OpenCRE: mapping ИБ-стандартов
Всем привет!
По ссылке доступен проект OpenRCE. Его задача в том, чтобы сделать mapping практик между различными ИБ-стандартами.
Если вы изучали некоторые, то, вероятно, замечали: на первый взгляд они кажутся разными, но пересечений бывает очень много.
Возможно, вы делаете свой собственный набор, собирая информацию из различных стандартов и обогащая ее собственным видением. Рано или поздно захочется сделать mapping на источники. Как раз тут вам может помочь проект OpenCRE.
На текущий момент в нем есть:
🍭 OWASP (Top 10, ASVS, SAMM и т.д.)
🍭 CWE
🍭 CAPEC
🍭 NIST 800 53
🍭 NIST SSDF
Пользоваться им просто – переходите в раздел «Map Analysis», выбираете 2 интересующих вас стандарта – готово!
Из недостатков – результаты сравнения нельзя выгрузить и использовать в дальнейшей работе. Более подробно про проект и его возможности можно узнать в видео.
Всем привет!
По ссылке доступен проект OpenRCE. Его задача в том, чтобы сделать mapping практик между различными ИБ-стандартами.
Если вы изучали некоторые, то, вероятно, замечали: на первый взгляд они кажутся разными, но пересечений бывает очень много.
Возможно, вы делаете свой собственный набор, собирая информацию из различных стандартов и обогащая ее собственным видением. Рано или поздно захочется сделать mapping на источники. Как раз тут вам может помочь проект OpenCRE.
На текущий момент в нем есть:
🍭 OWASP (Top 10, ASVS, SAMM и т.д.)
🍭 CWE
🍭 CAPEC
🍭 NIST 800 53
🍭 NIST SSDF
Пользоваться им просто – переходите в раздел «Map Analysis», выбираете 2 интересующих вас стандарта – готово!
Из недостатков – результаты сравнения нельзя выгрузить и использовать в дальнейшей работе. Более подробно про проект и его возможности можно узнать в видео.
👍7🔥2
История Kubernetes
Всем привет!
Пятница – самое время для интересного и приятного чтения чего-то не очень сложного, а даже наоборот, расслабляющего!
Думаем, что статья Brian Grant подойдет! В ней он описывает долгий и интересный путь создания того, что мы знаем, как Kubernetes.
Материал разделен на этапы:
🍭 Lessons from Borg and Omega: 2009–2013
🍭 Early Container Product API Design: 2H2013
🍭 Ramp to Launch: 1H2014
🍭 Finishing the Implementation of the Design: 2H2014
🍭 The Home Stretch: 1H2015
Началось все с того, что нужно было оптимизировать производительность за счет параллельной обработки запросов…
Потрясающий Путь, в котором можно найти предпосылки появления некоторых функций, наброски архитектуры, причины инженерных решений и ответы на некоторые вопросы архитектуры Kubernetes.
А еще можно поиграть в игру – «угадай как эта %сущность% теперь называется в Kubernetes» 😊
Всем привет!
Пятница – самое время для интересного и приятного чтения чего-то не очень сложного, а даже наоборот, расслабляющего!
Думаем, что статья Brian Grant подойдет! В ней он описывает долгий и интересный путь создания того, что мы знаем, как Kubernetes.
Материал разделен на этапы:
🍭 Lessons from Borg and Omega: 2009–2013
🍭 Early Container Product API Design: 2H2013
🍭 Ramp to Launch: 1H2014
🍭 Finishing the Implementation of the Design: 2H2014
🍭 The Home Stretch: 1H2015
Началось все с того, что нужно было оптимизировать производительность за счет параллельной обработки запросов…
Потрясающий Путь, в котором можно найти предпосылки появления некоторых функций, наброски архитектуры, причины инженерных решений и ответы на некоторые вопросы архитектуры Kubernetes.
А еще можно поиграть в игру – «угадай как эта %сущность% теперь называется в Kubernetes» 😊
Medium
Kubernetes: The Road to 1.0
From my work on Borg and Omega, to how Kubernetes got started and launched, to how we decided what was in and out of 1.0 by July 2015.
👍5❤3🔥3
Подпись артефактов: необходимое и/или достаточное условие?
Всем привет!
В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?»
С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет.
Например:
🍭 Как был собран артефакт?
🍭 Какой исходный код использовался?
🍭 Какие параметры сборки передавались и т.д.?
По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию.
В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA.
А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?
Всем привет!
В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?»
С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет.
Например:
🍭 Как был собран артефакт?
🍭 Какой исходный код использовался?
🍭 Какие параметры сборки передавались и т.д.?
По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию.
В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA.
А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?
Ian Lewis
Code Signing is not Enough
Code signing is often used as a method for ensuring that software artifacts like binaries, drivers, and software packages haven’t been modified by a third party before they are used. Many folks may be familiar with packages that were gpg signed and distributed…
👍8
Mindmap на все случаи жизни!
Всем привет!
Многие, для структурирования информации, любят использовать mind map. Выглядит наглядно, красиво и всегда можно «подсмотреть» что и как.
Если вы разделяете этот взгляд, то вот этот ресурс может быть вам интересен. В нем собрано очень-очень-очень большое количество различных mind map.
Безопасную разработку и DevSecOps тоже не обошли стороной:
🍭 DevOps Roadmap
🍭 DevOps Tools
🍭 MITRE ATT&CK Container Matrix
🍭 Vulnerability Scanners и другие
Из приятного – все красиво оформлено и может пригодиться для изучения новых областей или повышения существующий компетенций.
