (~ 301 страница), который можно найти в приложении.

В документе содержится перечень рекомендаций для аудита и настройки механизмов безопасности при использовании GitLab.

Рекомендации делятся на 5 глобальных блоков:

🍡Source Code (исходный код)
🍡Build Pipelines (среда и конфигурационный файл сборки)
🍡Dependencies (зависимости)
🍡Artifacts (артефакты)
🍡Deployments (конфигурационные файлы для развертывания приложения)

Документ похож на CIS Benchmark for Supply Chain, который CIS выпускала ранее. Он может быть крайне полезен, если вы используете GitLab и хотите настроить его с учетом ИБ-практик

Linux Exploit Education

Всем привет!

Скоро будут вторые майские праздники, в которые можно поучиться чему-нибудь новому! Предлагаем вам обратить внимание на проект «Exploit Education», который позволит углубиться в тонкости работы с Linux.

Сами лабораторные работы представляют из себя набор виртуальных машин (увы, online не получится), в которых есть задания на различные тематики.

Например:
🍭 Nebula. Повышение привилегий в Linux, состояние гонок в файловой системе, проблемы в noscripting languages
🍭 Phoenix. Работа с дефектами, характерными для памяти
🍭 Fusion. Аналогично Phoenix, но предлагает более сложные сценарии

В среднем, в каждой виртуальной машине содержится примерно 15 заданий. Уровень сложности варьируется – от Nebula к Fusion он повышается.

Управление секретами: Vault и External Secrets Operator

Всем привет!

«Среда – это маленькая пятница!» Сегодня так уж точно ☺️ Поэтому предлагаем вашему вниманию небольшую статью.

В ней Автор рассматривает возможность динамического управления секретами в Kubernetes с использованием HashiCorp Vault и External Secrets Operator (ESO).

Предлагается следующий алгоритм:
🍭 Установка Vault и ESO
🍭 Создание Read Token в Vault для настройки взаимодействия с ESO
🍭 Создание Secret Engines и Secrets в Vault
🍭 Создание External Secret, обновление Secret на стороне Vault, синхронизация с Secret в Kubernetes

Ничего лишнего. Только примеры, screenshots, комментарии и конфигурационные файлы! А если хочется больше узнать про используемые в статье технологии – то в ней есть ссылки на все необходимое.

И, пользуясь случаем, поздравляем вас с наступающими праздниками! Желаем отлично провести время, набраться сил и до встречи на следующей неделе! ☺️

Как работает Kubectl?

Всем привет!

Если вам хоть раз доводилось «что-то» с Kubernetes, то вы точно использовали kubectl. Но задавались ли вы вопросом – а что именно она делает и как она устроена?

Если нет, то рекомендуем прочесть статью, в которой описаны основные принципы работы этой удобной утилиты.

Например:
🍭 Где и как она ищет kubeconfig
🍭 Почему и зачем в kubeconfig приведены именно эти параметры
🍭 Какие способы аутентификации она использует
🍭 Как можно воспроизвести (ну почти) ее действия с использованием обычного curl

В завершении статьи Автор предлагает пойти дальше – скачать себе ее repo, посмотреть на исходный код и добавить собственную функцию

CyberCamp: прием заявок до 1-ого июня!

Всем привет!

Ранее мы писали про открытие Call For Papers (CFP) на CyberCamp – мероприятия, в котором соединяется теория и практика!

CyberCamp проходит в online формате (как теория, так и практика) и собирает более 10 000 участников, объединенных любовью к информационной безопасности и тягой к знаниям.

Если у вас есть что рассказать (по тематике безопасной разработки, DevSecOps и не только), то приглашаем вас откликнуться и стать частью CyberCamp 2024! Крайний срок подачи заявок – 1-ое июня 2024 года.

Подробности можно найти по ссылке. Да, есть небольшая анкета, которую надо заполнить, но, обещаем, это не займет много времени! Спасибо и до встречи на мероприятии! ☺️

Cilium Network Policy: материал для погружения

Всем привет!

