CIS Red Hat OpenShift Container Platform 4 Benchamark (and RHCOS)
Как показывает статистика поста с OpenShift Security Guide, очень много здесь тех, у кого есть OpenShift, и тех, кто интересуется вопросами его безопасности. Как многие, наверное, знают, классический CIS, как и инструменты контроля соответствия CIS, не применимы к OpenShift из коробки. В частности отличается набор мер по закрытию требований в силу специфики работы системы. С этой целью Red Hat разработали отдельно Compliance Operator, который осуществляет набор проверок на базе собственного чек-листа. Тем не менее сам чек-лист отдельно не публикуется.
Оказывается, это не совсем так. В рамках одного из своих аудитов я узнал, что профили, на базе которых Compliance Operator строит проверки, можно найти на одном из доменов OpenSCAP, инструмента, который используется под капотом оператора.
Прикладываю:
- Guide to the Secure Configuration of Red Hat OpenShift Container Platform 4
Здесь же есть профили со следующими проверками:
- Red Hat Enterprise Linux CoreOS 4
- Red Hat Enterprise Linux 8
- Red Hat Enterprise OpenStack Platform 13 / 10
- Ubuntu 18.04 / 16.04 / 20.04
- Suse Linux Enterprise 12 / 15
- Debian 9 / 10
- CentOS 7 / 8
и еще много разного полезного.
Многие тезисы содержат довольно подробные описания, включая меры и команды по устранению.
#ops #k8s
Как показывает статистика поста с OpenShift Security Guide, очень много здесь тех, у кого есть OpenShift, и тех, кто интересуется вопросами его безопасности. Как многие, наверное, знают, классический CIS, как и инструменты контроля соответствия CIS, не применимы к OpenShift из коробки. В частности отличается набор мер по закрытию требований в силу специфики работы системы. С этой целью Red Hat разработали отдельно Compliance Operator, который осуществляет набор проверок на базе собственного чек-листа. Тем не менее сам чек-лист отдельно не публикуется.
Оказывается, это не совсем так. В рамках одного из своих аудитов я узнал, что профили, на базе которых Compliance Operator строит проверки, можно найти на одном из доменов OpenSCAP, инструмента, который используется под капотом оператора.
Прикладываю:
- Guide to the Secure Configuration of Red Hat OpenShift Container Platform 4
Здесь же есть профили со следующими проверками:
- Red Hat Enterprise Linux CoreOS 4
- Red Hat Enterprise Linux 8
- Red Hat Enterprise OpenStack Platform 13 / 10
- Ubuntu 18.04 / 16.04 / 20.04
- Suse Linux Enterprise 12 / 15
- Debian 9 / 10
- CentOS 7 / 8
и еще много разного полезного.
Многие тезисы содержат довольно подробные описания, включая меры и команды по устранению.
#ops #k8s
Authorizing Microservice APIs With OPA and Kuma
До этого я писал про OPA только в контексте контроля запросов на API кластера с целью их ограничения. В этот раз предлагаю ознакомиться с материалом по применению OPA как способ микросервисной авторизации для реализации Zero Trust Network.
Authorizing Microservice APIs With OPA and Kuma
В данном случае речь именно об интеграции с service mesh Kuma, но это также может быть и Istio. Каждый раз, когда поступает новый внешний запрос, Kuma отправляет запрос авторизации на OPA. В статье также упоминается Styra DAS как инструмент централизованного управления политиками OPA.
Если вам интересно узнать чуть больше про Kuma и Zero Trust, то вот небольшая статья. У разработчиков Kuma есть также демо интеграции enterpise версии service mesh Kong Mesh с OPA.
#opa #ops #k8s
До этого я писал про OPA только в контексте контроля запросов на API кластера с целью их ограничения. В этот раз предлагаю ознакомиться с материалом по применению OPA как способ микросервисной авторизации для реализации Zero Trust Network.
Authorizing Microservice APIs With OPA and Kuma
В данном случае речь именно об интеграции с service mesh Kuma, но это также может быть и Istio. Каждый раз, когда поступает новый внешний запрос, Kuma отправляет запрос авторизации на OPA. В статье также упоминается Styra DAS как инструмент централизованного управления политиками OPA.
Если вам интересно узнать чуть больше про Kuma и Zero Trust, то вот небольшая статья. У разработчиков Kuma есть также демо интеграции enterpise версии service mesh Kong Mesh с OPA.