Однако, картинки не являются интерактивными и перейти по ссылке на интересующую «ветку» карты не получится.
Всем привет!
Многие, для структурирования информации, любят использовать mind map. Выглядит наглядно, красиво и всегда можно «подсмотреть» что и как.
Если вы разделяете этот взгляд, то вот этот ресурс может быть вам интересен. В нем собрано очень-очень-очень большое количество различных mind map.
Безопасную разработку и DevSecOps тоже не обошли стороной:
🍭 DevOps Roadmap
🍭 DevOps Tools
🍭 MITRE ATT&CK Container Matrix
🍭 Vulnerability Scanners и другие
Из приятного – все красиво оформлено и может пригодиться для изучения новых областей или повышения существующий компетенций.
Однако, картинки не являются интерактивными и перейти по ссылке на интересующую «ветку» карты не получится.
GitHub
GitHub - Ignitetechnologies/Mindmap: This repository will contain many mindmaps for cyber security technologies, methodologies…
This repository will contain many mindmaps for cyber security technologies, methodologies, courses, and certifications in a tree structure to give brief details about them - Ignitetechnologies/Mindmap
Идентификация Broken Access Control с использованием Semgrep
Всем привет!
Если упростить, то Broken Access Control можно описать примерно так: уязвимость, которая появляется за счет отсутствия/недостаточности проверок на стороне сервера того, что некоторый субъект (subject) может реализовывать определенные действия (operation) над некоторым объектом (object).
Такие уязвимости достаточно часто встречаются и найти их не так просто, в том числе и потому, что сканеры не всегда могут понять нужный «контекст».
В статье Автор предлагает свой подход к идентификации указанных недостатков. В качестве tech stack он использует NestJS и Semgrep, как SAST-инструмент.
«Вымышленное» приложение представляет из себя набор микросервисов, обладает ролевой моделью, а авторизация реализуется с использованием JWT Token. Для контроля действий пользователей предлагается использовать NestJS Guards.
Автор предлагает следующий набор правил Semgrep, чтобы убедиться, что все реализовано "как надо":
🍭 Поиск endpoints у которых отсутствуют Guards
🍭 Использование «нестандартных» Guards
🍭 Идентификация случаев некорректного использования Guards
🍭 Поиск IDOR, где стандартных Guards может быть недостаточно и не только
Каждое правило содержит его YAML-код, описание с комментариями и ссылку на Semgrep-playground.
Статья затрагивает интересный момент: не стоит «слепо» полагаться на SAST-решение. Что оно само все найдет и само предложит, как можно устранить дефект. Альтернативным сценарием использования SAST может быть поиск определенных конструкций. Но только надо знать, что искать 😊
Всем привет!
Если упростить, то Broken Access Control можно описать примерно так: уязвимость, которая появляется за счет отсутствия/недостаточности проверок на стороне сервера того, что некоторый субъект (subject) может реализовывать определенные действия (operation) над некоторым объектом (object).
Такие уязвимости достаточно часто встречаются и найти их не так просто, в том числе и потому, что сканеры не всегда могут понять нужный «контекст».
В статье Автор предлагает свой подход к идентификации указанных недостатков. В качестве tech stack он использует NestJS и Semgrep, как SAST-инструмент.
«Вымышленное» приложение представляет из себя набор микросервисов, обладает ролевой моделью, а авторизация реализуется с использованием JWT Token. Для контроля действий пользователей предлагается использовать NestJS Guards.
Автор предлагает следующий набор правил Semgrep, чтобы убедиться, что все реализовано "как надо":
🍭 Поиск endpoints у которых отсутствуют Guards
🍭 Использование «нестандартных» Guards
🍭 Идентификация случаев некорректного использования Guards
🍭 Поиск IDOR, где стандартных Guards может быть недостаточно и не только
Каждое правило содержит его YAML-код, описание с комментариями и ссылку на Semgrep-playground.
Статья затрагивает интересный момент: не стоит «слепо» полагаться на SAST-решение. Что оно само все найдет и само предложит, как можно устранить дефект. Альтернативным сценарием использования SAST может быть поиск определенных конструкций. Но только надо знать, что искать 😊
Anshumanbhartiya
Anshuman Bhartiya
Welcome to Anshuman Bhartiya's blog. Explore articles on information security, technology, and personal insights.
👍3
Linx Cloud предлагает потестировать Штурвал и Deckhouse в своем облаке.
Всем привет!
Если у вас стоит вопрос выбора коммерческой версии кубер-платформы, но нет ресурсов на то, чтобы их развернуть, - это можно сделать в облаке Linx Cloud https://linx.ru/cloud/kubernetes-clusters. Сейчас в нем развернуты два решения от российских производителей: Штурвал от компании “Лаборатория Числитель” и Deckhouse от компании “Флант”.
Всем привет!
Если у вас стоит вопрос выбора коммерческой версии кубер-платформы, но нет ресурсов на то, чтобы их развернуть, - это можно сделать в облаке Linx Cloud https://linx.ru/cloud/kubernetes-clusters. Сейчас в нем развернуты два решения от российских производителей: Штурвал от компании “Лаборатория Числитель” и Deckhouse от компании “Флант”.
👍3
Trail of Bits Testing Handbook, Web!
Всем привет!
Trail of Bits продолжает радовать отличными материалами и развивать свой проект – «Testing Handbook».
