Заканчиваем эту короткую рабочую неделю небольшой статьей – "Safely managing Cilium network policies in Kubernetes: Testing and simulation techniques".

В новой статье от Cilium и Kubernetes рассказывается, как безопасно управлять сетевыми политиками: применяя режим аудита, экспериментируя с default-deny и моделируя изменения перед тем, как включить блокировку трафика.

Особое внимание уделено двум сценариям — внедрение первой политики с default-deny и изменение существующих правил, — и даны практические техники, такие как режим аудита на уровне endpoint и «разрешить всё» на уровне L7.

Начнем неделю с обучающего материала с нашего вебинара "Kubernetes Audit Log на страже безопасности кластеров": слайды и видео.

MUST HAVE для изучения для всех специалистов SOC, платформенных команд и вообще всех тех, кто не хочет чтобы его кластер был проходным двором и одной большой слепой зоной!

С 10 по 13 ноября проходит конференция KubeCon + CloudNativeCon North America 2025. Традиционно, помимо очередных крутых докладов (их мы рассмотрим в следующих постах), на конференции релизят обновления или вовсе новые инструменты.

Так например, (с момента выхода 3-ей версии прошло 6 лет) нас ожидает крупное обновление Helm до 4-ой версии. Изменений достаточно, вот лишь некоторые из них:

- переход на Server-Side Apply вместо three-way merge — теперь ресурсы обновляются точнее и предсказуемее;
- новая система плагинов на WebAssembly;
- улучшенный контроль состояния ресурсов через kstatus;
- подписывание чартов.

С полным changelog можно ознакомиться тут. Уже сейчас доступен RC 1, а совсем скоро 4-ая версия выйдет в полноценный релиз.

vimp это CLI утилита, написанная на Go, которая предназначенна для сравнения данных, полученных от множества сканеров уязвимостей, для формирования более полного представления о потенциальных рисках (potential exposures).

Этот инструмент создавался с целью устранить проблему, связанную с тем, что разные сканеры могут по-разному оценивать одни и те же уязвимости.

Vimp выполняет три основные группы функций: импорт и сканирование, хранение данных, и запросы/анализ.
1. Импорт и сканирование данных
• Поддержка сканеров: grype, snyk и trivy
• Автоматическое сканирование:
• Импорт отчетов: Пользователь может вручную импортировать готовые отчеты (например, JSON-файлы), полученные от поддерживаемых сканеров.
• Сбор данных: При импорте инструмент собирает данные об обнаруженных уникальных уязвимостях.

2. Хранение данных (Data Store)
Vimp предлагает гибкие возможности для сохранения импортированных данных:
• Встроенное хранилище: SQLite
• Поддержка баз данных: BigQuery и Postgres
• Локальный вывод: локальный файл (в формате JSON или CVS) или на стандартный вывод (stdout).
• Схема данных: image, digest, source, cve, package, version, severity и score.

3. Анализ и запросы данных (vimp query)
После импорта данных можно выполнять запросы для анализа информации:
• Сводные данные: Запрос по умолчанию (vimp query) предоставляет сводку всех данных в хранилище, включая количество обнаруженных рисков, количество источников, пакетов и наивысшую оценку для версии образа.
• Детальный просмотр: Можно запросить список всех уязвимостей, найденных для конкретного образа и его дайджеста.
• Сравнение оценок: При детальном просмотре результаты показывают различия в степени серьезности и оценке, о которых сообщают разные сканеры для одной и той же уязвимости.
• Отображение различий (--diff): Для возврата только тех данных, где степень серьезности и оценки не совпадают по всем источникам.
• Просмотр пакетов (--exposure): Позволяет углубиться в пакеты, затронутые конкретной уязвимостью, показывая, какой сканер, какую версию пакета и с какой оценкой обнаружил.

Продолжаем рассказывать про различные технологии с KubeCon + CloudNativeCon North America 2025.

На канале мы не раз рассказывали про distroless образы, и многие знакомы с такими образами от Google и Chainguard. Инженеры из Bellsoft решили выпустить и зарелизили на конференции свои distroless образы в свободный доступ!

Преимущественно, это образы под Java приложения, но также есть:

- glibc, musl
- go
- gcc
- python

Ознакомиться с образами можно в Dockerhub.

Совсем недавно вышел отчет Security Audit для проекта KubeVirt.

В рамках данного аудита рассматривалась версия 1.5 и было найдено 15 уязвимостей (1 высокая, 7 средних, 4 низких, 3 информационных). Единственная найденная высокая это CVE-2025-64324 и приводит она к Arbitrary Host File Read and Write!