#opa #ops #k8s
Анонсы в мире безопасности разработки.
Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.
- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.
- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.
- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.
#events #talks
Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.
- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.
- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.
- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.
#events #talks
Rusty Hog - secret scanner in a Google doc, S3, Git, Confluence and Jira
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
GitHub
GitHub - newrelic/rusty-hog: A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com…
A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com/dxa4481/truffleHog) which is written in Python. - newrelic/rusty-hog
Argo's Threat Model
Trail of Bit выпустили отчет об аудите в связке с моделью угроз для ArgoCD.
Всего по итогу аудита было обнаружено 35 issues (3 medium,16 low, 16 info). Уязвимости с наибольшим уровнем критичности:
16. The zJWT auth tokens allow for denial of service in Argo CD (Severity: Medium, Difficulty: Low)
17. Non-cryptographically secure random function documented as CSPRNG (Severity: Medium, Difficulty: High)
35. Packages with security vulnerabilities in Argo-CD and Argo WorkflowsUI (Severity: Medium, Difficulty: Low)
По итогам проведения моделирования угроз было обнаружено 21 issues (10 medium, 1 info, 8 low, 1 Undetermined, 1 high ). Уязвимости с наибольшим уровнем критичности и наименьшей сложностью эксплуатации):
6. Lack of authentication rate limiting (Severity: Medium, Difficulty: Low)
10. Insufficient default network access controls between pods (Severity: High, Difficulty: High)
11. Lack of authentication rate limiting ( Severity: Medium, Difficulty: Low)
12. API does not require authentication by default (Severity: Medium, Difficulty: Low)
15. TLS is not enabled by default (Severity: Medium, Difficulty: Low)
20. Undocumented potential race condition in Event Bus (Severity: Medium, Difficulty: Low)
В отчете также прилагается описание мер по повышению безопасности инфраструктуры по итогам проведения аудита. Меры делятся на краткосрочные и долгосрочные. Также описана методология тестирования и используемые инструменты (Semgrep, gosec, CodeQL, errcheck).
#ops #k8s #attack
Trail of Bit выпустили отчет об аудите в связке с моделью угроз для ArgoCD.
Всего по итогу аудита было обнаружено 35 issues (3 medium,16 low, 16 info). Уязвимости с наибольшим уровнем критичности:
16. The zJWT auth tokens allow for denial of service in Argo CD (Severity: Medium, Difficulty: Low)
17. Non-cryptographically secure random function documented as CSPRNG (Severity: Medium, Difficulty: High)
35. Packages with security vulnerabilities in Argo-CD and Argo WorkflowsUI (Severity: Medium, Difficulty: Low)
По итогам проведения моделирования угроз было обнаружено 21 issues (10 medium, 1 info, 8 low, 1 Undetermined, 1 high ). Уязвимости с наибольшим уровнем критичности и наименьшей сложностью эксплуатации):
6. Lack of authentication rate limiting (Severity: Medium, Difficulty: Low)
10. Insufficient default network access controls between pods (Severity: High, Difficulty: High)
11. Lack of authentication rate limiting ( Severity: Medium, Difficulty: Low)
12. API does not require authentication by default (Severity: Medium, Difficulty: Low)
15. TLS is not enabled by default (Severity: Medium, Difficulty: Low)
20. Undocumented potential race condition in Event Bus (Severity: Medium, Difficulty: Low)
В отчете также прилагается описание мер по повышению безопасности инфраструктуры по итогам проведения аудита. Меры делятся на краткосрочные и долгосрочные. Также описана методология тестирования и используемые инструменты (Semgrep, gosec, CodeQL, errcheck).
#ops #k8s #attack
GitHub
argoproj/docs/argo_security_final_report.pdf at main · argoproj/argoproj
Common project repo for all Argo Projects. Contribute to argoproj/argoproj development by creating an account on GitHub.
Security Wine (бывший - DevSecOps Wine)
Возвращаясь к теме Dependency Confusion, хочется упомянуть несколько простых скриптов, которые могут помочь в обнаружении проблемных артефактов: confused и repo-diff. Первая утилита анализирует файл с определением зависимостей и проверяет, заняты ли имена…
Still Dependency Confusion. Defending Against Software Supply Chain Attacks
На тему атаки Dependency Confusion продолжают выходить статьи и инструменты.