К Static Analysis и Fuzzing (о которых мы писали тут и тут) добавилась новая «глава» Web Application Security, посвященная Burp Suite Professional.
Внутри можно найти:
🍭 Step-by-step guide по первому запуску
🍭 «Ручная» работа с HTTP-запросами
🍭 Работа с Burp Repeater, Intruder, Collaborator
🍭 Общие советы по работе с Burp и не только
Материал будет полезен как и тем, кто только начинает знакомство с Burp, так и тем, кто с ним работает. Если хочется чего-то еще – можно обратить внимание на Web Security Academy.
P.S. Кстати, примерно так может выглядеть внутренняя база знаний по безопасной разработке, о которой так часто упоминают на различных конференциях
Всем привет!
Trail of Bits продолжает радовать отличными материалами и развивать свой проект – «Testing Handbook».
К Static Analysis и Fuzzing (о которых мы писали тут и тут) добавилась новая «глава» Web Application Security, посвященная Burp Suite Professional.
Внутри можно найти:
🍭 Step-by-step guide по первому запуску
🍭 «Ручная» работа с HTTP-запросами
🍭 Работа с Burp Repeater, Intruder, Collaborator
🍭 Общие советы по работе с Burp и не только
Материал будет полезен как и тем, кто только начинает знакомство с Burp, так и тем, кто с ним работает. Если хочется чего-то еще – можно обратить внимание на Web Security Academy.
P.S. Кстати, примерно так может выглядеть внутренняя база знаний по безопасной разработке, о которой так часто упоминают на различных конференциях
appsec.guide
Web application security
Web application security # This section presents web application security tools. For each tool, we cover topics such as:
Installation and basic use Advanced configuration Usage in continuous integration pipelines Burp Suite Professional Burp Suite Professional…
Installation and basic use Advanced configuration Usage in continuous integration pipelines Burp Suite Professional Burp Suite Professional…
👍3🔥2❤1
Чем плохи Long Lived Service Account Tokens в K8S?
Всем привет!
Многие риски ИБ Kubernetes связаны с некорректными конфигурациями ресурсов, включая настройки прав доступа и повышенные привилегии у некоторых ролей (включая роли системных сервисов).
В статье команда GitGuardian рассматривает близкую проблематику, связанную с проблемами использования Long Lived Service Accounts Tokens
В статье рассматривается:
🍭 Что из себя представляют Service Account Tokens
🍭 Зачем они нужны, как используются
🍭 Риски ИБ, связанные с использованием Long Lived Service Account Tokens и другие вопросы
Помимо этого, в статье разбираются причины того, что в некоторых версиях Kubernetes все устроено именно так (хотя практика ограничения времени жизни подобных сущностей является правильной и рекомендуемой).
Завершают статью рекомендации о том, как можно управлять Long Lived Service Account Tokens более безопасно – от использования Service Mesh до TokenRequest API и контроля монтирования Tokens в Pod.
Всем привет!
Многие риски ИБ Kubernetes связаны с некорректными конфигурациями ресурсов, включая настройки прав доступа и повышенные привилегии у некоторых ролей (включая роли системных сервисов).
В статье команда GitGuardian рассматривает близкую проблематику, связанную с проблемами использования Long Lived Service Accounts Tokens
В статье рассматривается:
🍭 Что из себя представляют Service Account Tokens
🍭 Зачем они нужны, как используются
🍭 Риски ИБ, связанные с использованием Long Lived Service Account Tokens и другие вопросы
Помимо этого, в статье разбираются причины того, что в некоторых версиях Kubernetes все устроено именно так (хотя практика ограничения времени жизни подобных сущностей является правильной и рекомендуемой).
Завершают статью рекомендации о том, как можно управлять Long Lived Service Account Tokens более безопасно – от использования Service Mesh до TokenRequest API и контроля монтирования Tokens в Pod.
DEV Community
Understanding the Risks of Long-Lived Kubernetes Service Account Tokens
The popularity of Kubernetes (K8s) as the defacto orchestration platform for the cloud is not showing...
👍2🔥1
Istio AuthN/Z политики и Otterize!
Всем привет!
Service Mesh – достаточно популярный ответ, когда появляется вопрос про контроль сетевого трафика в Kubernetes.
А одной из самых часто вспоминаемых реализаций Service Mesh является Istio. Нюанс в том, что порог входа в работу с ней может быть высок. Чтобы сделать его чуть проще предлагаем вам ознакомиться со статьей.
Авторы рассматривают основные концепты:
🍭 Authorization Policies и их «компоненты»
🍭 Логика «вычисления» политик, если их несколько
🍭 Использование внешних ресурсов для аутентификации и не только
В завершении Авторы рассматривают как их собственные наработки могут оптимизировать управление сетевым трафиком в Kubernetes. Про Otterize Network Mapper и Intents Operator мы писали тут и тут.
Для этого они рассматривают небольшое приложение, состоящее из нескольких сервисов и сценарии, которые позволяют упростить создание Istio Authorization Policy за счет автоматизации.
Всем привет!
Service Mesh – достаточно популярный ответ, когда появляется вопрос про контроль сетевого трафика в Kubernetes.
А одной из самых часто вспоминаемых реализаций Service Mesh является Istio. Нюанс в том, что порог входа в работу с ней может быть высок. Чтобы сделать его чуть проще предлагаем вам ознакомиться со статьей.
