Forwarded from k8s (in)security (D1g1)
Все чаще сталкиваюсь с вопросом у клиентов: "Как сделать Kubernetes кластер, чтобы он соответствовал PCI DSS?"
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с
managed Kubernetes! По сути, можно не ломать голову и не придумывать ничего с нуля, а подсмотреть как они к этому подходят и перенять к себе.Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"
P.S. И не забываем также о классном проекте Compliance Operator ;)
Forwarded from TechSkills - книги по программированию
https://github.blog/2021-11-02-blue-teaming-create-security-advisory-process/
https://github.blog/2021-11-09-three-rules-bug-fixing-better-oss-security/
https://github.blog/2021-11-09-three-rules-bug-fixing-better-oss-security/
The GitHub Blog
Blue-teaming for Exiv2: creating a security advisory process
Part 1 of a series on hardening the security of the Exiv2 project. My goal is to help you harden the security of your own project.
Forwarded from AWS Notes
AWS Architecture Monthly Magazine
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
▫️
▫️
▫️
▫️
#design
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
pdf версии ссылки кликабельные (в бумажной, к сожалению, нет😀). Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
pdf:▫️
November 2021 IoT for the Edge▫️
October 2021 Aerospace▫️
September 2021 Advertising Technology▫️
August 2021 Sustainability#design
13-ти часовой курс подготовки к сертификации по терраформу.
Хотя думаю будет интересен не только для сертификации 🙂
https://youtu.be/V4waklkBC38
Хотя думаю будет интересен не только для сертификации 🙂
https://youtu.be/V4waklkBC38
YouTube
HashiCorp Terraform Associate Certification Course - Pass the Exam!
⚠️⚠️⚠️ Watch the updated video course: https://www.youtube.com/watch?v=SPcwo0Gq9T8
Prepare for the HashiCorp Terraform Associate Certification and pass! The Terraform Associate certification is for Cloud Engineers specializing in operations, IT, or development…
Prepare for the HashiCorp Terraform Associate Certification and pass! The Terraform Associate certification is for Cloud Engineers specializing in operations, IT, or development…
Forwarded from @Leakinfo
Ценообразование на пентест - услуги или «Как не платить за воздух?»
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
Telegraph
Ценообразование на пентест - услуги или «Как не платить за воздух?»
— Вагончик? Вообще не наш профиль... Ради нескольких дней работы и трёх копеек заезжать на объект? Ну его... Напиши пол ляма, чтобы либо сам отстал, либо реальный выхлоп был! — Пол ляма? Что-то совсем жирно... Напишу 400. Проблематика На перенасыщенном, но…
Forwarded from @Leakinfo
Как проверить, является ли система RHEL/CentOS уязвимой по CVE
https://telegra.ph/Kak-proverit-yavlyaetsya-li-sistema-RHELCentOS-uyazvimoj-po-CVE-11-19-2
#pentest #уязвимость #rhel #cve #centos
https://telegra.ph/Kak-proverit-yavlyaetsya-li-sistema-RHELCentOS-uyazvimoj-po-CVE-11-19-2
#pentest #уязвимость #rhel #cve #centos
Telegraph
Как проверить, является ли система RHEL/CentOS уязвимой по CVE
Большинство компаний сканируют инфраструктуру на наличие уязвимостей каждый квартал, но срок может варьироваться в зависимости от политики ITSM компании. После сканирования безопасности, если команда безопасности обнаружит уязвимости в определенной группе…
https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/
Похоже надо обновлять графану везде где можно, пока не расползлось 🙂
https://twitter.com/h4x0r_dz/status/1468225847177977870
Похоже надо обновлять графану везде где можно, пока не расползлось 🙂
https://twitter.com/h4x0r_dz/status/1468225847177977870
Grafana Labs
Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7 released with high severity security fix | Grafana Labs
Today we are releasing Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7 which include an important high severity security fix. If you are affected, we recommend that you install newly released versions.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Log4j - impacted products
Самое время посмотреть на те продукты, которые попали под impact от log4j:
https://github.com/NCSC-NL/log4shell/tree/main/software
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Фиксить придется много
#dev #ops #attack
Самое время посмотреть на те продукты, которые попали под impact от log4j:
https://github.com/NCSC-NL/log4shell/tree/main/software
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Фиксить придется много
#dev #ops #attack
https://aws.amazon.com/blogs/aws/amazon-kinesis-data-streams-on-demand-stream-data-at-scale-without-managing-capacity/
Интересная фича на ReInvent’е была анонсирована, теперь можно датастримы переключить с режима Provisioned ранее единственно возможного, который поднимает кластер и работает в нем постоянно, вне зависимости от того, шлешь ты эти данные через стрим или нет в текущий момент, платить все равно придется, на OnDemand, который позволяет включить автоскейлинг данного кластера в зависимости от потребляемых ресурсов
Интересная фича на ReInvent’е была анонсирована, теперь можно датастримы переключить с режима Provisioned ранее единственно возможного, который поднимает кластер и работает в нем постоянно, вне зависимости от того, шлешь ты эти данные через стрим или нет в текущий момент, платить все равно придется, на OnDemand, который позволяет включить автоскейлинг данного кластера в зависимости от потребляемых ресурсов
Amazon
Amazon Kinesis Data Streams On-Demand – Stream Data at Scale Without Managing Capacity | Amazon Web Services
Today we are launching Amazon Kinesis Data Streams On-demand, a new capacity mode. This capacity mode eliminates capacity provisioning and management for streaming workloads. Kinesis Data Streams is a fully-managed, serverless service for real-time processing…
https://logging.apache.org/log4j/2.x/security.html
Mitigation
Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
Log4j 2.x mitigation: Implement one of the mitigation techniques below.
- Java 8 (or later) users should upgrade to release 2.16.0.
- Users requiring Java 7 should upgrade to release 2.12.2 when it becomes available (work in progress, expected to be available soon).
- Otherwise, remove the JndiLookup class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.
Mitigation
Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
Log4j 2.x mitigation: Implement one of the mitigation techniques below.
- Java 8 (or later) users should upgrade to release 2.16.0.
- Users requiring Java 7 should upgrade to release 2.12.2 when it becomes available (work in progress, expected to be available soon).
- Otherwise, remove the JndiLookup class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.