В частности ребята из Salesforce выпустили инструмент DazedAndConfused для проверки Cocoapods, composer, gems, gradle и не только.
Вышла даже статья по реализации атаки в Game Development на Unity (потому что NPM). На тему устранения уязвимости в NPM вот. Если вы используете Bundler для работы с зависимостями в Ruby, то для вас также есть статья.
На тему Supply Chain последнее время пишут достаточно часто. В частности CISA выпустила методичку "Defending Against Software Supply Chain Attacks" по защите от атак на цепочку поставок. В ней есть упоминание множества полезных практик NIST - NIST SP 800-161 (April 2015), NISTIR 8276 (February 2021), SSDF (April, 2020)
#dev #sca #attack
На тему атаки Dependency Confusion продолжают выходить статьи и инструменты.
В частности ребята из Salesforce выпустили инструмент DazedAndConfused для проверки Cocoapods, composer, gems, gradle и не только.
Вышла даже статья по реализации атаки в Game Development на Unity (потому что NPM). На тему устранения уязвимости в NPM вот. Если вы используете Bundler для работы с зависимостями в Ruby, то для вас также есть статья.
На тему Supply Chain последнее время пишут достаточно часто. В частности CISA выпустила методичку "Defending Against Software Supply Chain Attacks" по защите от атак на цепочку поставок. В ней есть упоминание множества полезных практик NIST - NIST SP 800-161 (April 2015), NISTIR 8276 (February 2021), SSDF (April, 2020)
#dev #sca #attack
Nuclei and DevSecOps
Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).
Прилагаю также дополнительный полезный материал на тему Nuclei:
- Exploiting Race conditions with Nuclei
- How to Scan Continuously with Nuclei?
- Nuclei - Fuzz all the things
#dev #ops #attack #dast
Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).
Прилагаю также дополнительный полезный материал на тему Nuclei:
- Exploiting Race conditions with Nuclei
- How to Scan Continuously with Nuclei?
- Nuclei - Fuzz all the things
#dev #ops #attack #dast
Jenkins attack framework
Инструмент для тестирования безопасности Jenkins от Accenture - jenkins-attack-framework. Инструмент работет как white box и требует URL сервера и агента, username, password или API-токен. Среди атак попытка просмотра и запуска джоб и скриптов, дамп кредов, загрузка файлов.
Есть также сопровождающая статья:
- Red teaming Jenkins with the Jenkins Attack Framework
#dev #ops #attack
Инструмент для тестирования безопасности Jenkins от Accenture - jenkins-attack-framework. Инструмент работет как white box и требует URL сервера и агента, username, password или API-токен. Среди атак попытка просмотра и запуска джоб и скриптов, дамп кредов, загрузка файлов.
Есть также сопровождающая статья:
- Red teaming Jenkins with the Jenkins Attack Framework
#dev #ops #attack
GitHub
GitHub - Accenture/jenkins-attack-framework
Contribute to Accenture/jenkins-attack-framework development by creating an account on GitHub.
Infrastructure-as-code security tool compare
Сравнение инструментов для анализа конфигурационных файлов IaC: Checkov, Indeni Cloudrail, Kics, Snyk, Terrascan, Tfsec. В качестве тестовой выборки был взят Terraform для AWS. Каждый test-case можно увидеть в репо. Полезно также будет для понимания типовых ошибок.
#terraform #iac #sast #dev #ops
Сравнение инструментов для анализа конфигурационных файлов IaC: Checkov, Indeni Cloudrail, Kics, Snyk, Terrascan, Tfsec. В качестве тестовой выборки был взят Terraform для AWS. Каждый test-case можно увидеть в репо. Полезно также будет для понимания типовых ошибок.
#terraform #iac #sast #dev #ops
Detecting Malicious Activity in CI/CD Pipeline with Tracee and Codecov story.
Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).
Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.
Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).
Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.
Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.
#attack #dev #ops
Aqua Security показали один из примеров, как можно использовать относительно новый инструмент Tracee. Напоминаю, что Tracee - это утилита, которая помогает собирать информацию об активности приложения, которое развернуто на сервере с Tracee, в режиме runtime на основе технологии eBPF (по аналогии с тем, как работают движки Container Runtime в современных средствах защиты класса CSP).
Так вот Аква предлагает запускать Tracee в CI/CD, анализируя аномальную активность собираемых и разворачиваемых приложений. При этом у Tracee появился встроенный набор сигнатур.