Авторы рассматривают основные концепты:
🍭 Authorization Policies и их «компоненты»
🍭 Логика «вычисления» политик, если их несколько
🍭 Использование внешних ресурсов для аутентификации и не только
В завершении Авторы рассматривают как их собственные наработки могут оптимизировать управление сетевым трафиком в Kubernetes. Про Otterize Network Mapper и Intents Operator мы писали тут и тут.
Для этого они рассматривают небольшое приложение, состоящее из нескольких сервисов и сценарии, которые позволяют упростить создание Istio Authorization Policy за счет автоматизации.
Otterize
👍2
Spectra Assure Community: анализ open source!
Всем привет!
Тема безопасности open source не перестает быть актуальной и даже наоборот – все больше и больше набирает обороты. Вспомнить хотя бы то, что было недавно -
Поэтому важно получать как можно больше информации о том, насколько тот или иной пакет «здоров». Есть множество ресурсов, которые помогают получить информацию: БДУ ФСТЭК, NVD, OpenSSF Scorecard, OSV, SCALIBR, Vet, CVEMap, Trusty и много-много-много чего еще.
Сегодня хотим рассказать про еще один такой ресурс – Spectra Assure Community. При помощи него можно проверять более 5 миллионов пакетов из NPM, PyPi и RubyGems.
Он позволяет получить информацию о: вредоносном ПО, code tampering, известным уязвимостям, проблемах с лицензиями, сведения о секретах и общий статус «здоровья» пакета.
Почитать детальнее про то, как создавался ресурс можно по ссылке, а ознакомиться с ним можно вот тут.
Всем привет!
Тема безопасности open source не перестает быть актуальной и даже наоборот – все больше и больше набирает обороты. Вспомнить хотя бы то, что было недавно -
xz, Polyfill. И это не говоря о том, что «следы» Log4Shell нет-нет, да найдутся.Поэтому важно получать как можно больше информации о том, насколько тот или иной пакет «здоров». Есть множество ресурсов, которые помогают получить информацию: БДУ ФСТЭК, NVD, OpenSSF Scorecard, OSV, SCALIBR, Vet, CVEMap, Trusty и много-много-много чего еще.
Сегодня хотим рассказать про еще один такой ресурс – Spectra Assure Community. При помощи него можно проверять более 5 миллионов пакетов из NPM, PyPi и RubyGems.
Он позволяет получить информацию о: вредоносном ПО, code tampering, известным уязвимостям, проблемах с лицензиями, сведения о секретах и общий статус «здоровья» пакета.
Почитать детальнее про то, как создавался ресурс можно по ссылке, а ознакомиться с ним можно вот тут.
👍5
Cloud Threat Landscape!
Всем привет!
Команда Wiz подготовила отличный сюрприз для всех, кто любит Cloud Native технологии и их безопасность! Интерактивный Threat Landscape!
Внутри можно найти:
🍭 Incidents. Информация по реальным инцидентам в мире Cloud Native
🍭 Actors. Информация о hack-группировках и инцидентах, совершенных ими
🍭 Techniques. Набор атакующих техник, характерных для Cloud Native
🍭 Tools. Перечень наиболее часто используемых средств автоматизации злоумышленниками
🍭 Targeted Technologies. Наиболее частые «цели», на которые совершают атаки
🍭 Defenses. Набор мер по противодействию Cloud Native Attack
Каждый из разделов интерактивен и содержит дополнительную информацию. Видно, что Wiz подошли к делу со стилем и любовью 😊
P.S. А еще там есть офигенная периодическая таблица Cloud Security – можно скачать и хоть на стену вешай. Красиво и содержательно!
Всем привет!
Команда Wiz подготовила отличный сюрприз для всех, кто любит Cloud Native технологии и их безопасность! Интерактивный Threat Landscape!
Внутри можно найти:
🍭 Incidents. Информация по реальным инцидентам в мире Cloud Native
🍭 Actors. Информация о hack-группировках и инцидентах, совершенных ими
🍭 Techniques. Набор атакующих техник, характерных для Cloud Native
🍭 Tools. Перечень наиболее часто используемых средств автоматизации злоумышленниками
🍭 Targeted Technologies. Наиболее частые «цели», на которые совершают атаки
🍭 Defenses. Набор мер по противодействию Cloud Native Attack
Каждый из разделов интерактивен и содержит дополнительную информацию. Видно, что Wiz подошли к делу со стилем и любовью 😊
P.S. А еще там есть офигенная периодическая таблица Cloud Security – можно скачать и хоть на стену вешай. Красиво и содержательно!
Cloud Threat Landscape
A comprehensive threat intelligence database of cloud security incidents, actors, tools and techniques. Powered by Wiz Research.
👍7🔥1
GLDSOReport.pdf
5.3 MB
Global DevSecOps Report от GitLab (2024)
Всем привет!
Команда GitLab выпустила очень интересный объемный отчёт аж на 78 листов!
Хорошие новости! Согласно результатам опроса более 5 000 специалистов интерес к ИБ растет. Среди основных приоритетов выделяются: Security, AI, DevSecOps Platform, Automation, Cloud Computing.
И, конечно, много аналитики-графиков и всего такого по темам:
🍭 Приоритеты инвестиций в IT
🍭 Использование AI в жизненном цикле разработке ПО
🍭 Количество инструментов, которые используются при разработке ПО
🍭 Среднее время onboarding новых специалистов и много другой интересной информации
Особенно интересно то, что статистика ответов «разбита» отдельно для разных стран: Австралия, Канада, Франция, Франция, Индия, Япония и т.д.
