Буквально недавно открыл для себя https://www.kubernetes.dev/ - где очень удобно можно следить за Kubernetes Enhancement Proposals (KEPs) (также искать/копаться в них) и на страничке Release смотреть какие фичи появятся в новой версии (Enhancements Tracking Sheet) и в какие даты выйдет (kubernetes/sig-release v1.26 milestone).

Так, на пример, я/мы/все теперь могу намного проще следить за "KEP-2091: Add support for AdminNetworkPolicy resources". О нем я уже как-то писал тут, но с тех времен ресурс ClusterNetworkPolicy переименовали в AdminNetworkPolicy.

Недавно наткнулся на политику "Verify Image Check CVE-2022-42889" в постоянно расширяемой библиотеке политик Kyverno (уже 232 политики).

Она позволяет проверить есть ли в образе последняя нашумевшая уязвимость в Apache Commons Text library или нет и решить разрешить ли выкатку микросервиса с таким образом или нет.

Все это делается на основании информации из SBOM, которая предварительно генерируется в CI, а далее в самой политике прописываем где она лежит, в каком форма, название какого компонента нас интересует и какой версии.

За деталями реализации помимо самого примера для данной уязвимости будет полезно почитать разделы:
- Verify Images - проверка образов
- JMESPath - JSON язык запросов

Также можно обратить внимание на следующие политики связанные с работой с уязвимостями:
- "Require Image Vulnerability Scans" - есть скан на уязвимости не старше 1 недели
- "Check Tekton TaskRun Vulnerability Scan" - скан на уязвимости не содержит уязвимости с рейтингом больше 8.0

Сегодня в 11:00 (по Мск) я (от лица Luntry) в приятной компании буду участвовать в онлайн-конференции AM Live «Российский DevSecOps в условиях импортозамещения». По мне это прекрасная возможность послушать как различные вендоры, интеграторы и дистрибьюторы смотрят на вопрос DevSecOps.

Вместе с командой сейчас работаем над добавлением в Luntry функциональности связанной с Compliance, а именно CIS Kubernetes Benchmark. Предварительно мы проанализировали множество OpenSource и коммерческих решений - первые на уровне кода и UI, вторые чисто на уровне UI. Остановимся на первых и обсудим к каким не утешительным выводам мы пришли. И так, обнаруженные проблемы:
- Отсутствие реализации проверок - идет как TODO или manual check
- Не полная реализация проверок - этот факт даже отмечается в комментариях (partial check)
- Отсутствие поддержки новых версий Kubernetes - для кого-то может быть новостью, но CIS Kubernetes Benchmark обновляется с новыми релизами Kubernetes.

В итоге, запуская/используя тот или иной инструмент с этими проблемами вы получаете не корректную картину по своей инфраструктуре.

P.S. Не ленитесь читать код OpenSource проектов!

"Restructuring the Kubernetes Threat Matrix and Evaluating Attack Detection by Falco" это записки интерна на практике, который разбирался с безопасностью Kubernetes и игрался с Falco.

Основные темы статьи:
- Расширение/дополнение Threat matrix for Kubernetes от Microsoft методами атак что там отсутствуют - очень полезный раздел и картинка этого дополнения вынесена в начало поста.
- Рассказ про правила обнаружения в Falco - что автор туда дописал. Учтите, что чем больше правил/сигнатур использует движок, тем медленнее он работает и больше оверхеда дает.
- Способы обхода Falco - опять привет symbolic links. Еще про его обходы я писал тут, тут и тут.
- Понимание эффективности и ограничений возможностей Falco

Инструмент KubeStalk позволяет обнаружить Kubernetes системы и связанные с ним компоненты путем сканирования списка IP адресов.

При этом для определения корректности детекта системы или доступа решение имеет набор сигнатур (plugins - JSON файлы) и там есть detector, который проверяет наличие определенной информации в ответе для проверки. На текущий момент в наличии:
- Kubernetes Version Disclosure
- Kubernetes Pod List Exposure
- Kubernetes Paths Exposure
- Kubernetes Web View Dashboard Exposure
- Kubernetes Resource Report Dashboard Exposure
- Kubernetes Operational View Dashboard Exposure
- Kubernetes Dashboard Exposure
- etcd Viewer Dashboard Exposure
- Unauthenticated etcd Exposure
- cAdvisor Metrics Web UI Dashboard Exposure

Все на python и легко расширяется ;)