Сам автор поста заявляет, что данный механизм защиты может помочь предотвратить индицент аналогичный тому, что произошел с Codecov в апреле 2021 года, когда злоумышленники подменили скрипт Bash Uploader, используемый в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Злоумышленнику удалось воспользоваться ошибкой в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader (наглядный пример supply chain атаки).
Ненавистники сигнатур занегодуют, но стоит признать, что сам по себе подход имеет право на существование.
Помимо анализа работы ПО, используемого в CI/CD на наличие аномалий, важно не забывать про механизмы защиты самого процесса CI/CD: MFA, хранение секретов, изоляция окружений, сетевая безопасность и многое другое. Этой теме в будущем будут посвящены отдельные посты.
#attack #dev #ops
Aqua
Detecting Malicious Activity in CI/CD Pipeline with Tracee
Embed CI/CD pipeline security into the development lifecycle to shift left and secure applications using Tracee to trace malicious activity in the build
Terraform Plan “RCE”
Небольшая статья о реализации "Remote Code Execution" (RCE) злоумышленником при работе с
Стало любопытно то, что
В статье есть раздел по митигации риска.
#terraform #attack #dev #ops
Небольшая статья о реализации "Remote Code Execution" (RCE) злоумышленником при работе с
terraform plan. Это особенно актуально, если вы проверяет таким образом PR перед merge в прод бранч.Стало любопытно то, что
terraform plan на первый взгляд кажется довольно безобидным. Сама документация сообщает о том, что "команду можно использовать для проверки, соответствуют ли предлагаемые изменения ожидаемым, прежде чем применять изменения". В статье есть раздел по митигации риска.
#terraform #attack #dev #ops
alxk's blog
Terraform Plan RCE
Running a Terraform plan on unstrusted code can lead to RCE and credential exfiltration.
On Establishing a Cloud Security Program
Marco Lancini, автор блога CloudSecDocs, выпустил страницу, на которой собрал все активности, относящиеся к построению полноценной программы безопасности в современной облачной среде - A Cloud Security Roadmap Template. Про этот проект Marco написал также поясняющую статью.
Основная цель - аккумулировать все существующие активности, которые будут разделены на домены (Архитектура, Политики и стандарты, Цепочка поставок, Мониторинг и так далее), уровни зрелости, способы реализации и еще несколько атрибутов. Многие активности имеют связь с пунктами Cloud Controls Matrix v4.
Будет полезно также для тех, кто поддерживает self-hosted k8s, так как многие активности относятся к образам, контейнейрам, архитектуре кластера и CI/CD.
#dev #ops
Marco Lancini, автор блога CloudSecDocs, выпустил страницу, на которой собрал все активности, относящиеся к построению полноценной программы безопасности в современной облачной среде - A Cloud Security Roadmap Template. Про этот проект Marco написал также поясняющую статью.
Основная цель - аккумулировать все существующие активности, которые будут разделены на домены (Архитектура, Политики и стандарты, Цепочка поставок, Мониторинг и так далее), уровни зрелости, способы реализации и еще несколько атрибутов. Многие активности имеют связь с пунктами Cloud Controls Matrix v4.
Будет полезно также для тех, кто поддерживает self-hosted k8s, так как многие активности относятся к образам, контейнейрам, архитектуре кластера и CI/CD.
#dev #ops
Revealing the secrets of Kubernetes secrets
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
Security Gym - Secure Software Development Training Platform
Security Gym - открытая open-source платформа Яндекса для проведения тренингов разработчиков безопасному программированию. Есть Python, Javascript, Golang. Поднимаются как баги OWASP, так и меры по исправлению уязвимостей. Поиграться без развертывания можно здесь.
#dev
Security Gym - открытая open-source платформа Яндекса для проведения тренингов разработчиков безопасному программированию. Есть Python, Javascript, Golang. Поднимаются как баги OWASP, так и меры по исправлению уязвимостей. Поиграться без развертывания можно здесь.
#dev
AI security risk assessment
История с AI/ML Ops стремительно набирает обороты в ИТ-комьюнити. Мы же сегодня начнем эту неделю с AI Security.
Microsoft выпустила статью "AI security risk assessment using Counterfit", в которой представила свой новый открытый инструмент Counterfit для оценки ML-систем на безопасность. Безопасность ML - на сегодняшний день супер-молодая ниша. Организация MITRE только полгода назад представила матрицу угроз "Adversarial ML Threat Matrix", которая пока еще не успела стать частью ATT&CK matrix.