Всем привет!
Команда GitLab выпустила очень интересный объемный отчёт аж на 78 листов!
Хорошие новости! Согласно результатам опроса более 5 000 специалистов интерес к ИБ растет. Среди основных приоритетов выделяются: Security, AI, DevSecOps Platform, Automation, Cloud Computing.
И, конечно, много аналитики-графиков и всего такого по темам:
🍭 Приоритеты инвестиций в IT
🍭 Использование AI в жизненном цикле разработке ПО
🍭 Количество инструментов, которые используются при разработке ПО
🍭 Среднее время onboarding новых специалистов и много другой интересной информации
Особенно интересно то, что статистика ответов «разбита» отдельно для разных стран: Австралия, Канада, Франция, Франция, Индия, Япония и т.д.
👍2
Как оптимизировать образ контейнера?
Всем привет!
По ссылке доступна статья, в которой Автор описывает путь, который он проделал, решая задачу по оптимизации образа контейнера.
Под оптимизацией в статье, в большей степени, понимается сокращение размера итогового образа. Это может быть полезно, как для ИТ, так и для ИБ (например, для сокращения поверхности атаки, «противодействия» LotL-атакам и т.д.)
В итоге Автор прошел путь:
🍭 Обычная сборка образа, использование Alpine в качестве базового
🍭 Multi-stage сборка. Удаление всего, что не требуется для корректной работы ПО, помещенного в контейнер
🍭 Идентификация транзитивных зависимостей, которые надо поместить в образ
🍭 Использование Docker Slim и неожиданный результат
🍭 Использование Docker Squash и не тот результат, который должен был получиться
Статья достаточно базовая и может подойти тем, кто только «втягивается». Но в ней весьма неплохо разбираются основные концепты работы с образами, что помогает лучше разобраться, как это все устроено.
Помимо самих шагов Автор описывает сложности, с которыми можно столкнуться, впервые реализуя подобное и способы их решения.
Всем привет!
По ссылке доступна статья, в которой Автор описывает путь, который он проделал, решая задачу по оптимизации образа контейнера.
Под оптимизацией в статье, в большей степени, понимается сокращение размера итогового образа. Это может быть полезно, как для ИТ, так и для ИБ (например, для сокращения поверхности атаки, «противодействия» LotL-атакам и т.д.)
В итоге Автор прошел путь:
🍭 Обычная сборка образа, использование Alpine в качестве базового
🍭 Multi-stage сборка. Удаление всего, что не требуется для корректной работы ПО, помещенного в контейнер
🍭 Идентификация транзитивных зависимостей, которые надо поместить в образ
🍭 Использование Docker Slim и неожиданный результат
🍭 Использование Docker Squash и не тот результат, который должен был получиться
Статья достаточно базовая и может подойти тем, кто только «втягивается». Но в ней весьма неплохо разбираются основные концепты работы с образами, что помогает лучше разобраться, как это все устроено.
Помимо самих шагов Автор описывает сложности, с которыми можно столкнуться, впервые реализуя подобное и способы их решения.
Bhupesh Varshney
How I reduced the size of my very first published docker image by 40% - A lesson in dockerizing shell noscripts
My learnings from publishing my first ever Dockerfile for ugit (a shell noscript based tool to undo git command) and writing the most optimized dockerfile for it.
👍6
Поиск Compromised Cookies, опыт Slack
Всем привет!
Компрометация Cookie не самая приятная вещь, которая может быть использована для доступа к данным пользователя. Одной из практик противодействия является контроль времени жизни сессии пользователя.
Но всегда ли этого достаточно? У ребят из команды Slack свое мнение на этот счет и свои подходы к реализации защиты. Ознакомиться с ними можно в статье.
Основная идея Slack заключается в поиске «Session Forking» (т.е. когда один и тот же Cookie используется одновременно на разных устройствах).
Для этого они используют Last Access Timestamp – дату «установки» Cookie, которая постоянно обновляется (как в самой Cookie, так и в БД).
Сценарий примерно следующий:
🍭 Злоумышленник получил Cookie и пытается с помощью нее получить доступ. Временная метка, скорее всего, будет старой и Session Forking будет найден
🍭 Злоумышленник получил «свежий» Cookie и запросил доступ. Last Access Timestamp обновился. Session Forking будет найден уже когда легитимный пользователь запросит доступ (его метка будет старее)
Однако, такая логика привела к наличию большого количества False Positive и False Negative при тестировании. И решение… было найдено! Какое? Ответ в статье 😊
Кроме этого, там есть еще несколько интересных рассуждений на тему производительности полученного решения. Рекомендуем!
Всем привет!
Компрометация Cookie не самая приятная вещь, которая может быть использована для доступа к данным пользователя. Одной из практик противодействия является контроль времени жизни сессии пользователя.
Но всегда ли этого достаточно? У ребят из команды Slack свое мнение на этот счет и свои подходы к реализации защиты. Ознакомиться с ними можно в статье.
Основная идея Slack заключается в поиске «Session Forking» (т.е. когда один и тот же Cookie используется одновременно на разных устройствах).
Для этого они используют Last Access Timestamp – дату «установки» Cookie, которая постоянно обновляется (как в самой Cookie, так и в БД).