На прошлой неделе прошел KubeCon + CloudNativeCon North America 2022 и уже доступны видео и слайды со специализированных сессий:
- Cloud Native SecurityCon NA 2022
- SigstoreCon NA 2022
- ServiceMeshCon NA 2022
- PrometheusDay NA 2022
- Kubernetes on Edge Day NA 2022
- Kubernetes AI Day NA 2022
- GitOpsCon NA 2022
- EnvoyCon NA 2022
- Cloud Native eBPF Day NA 2022
- Open Observability Day NA 2022
- Cloud Native Telco Day NA 2022
- Kubernetes Batch + HPC Day NA 2022
- KnativeCon NA 2022
- Cloud Native Wasm Day NA 2022
- BackstageCon NA 2022

Отдельно выделю появление новых сессий про Sigstore и Backstage, что говорит про тренды про подпись/аттестацию используемых артефактов и движение к специализированным порталам для разработчиков.

P.S. Видео с основной программы KubeCon + CloudNativeCon North America 2022 еще не доступно …

Если вы собираетесь сделать так чтобы ваш Kubernetes кластер соответствовал требования PCI DSS, то вы ,конечно, в курсе, что PCI Security Standards Council выпустил документ "Guidance for Containers and Container Orchestration Tools". Также вы возможно видели ряд обзоров и анализов данного документа с маппингом на Kubernetes на моем канале тут и тут. Но исследователь Rory McCune пошел дальше и начал детально рассматривать каждую из тем.

На сегодняшний день из 16 тем уже автор рассмотрел 5:
- Authentication
- Authorization
- Workload Security
- Network Security
- PKI

Вообще настоятельно рекомендую смотреть за данной серией постов, да и вообще за блогом автора. Он один из немногих, кто создает оригинальный контент в области Kubernetes безопасности.

Организаторы конференции KazHackStan 2022 выложили в открытый доступ записи докладов с конференции и теперь можно посмотреть мой доклад "Специфика расследования инцидентов в контейнерах" (сами слайды тут).

Также отмечу очень крутой и для многих на этом канале полезный доклад своего хорошего товарища Эльдара "kyprizel" Заитова "Вызовы безопасной гибридной облачной инфраструктуры".

P.S. В комментариях можно задавать вопросы по докладам как мне, так и Эльдару ;)

Недавно наткнулся на вот такую забавную картинку. С первого или неопытного взгляда она может показаться просто юмористической. НО она под собой имеет и технический аспект связанный с Kubernetes.

Те кто смотрел мой доклад "Заметки путешественника между мирами: ИБ, ИТ" или был на моем тренинге знают о таком подходе к обеспечению безопасности как Moving target defense (MTD), который мне очень импонирует. А те кто внимательно читает мой канал могут вспомнить пост про Kubernetes operator под названием descheduler, который может помочь в реализации данного подхода.

Так что в каждой шутке есть доля шутки ;)

Команда Kubernetes информирует, что в релизе 1.26 он не только поднаберет в весе, но и значительно скинет за счет отказа от поддержки Container Runtime Interface (CRI) версии v1alpha2. (В первый раз я дочитал сообщение до сюда и ужаснулся). В итоге, останется поддержка только версии v1. Я уверен, что такой отказ от legacy пойдет только на пользу системе.

На скриншотах есть проблема!

Сегодня мы рассмотрим одну из популярнейших проблем при использовании политик от Policy Engine, что наша команда встречаем на своем опыте во время аудитов и пентестов Kubernetes кластеров.

Речь пойдет о политике, отвечающей за проверку разрешенных image registry. В OPA Gatekeeper обычно она базируется на ConstraintTemplate под названием K8sAllowedRepos, а в Kyverno на базе restrict-image-registries или advanced-restrict-image-registries (о них я писал тут).

Если вы не догадались, то проблема на скриншотах заключается в том, что в путях имен image registry отсутствует символ "/", без него данные политики достаточно просто обходить, подняв у себя домен желаемый_путь.evil.domen.com. Данные проверки обычно работают на базе инструкций startWith(), contains() и наш вредоносный домен будет удовлетворять данным требованиям ;)

Печально что эти примеры политик широко распространены в интернете и многие их бездумно копируют к себе. Будьте аккуратнее копируя из интернета =)

Все кто занимается или задумывается о supply-chain безопасности в Kubernetes (и на самом деле не только в нем) знают проект Sigstore.

Но мало кто знает, что у данного проекта есть собственный admission controller под названием policy-controller, который может применять политики к ресурсам на основании supply-chain metadata от утилиты cosign. Единственное учтите, что эта часть проекта Sigstore новая и пока находится в активной стадии разработки.

Данный контроллер позволяет проверять:
- Подписи образов
- Аттестацию связанных с образом ресурсов (SBOM и т.д.)