Особое внимание заслуживает раздел Threat Model, где есть информация про:
- Roles and Actors
- Assets
- Threat Actors
- Scenarios
- Attack surface

Недавняя статья Fun-reliable side-channels for cross-container communication описывает обнаруженный побочный канал (side-channel), который позволяет контейнерам общаться друг с другом без общих volume, сетевого соединения или специальных прав.

Механизм основан на файловой системе nsfs и использовании пространства имен времени (/proc/.../ns/time) вместе с POSIX advisory-lock’ами, благодаря чему один контейнер может установить блокировку на определённый диапазон байтов, а другой — «прочитать» это пересечение.

Авторы даже сделали PoC в виде IRC-подобного чата между контейнерами, и при этом предупреждают о возможных проблемах безопасности — канал может быть злоупотреблён для DoS или нарушения изоляции.

Завтра стартует SOC Forum 2025

И мы как всегда в лице Luntry активно участвуем как в докладной, так и выставочной части ;)

19 ноября
12:15 - Дискуссия "CISO в новой реальности: ответственность, полномочия и эволюция роли"
16:45 - Сессия "Облачный щит: как стартапы создают защиту для цифровой инфраструктуры"

20 ноября
15:30 - Доклад "Подключение Kubernetes к SOC: подводные камни"

У нас на стенде можно выиграть классный плакат "КАРТА БЕЗОПАСНОСТИ ДЛЯ КОНТЕЙНЕРНЫХ СРЕД" форматом A2!!!

Ребята из OpenTelemetry в начале месяца зарелизили проект OpenTelemetry eBPF Instrumentation (OBI) (а вы знаете как мы любим eBPF и, конечно, мы не могли это обойти стороной). Что это, для чего это и когда это нужно и не нужно можно узнать из статьи "OpenTelemetry eBPF Instrumentation Marks the First Release" (также полезна официальная документация).

В общем, zero-code Instrumentation становиться все ближе к массам!

SIG Network и Security Response Committee Kubernetes опубликовали запись в блоге – Ingress NGINX Retirement: What You Need to Know: проект Ingress NGINX прекращает своё существование. Это не преувеличение — решение окончательное, и после февраля 2026 года разработка фактически остановятся.

Сообщество Kubernetes объявило, что больше не будет поддерживать Ingress NGINX. Начиная с марта 2026 года обновления исчезнут: не будет ни новых релизов, ни исправлений ошибок, ни закрытия проблем безопасности. Репозитории на GitHub переведут в режим read only.

Основная мотивация такого шага — чрезмерная «настраиваемость» решения. Возможность внедрять практически любой конфиг через аннотации порождала потенциальные лазейки в безопасности. Команда пришла к выводу, что уязвимости стали слишком серьёзным фактором. Параллельно Kubernetes активно продвигает Gateway API как новый стандарт, чтобы уйти от громоздких и рискованных архитектур.

Так что самое время задуматься о переезде на другой контроллер, или вовсе начать использовать Gateway API.

Сегодня в центре нашего внимания статья из блога Google Cloud под названием "Introducing Agent Sandbox: Strong guardrails for agentic AI on Kubernetes and GKE".

В статье подчеркивается необходимость строгих операционных и защитных мер для агентов ИИ, которые, в отличие от традиционного программного обеспечения, могут принимать свои собственные решения, включая выполнение кода.

Все крутиться тут вокруг сильной изоляции на базе: gVisor, Kata containers и Network Policy.

Более подробнее о проекте можно из документации создателей и странице проекта. Проект Open Source и его уже можно попробовать на своих Kubernetes кластерах!

26 ноября в Санкт-Петербурге наша команда Luntry примет участие в легендарной конференции ZeroNights.

От нас выступит Сергей Канибор с темой  "Истории Kubernetes пентестов: путь через уязвимости" на OffensiveTrack.  В рамках доклада мы поделимся интересными кейсами из нашего опыта проведения пентестов Kubernetes кластеров и сосредоточимся на случаях связанных с компрометацией К8s через уязвимости.

Не трудно догадаться, что также у доклада будет продолжение, где мы уже представим кейсы компрометации К8s через мисконфигурации ;)

Сегодня хотим поделиться небольшой статьей "How We Rebuilt Our Vault Architecture with Raft, Snapshots, and DR".

В статье рассказывается о том как инеженры переработали архитектуру Vault, перейдя с внешнего хранилища на встроенное Raft-хранилище, что позволило снизить расходы и повысить отказоустойчивость. Они запустили кластер из трёх Vault-нод в Kubernetes, где Raft обеспечивает репликацию и автоматический выбор лидера — при сбое один из фолловеров мгновенно берёт на себя роль.