Сценарий примерно следующий:
🍭 Злоумышленник получил Cookie и пытается с помощью нее получить доступ. Временная метка, скорее всего, будет старой и Session Forking будет найден
🍭 Злоумышленник получил «свежий» Cookie и запросил доступ. Last Access Timestamp обновился. Session Forking будет найден уже когда легитимный пользователь запросит доступ (его метка будет старее)
Однако, такая логика привела к наличию большого количества False Positive и False Negative при тестировании. И решение… было найдено! Какое? Ответ в статье 😊
Кроме этого, там есть еще несколько интересных рассуждений на тему производительности полученного решения. Рекомендуем!
Engineering at Slack
Catching Compromised Cookies - Engineering at Slack
Slack uses cookies to track session states for users on slack.com and the Slack Desktop app. The ever-present cookie banners have made cookies mainstream, but as a quick refresher, cookies are a little piece of client-side state associated with a website…
👍6🔥2🐳1
Что общего у Kubernetes и у архитектуры дата-центров?
Всем привет!
Ни для кого не секрет, что Kubernetes - это достаточно сложная для освоения Платформа. Чего только стоит разобраться в том как организована сеть в кубере!.. 😱
Вот как раз о ней сегодня и поговорим, в частности поговорим о том что может быть общего в организации сети в кубере и в современном дата-центре. 🤓
В дата-центрах принято разделять трафик в зависимости от того в каком направлении он идёт: north-south и east-west, где
🍉 north-south - это так называемый "вертикальный трафик", то есть тот трафик, который поступает в дата-центр из внешних источников или наоборот выходит наружу из дата-центра
🍉 east-west - это "горизонтальный трафик", который не выходит за пределы дата-центра, а возникает вследствие обмена данными между серверами, которые находятся в пределах одного дата-центра.
Если проводить аналогию в Kubernetes, то north-south соответствует ingress-egress трафик, а east-west - это трафик между подами и сервисами внутри кластера Kubernetes.
Более подробно об этом можно почитать по ссылкам ниже (не смотря на то, что по ссылкам ниже указано описание конкретных решений, тем не менее, это даст общее представление о различиях в разных потоках трафика):
1. https://learn.microsoft.com/en-us/archive/blogs/tip_of_the_day/tip-of-the-day-demystifying-software-defined-networking-terms-the-cloud-compass-sdn-data-flows
2. https://docs.openshift.com/container-platform/4.14/networking/ovn_kubernetes_network_provider/ovn-kubernetes-architecture-assembly.html
Всем привет!
Ни для кого не секрет, что Kubernetes - это достаточно сложная для освоения Платформа. Чего только стоит разобраться в том как организована сеть в кубере!.. 😱
Вот как раз о ней сегодня и поговорим, в частности поговорим о том что может быть общего в организации сети в кубере и в современном дата-центре. 🤓
В дата-центрах принято разделять трафик в зависимости от того в каком направлении он идёт: north-south и east-west, где
🍉 north-south - это так называемый "вертикальный трафик", то есть тот трафик, который поступает в дата-центр из внешних источников или наоборот выходит наружу из дата-центра
🍉 east-west - это "горизонтальный трафик", который не выходит за пределы дата-центра, а возникает вследствие обмена данными между серверами, которые находятся в пределах одного дата-центра.
Если проводить аналогию в Kubernetes, то north-south соответствует ingress-egress трафик, а east-west - это трафик между подами и сервисами внутри кластера Kubernetes.
Более подробно об этом можно почитать по ссылкам ниже (не смотря на то, что по ссылкам ниже указано описание конкретных решений, тем не менее, это даст общее представление о различиях в разных потоках трафика):
1. https://learn.microsoft.com/en-us/archive/blogs/tip_of_the_day/tip-of-the-day-demystifying-software-defined-networking-terms-the-cloud-compass-sdn-data-flows
2. https://docs.openshift.com/container-platform/4.14/networking/ovn_kubernetes_network_provider/ovn-kubernetes-architecture-assembly.html
Docs
Tip of the Day: Demystifying Software Defined Networking Terms - The Cloud Compass: SDN Data Flows
👍7🔥3❤2
Способы балансировки north-south трафика в Kubernetes, или зачем в кубере может быть нужен BGP?.. ;)
Всем привет!
В предыдущем посте мы познакомились с терминами north-south и east-west применительно к кластеру Kubernetes.
Давайте разберём подробнее как может быть организована балансировка north-south трафика.
Для многих, наверное, уже является привычной связка haproxy+keepalived, в которой поднимается 2 экземпляра haproxy (обычно в режиме L4), а его отказоустойчивость обеспечивается средствами протокола VRRP, который реализуется с помощью keepalived. Но для всех ли случаев может подходить такое решение и в чём могут заключаться основные минусы такого подхода?.. 🤔
Связка haproxy+keepalived - это классический и наипростейший пример балансировки трафика на уровне L4 в режиме Active-Backup, при которой весь трафик проходит только через один экземпляр haproxy, а на второй экземпляр трафик переключается только в том случае, если основной экземпляр haproxy выходит из строя. То есть haproxy является узким горлышком при передаче трафика. Помимо этого, есть также и ещё одно ограничение вследствие использования протокола VRRP: все экземпляры haproxy должны находиться в одном L2-сегменте.
Можно ли как-то устранить данные проблемы?.. 🤔
Да, можно! Для этого необходима другая связка, которая умеет работать в режиме Active-Active, например технология BGP ECMP! 🤓
Более подробно о способах балансировки north-south трафика в k8s можно почитать на примере решения loxilb. Сайт содержит описание для конкретного решения, но, на наш взгляд, схемы можно адаптировать под любое решение.