Для всего это требуется создать свою политику, которая из себя представляет Custom Resource типа ClusterImagePolicy.

В этой политики можно описать:
- К каким образам и в каких namespaces, pods и из каких image registry это применяется
- Что проверить, например, подпись образа, наличие SBOM или его содержимое (логика пишется на CUE)!
- Реакцию warn|allow|deny (по умолчанию deny)

На скрине политика, что не пропустит образы с уязвимостью Text4Shell

Threat Model Examples - Github проект, представляющий из себе коллекцию различных примеров моделей угроз. Среди которых наиболее интересные нам:
- Kubernetes
- Docker
- Container
- Supply Chain
- Cloud Computing
- CI/CD Pipeline

Так почти все это было уже на данном канале, а здесь все собрано в одном месте - думаю, что многим не помешает, тем более что далеко не все тут с самого начала читают канал.

P.S. Сегодня в 16:00 пройдет онлайн-встреча Программного комитета конференции DevOps Conf 2023 с потенциальными спикерами и активистами. Участие свободное, только нужно зарегистрироваться. CFP уже открыто ;)

Давненько ничего не было слышно про уязвимости в Kubernetes?!
Получите - распишитесь за целых 2 штуки!

CVE-2022-3162: Unauthorized read of Custom Resources
Уязвимость в kube-apiserver и имеет рейтинг Medium (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).

Пользователь авторизованный на list или watch одного типа namespaced custom resource во всем кластере - может читать custom resources других типов из той же API group без авторизации. На пример, пользователь при list ресурса VirtualService на кластере из networking.istio.io, сможет читать и Gateway.

CVE-2022-3294: Node address isn't always verified when proxying
Уязвимость в kube-apiserver и имеет рейтинг Medium (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H).

Пользователь с возможностью манипуляций с Node и node/proxy, может через последний обратиться к Nodes из API server's private network. На пример, можно по обращаться к Control plane у облачного провайдера, хотя он не в вашем доступе.


Все поддерживаемые версии (1.22-1.25) получили патч, другие в пролете.

Компания Lyft опубликовала статью "Internet Egress Filtering of Services at Lyft", поделившись своим опытом об использовании Envoy как Explicit CONNECT и Transparent Proxy.

Как я думаю многие знают в Kubernetes нет ресурса Egress комплементарно дополняющего бы Ingress ресурс и с исходящим трафиком надо в итоге так или иначе мудрить (говорили об этом тут).

Тут как раз ребята рассказывают как они сделали Internet Gateway (IGW), принимая во внимание зашифрованный TLS трафик и возможность эксфильтрации данных через DNS c zero downtime.

В итоге, у них по умолчанию используется explicit proxy, а transparent proxy как запасной для библиотек, что не подчиняются explicit proxy.

Также там поднимаются такие вопросы как:
- Edge Internet Gateway vs Sidecar
- Rollout Strategy
- Developer Workflow
- HTTP Client Library Behaviors
- Next Steps: Private Subnets

Стали доступны записи докладов (287 штук - смотреть не пересмотреть) основной программы KubeCon + CloudNativeCon North America 2022! Как я писал ранее, до этого были доступны только доклады специализированных сессий. В основной программе как всегда очень много интересных докладов и, конечно, связанных с ИБ хватает.

Я для себя уже выделили следующие:
- "Running Isolated VirtualClusters With Kata & Cluster API"
- "Zero Trust Supply Chains with Project Sigstore and SPIFFE"
- "Using the EBPF Superpowers To Generate Kubernetes Security"
- "Kubernetes to Cloud Attack Vectors: Demos Inside"
- "Untrusted Execution: Attacking the Cloud Native Supply Chain"
- "The AdminNetworkPolicy API: A New Way for Cluster Admins To Enforce Security"
- "Multi-Tenancy: Tips, Tricks, Tools And Tests"
- "How the Argo Project Transitioned From Security Aware To Security First"
- "Securing the IaC Supply Chain"
- "Run As “Root”, Not Root: User Namespaces In K8s"
- "Armoring Cloud Native Workloads With LSM Superpowers"

Недавно узнав о policy-controller, я очень сильно проникся данным admission controller и решил поглубже копнуть про него. В итоге я нашел замечательный вебинар с названием "Sigstore Policy Controller (and creating your own policy)", где очень доходчиво рассказывают и о принципе работы и о там как писать собственные политики - ClusterImagePolicy. Помимо видео, в репозитарии авторов доступны и слайды и весь используемый код из live demo и используемые команды. В общем это отличная отправная точка для погружение в данный инструмент ;)