Microsoft также рассказала про bug bar, где собираются различные атаки на ML-системы и набор вопросов, которые стоит задать для моделирования угроз ML. В статье также упоминаются другие инструменты безопасности: Adversarial Robustness Toolbox and TextAttack.
#ml
История с AI/ML Ops стремительно набирает обороты в ИТ-комьюнити. Мы же сегодня начнем эту неделю с AI Security.
Microsoft выпустила статью "AI security risk assessment using Counterfit", в которой представила свой новый открытый инструмент Counterfit для оценки ML-систем на безопасность. Безопасность ML - на сегодняшний день супер-молодая ниша. Организация MITRE только полгода назад представила матрицу угроз "Adversarial ML Threat Matrix", которая пока еще не успела стать частью ATT&CK matrix.
Microsoft также рассказала про bug bar, где собираются различные атаки на ML-системы и набор вопросов, которые стоит задать для моделирования угроз ML. В статье также упоминаются другие инструменты безопасности: Adversarial Robustness Toolbox and TextAttack.
#ml
Microsoft Security Blog
AI security risk assessment using Counterfit | Microsoft Security Blog
Counterfit is a command-line tool for security professionals to red team AI systems and systematically scans for vulnerabilities as part of AI risk assessment.
DevSecOps Series: Shifting Security Left
"Running a DevSecOps program as well as what some of the (hard) lessons I learned through the years."
Давно в этом канале не было статей из разряда "классика" - как должен выглядеть процесс DevSecOps, из чего он состоит и кто в этом должен участвовать - "DevSecOps Series: Shifting Security Left".
#dev #ops
"Running a DevSecOps program as well as what some of the (hard) lessons I learned through the years."
Давно в этом канале не было статей из разряда "классика" - как должен выглядеть процесс DevSecOps, из чего он состоит и кто в этом должен участвовать - "DevSecOps Series: Shifting Security Left".
#dev #ops
Attacking Kubernetes Clusters Through Your Network Plumbing: Part 2
Вторая часть от CyberARK по атакам на сети Kubernetes (первая здесь). В этот раз речь пойдет об изменении маршрутизации (в частности BGP), что приводит к скрытой MiTM-атаке.
#attack #ops #k8s
Вторая часть от CyberARK по атакам на сети Kubernetes (первая здесь). В этот раз речь пойдет об изменении маршрутизации (в частности BGP), что приводит к скрытой MiTM-атаке.
#attack #ops #k8s
Cigna/confectionery
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
GitHub
GitHub - Cigna/confectionery: A library of rules for Conftest used to detect misconfigurations within Terraform configuration files
A library of rules for Conftest used to detect misconfigurations within Terraform configuration files - Cigna/confectionery
Ensure Content Trust on Kubernetes using Notary and Open Policy Agent
Реализация проверки подписи образа через OPA при деплое в Kubernetes с помощью интеграции с Notary-сервисом.
В рамках CI сборки формируется подпись к образу с помощью Notary сервиса. При формировании подписи, ее значение сохраняется в БД. Каждый раз, когда происходит попытка деплоя нового ворклоада, OPA с помощью
Так как работа происходит с OPA, в данной схеме есть возможность применить и
Про альтернативные способы формирования Content Trust я писал ранее.
#opa #k8s #dev #ops
Реализация проверки подписи образа через OPA при деплое в Kubernetes с помощью интеграции с Notary-сервисом.
В рамках CI сборки формируется подпись к образу с помощью Notary сервиса. При формировании подписи, ее значение сохраняется в БД. Каждый раз, когда происходит попытка деплоя нового ворклоада, OPA с помощью
ValidatingAdmissionWebhook проверяет наличие подписи (digest) к образу и идёт с ним в Notary, чтобы убедиться, что подпись была сформирована именно им. В случае, если образ был подменен злоумышленником или изменен за пределами security-проверок в CI, образ развернут быть не сможет.Так как работа происходит с OPA, в данной схеме есть возможность применить и
MutatingAdmissionWebhook. Например, прикреплять digest, если он отсутствует, но подпись для данного образа уже была сформирована и хранится в Notary.Про альтернативные способы формирования Content Trust я писал ранее.
#opa #k8s #dev #ops