Схемы дают общее представление о разных способах балансировки north-south трафика в k8s-кластере на примере балансировщика loxilb, а также даёт общее представление о том в чём отличие между Active-Active и Active-Backup режимами балансировки ;)
Всем привет!
В предыдущем посте мы познакомились с терминами north-south и east-west применительно к кластеру Kubernetes.
Давайте разберём подробнее как может быть организована балансировка north-south трафика.
Для многих, наверное, уже является привычной связка haproxy+keepalived, в которой поднимается 2 экземпляра haproxy (обычно в режиме L4), а его отказоустойчивость обеспечивается средствами протокола VRRP, который реализуется с помощью keepalived. Но для всех ли случаев может подходить такое решение и в чём могут заключаться основные минусы такого подхода?.. 🤔
Связка haproxy+keepalived - это классический и наипростейший пример балансировки трафика на уровне L4 в режиме Active-Backup, при которой весь трафик проходит только через один экземпляр haproxy, а на второй экземпляр трафик переключается только в том случае, если основной экземпляр haproxy выходит из строя. То есть haproxy является узким горлышком при передаче трафика. Помимо этого, есть также и ещё одно ограничение вследствие использования протокола VRRP: все экземпляры haproxy должны находиться в одном L2-сегменте.
Можно ли как-то устранить данные проблемы?.. 🤔
Да, можно! Для этого необходима другая связка, которая умеет работать в режиме Active-Active, например технология BGP ECMP! 🤓
Более подробно о способах балансировки north-south трафика в k8s можно почитать на примере решения loxilb. Сайт содержит описание для конкретного решения, но, на наш взгляд, схемы можно адаптировать под любое решение.
Схемы дают общее представление о разных способах балансировки north-south трафика в k8s-кластере на примере балансировщика loxilb, а также даёт общее представление о том в чём отличие между Active-Active и Active-Backup режимами балансировки ;)
👍8🔥4❤2👌1
DSR в Kubernetes
Всем привет!
В предыдущем посте мы познакомили вас со способами расширения "узкого горлышка" для тех случаев когда один хост может не справиться с передачей трафика.🤬
❓А можно ли как-то вообще попытаться это узкое горлышко убрать?.. 🤔
Представим себе ситуацию, что вы ведёте видеотрансляцию крупного спортивного мероприятия🎥⚽️🏟, что подразумевает передачу очень большого объёма трафика на сторону клиента🍿 , при этом от самого клиента трафика принимается на несколько порядков меньше.
При использовании классической балансировки узким горлышком всё равно будут выступать узлы балансировщиков. Как раз для таких случаев придумали технологию DSR (Direct Server Return), которая активно используется телеком-операторами!📞 🌐
В Kubernetes для этого существует механизм
Более подробно о данной технологии можно почитать по ссылкам ниже:
1. https://www.haproxy.com/blog/layer-4-load-balancing-direct-server-return-mode
2. https://dev.to/kcdchennai/direct-server-return-with-kubernetes-454l
3. https://www.getambassador.io/blog/kubernetes-external-traffic-policy-local
Всем привет!
В предыдущем посте мы познакомили вас со способами расширения "узкого горлышка" для тех случаев когда один хост может не справиться с передачей трафика.
❓А можно ли как-то вообще попытаться это узкое горлышко убрать?.. 🤔
Представим себе ситуацию, что вы ведёте видеотрансляцию крупного спортивного мероприятия🎥⚽️🏟, что подразумевает передачу очень большого объёма трафика на сторону клиента
При использовании классической балансировки узким горлышком всё равно будут выступать узлы балансировщиков. Как раз для таких случаев придумали технологию DSR (Direct Server Return), которая активно используется телеком-операторами!
В Kubernetes для этого существует механизм
externalTrafficPolicy: Local.Более подробно о данной технологии можно почитать по ссылкам ниже:
1. https://www.haproxy.com/blog/layer-4-load-balancing-direct-server-return-mode
2. https://dev.to/kcdchennai/direct-server-return-with-kubernetes-454l
3. https://www.getambassador.io/blog/kubernetes-external-traffic-policy-local
Please open Telegram to view this post
VIEW IN TELEGRAM
HAProxy Technologies
Layer 4 Load Balancing Direct Server Return Mode
In this blog post, we explain what the Layer 4 Load Balancing Direct Server Return (DSR) Mode is, its pros and cons and when and how to use it.
❤5🔥4👍1🥰1
В чём разница между Edge Computing и Cloud Computing? И при чём тут Kubernetes?..
Всем привет!
Наверное многие из вас могут помнить, что у нас была целая серия заметок про Edge Computing. А всё потому что Edge Computing стремительно набирает популярность! Согласно некоторым исследованиям в ближайшие 5 лет рынок Edge Computing удвоится!
В статье, с которой мы предлагаем Вам сегодня ознакомиться проводится сравнение таких понятий как Edge Computing и Cloud Computing - области их применения, а также роль Kubernetes в них.
Всем привет!
Наверное многие из вас могут помнить, что у нас была целая серия заметок про Edge Computing. А всё потому что Edge Computing стремительно набирает популярность! Согласно некоторым исследованиям в ближайшие 5 лет рынок Edge Computing удвоится!
В статье, с которой мы предлагаем Вам сегодня ознакомиться проводится сравнение таких понятий как Edge Computing и Cloud Computing - области их применения, а также роль Kubernetes в них.