Для защиты данных настроены ежедневные snapshots состояния кластера, которые сохраняются в Azure Blob Storage, а отдельный DR-кластер периодически восстанавливается из этих snapshots. При этом переключение трафика между продакшеном и DR происходит через единый DNS, а система мониторится: DevOps-команда получает оповещения о сбоях снапшотов, восстановлении или проблемах со здоровьем кластера.

На нашем сайте Luntry в разделе исследований стала доступна видеозапись доклада "1000 и 1 способ избавиться от уязвимостей в контейнерных приложениях" с CyberCamp 2025.

Всем хороших выходных!

NP-Guard - это инструмент, помогающий работать с Kubernetes Network Policy в манере Shift Left. При работе с сетевыми политиками он позволяет их:
- Генерировать
- Поддерживать
- Контролировать минимальность и достаточность

Для этого он анализирует файлы приложений, существующие политики и сетевые сущности, фактический трафик, базовые требования по безопасности.

И все это можно интегрировать в CI!

Также рекомендуем посмотреть доклад "Demonstration of Automatic Kubernetes Network Policies Generation" с последнего KubeCon CloudNativeCon North America, где авторы используют данный инструмент и еще сравнивают результаты его работы с результатами LLM ;)

P.S. Если вы еще не используете NetworkPolicy или используете другие способы, то вы очень многое теряете!

Сегодня хотим поделиться небольшим хаком – как прочитать Service Account token в distroless контейнере, причем даже если в контейнере нет openssl.

kubectl exec fluent-bit-pz7h2 -- /proc/1/exe -i head -p file=/var/run/sercrets/kubernetes.io/serviceaccount/token -p buf_size=1000000 -o stdout -m '*' -q -f 1 2>&1

На этой неделе 28 ноября в 11:00 наша команда проведет вебинар «Интеграция Luntry и ASOC». На вебинаре наглядно продемонстрируем, как Luntry может быть встроена в процесс безопасной разработки.

Также разберем:
- Какие данные можно отправлять в ASOC
- Как это сделать
- Почему это важно в разрезе DevSecOps
- Покажем на примере нескольких ASOC-решений как это выглядит

Как всегда, можно будет задать вопросы и получить практические советы по обеспечению безопасности контейнерных сред.

Зарегистрируйтесь, чтобы получить напоминание об эфире, запись после него и наш подарок ;)

Постепенно начинают выкладывать доклады с KubeCon CloudNativeCon North America 2025. Но пока это касается не основной конференции, а под конференций в ее составе. Нас с точки зрения безопасности тут интересует две:
- KyvernoCon
- Open Source SecurityCon

P.S. А мы сегодня большим составом на ZeroNights 2025 - приходите пообщаемся в живую =)

Вышла версия Kyverno 1.16 и там достаточно много интересных изменений. Отметим самые интересные на наш взгляд:

1) Kyverno продолжает развивать поддержку CEL политик и добавляет 3 новых ресурса – NamespacedValidatingPolicy, NamespacedDeletingPolicy, и NamespacedImageValidatingPolicy.

2) Детализированные исключения из политик. Их немного докрутили и добавили Image-based exceptions, Value-based exceptions и Configurable reporting status.

3) Kyverno Authz Server. Сервер авторизации Kyverno применяет политики Kyverno для авторизации запросов к Envoy и для обычных HTTP-сервисов как автономный сервер HTTP-авторизации, возвращая решения о разрешении/запрете на основе того же механизма политик, который используется в Kubernetes. С проектом можно ознакомиться более подробно тут.

На нашем сайте Luntry в разделе исследований стали доступны слайды "Подключение Kubernetes к SOC: подводные камни" с конференции SOC FORUM 2025.

Всем хороших выходных!

P.S. Сегодня в 11:00 мы проведем вебинар про интеграцию Luntry с системами класса ASOC!

На прошлой недели мы рассказывали про обновление Kyverno, но на самом деле, примерно в это же время вышла новая версия OPA Gatekeeper – 3.21.0.

Помимо исправлений багов, были добавлены важные изменения:

1) Флаг sync-vap-enforcement – позволяет синхронизировать VAP c ValidatingWebhookConfigurations и исключениями.

2) ConstraintTemplates теперь поддерживают определение операций, к которым должен применяться шаблон (например, CREATE, UPDATE, DELETE).

3) Добавлены новые метрики и отчеты о статусе для функции External Data/ Provider API , что улучшает наблюдаемость при интеграции внешних источников данных в оценку политики.