По ссылке можно найти весьма неплохую статью (~ 18 минут чтения) для погружения в Network Policy Kubernetes, которые можно реализовать при использовании Cilium.

Начинается все достаточно «безобидно» - общие концепты про взаимодействие pod, про основные «поля» Network Policy (selector, direction, types и т.д.).

Дальше становится интереснее Enforcement Mode, Application Discovery, Security Identity, использование Hubble для просмотра трафика между pods и, конечно же, возможные варианты troubleshooting.

Все указанные концепции рассматриваются на примере небольшого приложения, для которого Автор описывает необходимые политики контроля сетевого трафика.

Вакансия DevSecOps-инженера в Инфосистемы Джет.

Всем привет! А вот и наша непостоянная рубрика "вакансии" :)

Сейчас мы активно расширяем команду и ищем DevSecOps инженера.
Перечень задач весьма обширный и обсуждается индивидуально исходя из ваших возможностей и предпочтений, но если коротко, то вот он:
🔹внедрение инструментов DevSecOps (SAST, DAST, Container Security, Secret Management, OSA\SCA, ASOC)
🔹формирование процессов безопасной разработки (проведение аудитов по фреймворкам BSIMM, SAMM, DAF, разработка документации и консалтинг)
🔹создание новых и совершенствование существующих в компании сервисов в части безопасной разработки

Требования к кандидату, условия работы и наши ожидания: https://jet.su/career/vacancies/inzhener-devsecops/

Формат работы: гибрид с офисом в центре Москвы

Резюме и вопросы присылайте в телеграм нашему HR @BigmanVictoria или в отклике на вакансию

Если вы прочитали и подумали, что по каким-то параметрам не дотягиваете, то посмотрите на еще одну нашу интересную вакансию https://hh.ru/vacancy/96999601 ☺️

Network Policy Templating с использованием Helm

Всем привет!

Продолжаем тему работы с сетевыми политиками. Сегодня хочется поделиться интересным и удобным подходом к их управлению. А именно – использованием Helm Template.

В статье Автор предлагает следующее:
🍭 Создание сетевой политики, например, с использованием Cilium Network Policy Editor
🍭 Создание Helm Template на базе ранее созданной политики
🍭 Подготовка Helpers (podSelector, ingress, egress, cidr block и т.д.)
🍭 Тестирование! 😊

Все примеры и пояснения можно найти в статье. Но зачем использовать Helm? Все просто – политики могут отличаться в зависимости от ситуации, но «ядро политики» может быть одним.

Поэтому может быть проще не создавать отдельные NetworkPolicy файлы, а осуществлять управление через разные Helm Values и Helpers.

Обогащение информации по уязвимостям

Всем привет!

По ссылке можно найти repository, в котором содержится обогащенная информация по CVE. Проект и работа по нему курируется CISA.

Если совсем просто, то CVE обогащаются информацией на основании SSVC scoring (наработки CISA, о которых можно прочесть тут).

В «расширении» информации об уязвимости могут быть добавлены поля
🍭 Exploitation status
🍭 Technical impact
🍭 Automatable

Зачем это может пригодиться? Например, для расстановки приоритетов в устранении уязвимостей, который, зачастую, дается очень не просто

Semgrep Academy: новые курсы!

Всем привет!

Недавно мы писали про Semgrep Academy (вот тут). На тот момент, курсов было немного, но! Недавно их стало больше!

Были добавлены:
🍭 API Security Mini Course (16 уроков, 30 минут видео)
🍭 Secure Coding (70 уроков, 2 часа виде)
🍭 Semgrep 101 (27 уроков, 1 час видео)

Курсы достаточно общие, зато охватывают много областей. С "программой" можно ознакомиться по ссылке из поста, регистрация не требуется.

Надеемся, что проект будет развиваться, появятся лабораторные работы и, возможно, экзамены ☺️