Telegram
DevSecOps Talks
Edge Computing
Всем привет!
Представьте себе, что вам нужно провести очень крупное событие 🏟, которое подразумевает огромнейшее количество людей в одном месте
🏃🏻♀🏃🏃♂🏃🏻♀🏃🏃♂
и, при этом, необходимо обеспечить качественное оказание
📱💻 телекоммуникационных…
Всем привет!
Представьте себе, что вам нужно провести очень крупное событие 🏟, которое подразумевает огромнейшее количество людей в одном месте
🏃🏻♀🏃🏃♂🏃🏻♀🏃🏃♂
и, при этом, необходимо обеспечить качественное оказание
📱💻 телекоммуникационных…
❤2👍2🔥2🥰1
Betterscan: DevSecOps Orchestration Toolchain
Всем привет!
Betterscan – «швейцарский нож», в котором собраны сканеры, позволяющие анализировать ПО (PHP, Java, Python, PERL, Ruby, C, C++, JS/TS, Golang) и конфигурационные файлы (Docker, K8S, Terraform и т.д.).
Сканеры запускаются все сразу, при этом пользователь может явно указать, что должно быть "включено".
Под капотом довольный привычный набор сканеров: Bandit, Brakeman, Semgrep, Trufflehog, Kubescape, Tfsec и т.д. Возможно добавление собственных.
Из интересного (согласно документации):
🍭 Генерирует один-единственный отчет по результатам анализа
🍭 Реализован функционал дедубликации
🍭 Содержит более 6 300 проверок
🍭 Поддерживает сканирование только измененных файлов
Результаты могут быть представлены в разных форматах: HTML, JSON, SARIF. Больше подробностей можно узнать в Wiki проекта.
Всем привет!
Betterscan – «швейцарский нож», в котором собраны сканеры, позволяющие анализировать ПО (PHP, Java, Python, PERL, Ruby, C, C++, JS/TS, Golang) и конфигурационные файлы (Docker, K8S, Terraform и т.д.).
Сканеры запускаются все сразу, при этом пользователь может явно указать, что должно быть "включено".
Под капотом довольный привычный набор сканеров: Bandit, Brakeman, Semgrep, Trufflehog, Kubescape, Tfsec и т.д. Возможно добавление собственных.
Из интересного (согласно документации):
🍭 Генерирует один-единственный отчет по результатам анализа
🍭 Реализован функционал дедубликации
🍭 Содержит более 6 300 проверок
🍭 Поддерживает сканирование только измененных файлов
Результаты могут быть представлены в разных форматах: HTML, JSON, SARIF. Больше подробностей можно узнать в Wiki проекта.
👍7❤1🔥1
Организация сетевого взаимодействия в Edge Computing.
Всем привет!
Пару постов назад мы писали о том что нас ждёт бум развития Edge Computing в ближайшие несколько лет!
Но с какими сложностями мы можем столкнуться при освоении данной технологии?
Одна из существенных сложностей заключается в организации защищённого отказоустойчивого сетевого взаимодействия между Edge-точками.
Авторы статьи "EdgeVPN: Self-organizing layer-2 virtual edge networks" предложили возможное решение.
С самой статьей и описанием технологии можно ознакомиться по ссылкам ниже:
1. https://par.nsf.gov/servlets/purl/10410236
2. https://edgevpn.io/
Всем привет!
Пару постов назад мы писали о том что нас ждёт бум развития Edge Computing в ближайшие несколько лет!
Но с какими сложностями мы можем столкнуться при освоении данной технологии?
Одна из существенных сложностей заключается в организации защищённого отказоустойчивого сетевого взаимодействия между Edge-точками.
Авторы статьи "EdgeVPN: Self-organizing layer-2 virtual edge networks" предложили возможное решение.
С самой статьей и описанием технологии можно ознакомиться по ссылкам ниже:
1. https://par.nsf.gov/servlets/purl/10410236
2. https://edgevpn.io/
EdgeVPN.io
Open-source VPN for Edge Computing
Seamlessly connect edge resources with a scalable virtual Ethernet
👍3🔥3❤2🤯1
Full Mesh VPN для Edge Computing
Всем привет!
Раз уж речь зашла об организации сети в Edge Computing, давайте поговорим об этом чуть больше.
Какие вообще требования предъявляются к сети в Edge Computing и в чём могут быть особенности? Есть ли альтернативные решения, обладающие схожим функционалом EdgeVPN?
Об этом можно почитать по ссылкам ниже:
1. https://tailscale.com/learn/understanding-mesh-vpns
2. https://openziti.io/docs/learn/introduction/
3. https://docs.zerotier.com/protocol
Всем привет!
Раз уж речь зашла об организации сети в Edge Computing, давайте поговорим об этом чуть больше.
Какие вообще требования предъявляются к сети в Edge Computing и в чём могут быть особенности? Есть ли альтернативные решения, обладающие схожим функционалом EdgeVPN?
Об этом можно почитать по ссылкам ниже:
1. https://tailscale.com/learn/understanding-mesh-vpns
2. https://openziti.io/docs/learn/introduction/
3. https://docs.zerotier.com/protocol
Tailscale
Understanding Mesh VPNs
A mesh network topology lets different nodes dynamically connect to each other, improving the overall efficiency of data transmission. Similarly, mesh VPNs use a peer-to-peer architecture to offer greater resiliency, scalability, and performance than conventional…
👍3🔥3🤩1