DEVSECOPS_WEEKLY Telegram 1228
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1228
DevSecOps Talks
Обход политик OPA Gatekeeper

Всем привет!

Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.

Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.

Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.

В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ

Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.

В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy (там тоже получится 😊)
Aqua
OPA Gatekeeper Bypass Reveals Risks in Kubernetes Policy Engines
Research on Kubernetes policy enforcement risks and how misconfigurations in seemingly secure rules like OPA Gatekeeper enable bypassing.
5
www.tgoop.com/devsecops_weekly/1228
2.29K views



tgoop.com/devsecops_weekly/1228
Create:
Last Update:

Обход политик OPA Gatekeeper

Всем привет!

Использование механизмов Admission Controller/Policy Engine для контроля того, что запускается и уже запущено в кластерах Kubernetes – обязательная практика информационной безопасности.

Однако, даже такие отличные инструменты не лишены изъянов, особенно если настраивать их без должного понимания происходящего.

Именно этому посвящена статья от Aqua Security, в которой приводятся примеры того, как можно «обойти» те самые политики.

В статье рассказывают про:
🍭 Что такое Admission Controller и OPA Gatekeeper в частности
🍭 Анализ простой, но полезной политики (контроль реестров, из которых можно «брать» образы)
🍭 Краткое описание логики работы политики «изнутри»
🍭 Примеры того, как можно «обойти» политику и запустить вредоносный образ

Да, обход достаточно «банальный» и простой, но тем не менее рабочий. Это лишний раз подчеркивает важность того, что понимание того «как это работает» помогает (в том числе) лучше выстраивать защиту.

В завершении статьи Авторы анализируют возможность подобного «обхода» для иных известных Policy Engine – Kyverno, Kubewarden, JSPolicy (там тоже получится 😊)

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1228

View MORE
Open in Telegram


Telegram News

Date: |

How to Create a Private or Public Channel on Telegram? Polls Find your optimal posting schedule and stick to it. The peak posting times include 8 am, 6 pm, and 8 pm on social media. Try to publish serious stuff in the morning and leave less demanding content later in the day. A new window will come up. Enter your channel name and bio. (See the character limits above.) Click “Create.” Matt Hussey, editorial director at NEAR Protocol also responded to this news with “#meIRL”. Just as you search “Bear Market Screaming” in Telegram, you will see a Pepe frog yelling as the group’s featured image.
from us


Обход политик OPA Gatekeeper

 DevSecOps Talks TG
web: 1228
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American