Security Wine (бывший - DevSecOps Wine)
Joren_Vrancken_4593847_A_Methodology_for_Penetration_Testing_Docker.pdf
Announcing Curiefense: An Open-Source Security Platform
На этой неделе произошло сразу несколько интересных анонсов. Сегодня начнем с первого из них.
Curiefense - open-source инструмент, дополняющий функционал Envoy-прокси WAF, Bot Management, rate-limit, anti-DDoS и другими фичами. Инструмент создан компанией Reblaze, которая разрабатывает коммерческие решения для защиты веб-трафика в Cloud Native среде.
Есть вариант деплоя через docker compose и helm, в случае если вы используете Istio. Настройки системы, сигнатур и логов доступны через веб-морду решения. Также используются метрики Prometheus и дашборд Grafana.
- Документация.
- Репо на GitHub.
#ops #waf #k8s
На этой неделе произошло сразу несколько интересных анонсов. Сегодня начнем с первого из них.
Curiefense - open-source инструмент, дополняющий функционал Envoy-прокси WAF, Bot Management, rate-limit, anti-DDoS и другими фичами. Инструмент создан компанией Reblaze, которая разрабатывает коммерческие решения для защиты веб-трафика в Cloud Native среде.
Есть вариант деплоя через docker compose и helm, в случае если вы используете Istio. Настройки системы, сигнатур и логов доступны через веб-морду решения. Также используются метрики Prometheus и дашборд Grafana.
- Документация.
- Репо на GitHub.
#ops #waf #k8s
Announcing OpenCSPM - An Open-Source Cloud Security Posture Management and Workflow Platform
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Pentest in Docker, Secure Gitlab pipeline and Archdays 2020
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
Пришло время следующего анонса. 20 ноября мы с Пашей Канн (@shad0wrunner) выступаем на Archdays 2020, где покажем сценарий атаки на приложение в Docker. Специально для конференции мы подготовили репо Pentest-In-Docker, где вы можете самостоятельно шаг за шагом (которые детально описаны в readme) повторить эксплуатацию уязвимости. Есть вариант на русском.
Сценарий предполагает следующие шаги:
- Эксплуатация RCE в Bash (Shellshock)
- Повышение привилегий до root в контейнере через pip
- Создание своей ubuntu с ssh через docker.sock
- Смена контейнера и создание рута на хосте
- Побег из контейнера
- Развертывание Weave Scope для захвата инфры
Для реализации достаточно иметь виртуалку с docker на базе linux.
Образ также может быть использован для пилотирования коммерческих и не очень решений по Container Security, чтобы посмотреть, как они обнаруживают вредоносные действия. Паша, в свою очередь, покажет на воркшопе, как развернуть Gitlab с встроенными проверками Hadolint, Trivy и Dockle. Репо с пайплайном также есть уже на Github.
Вот, кстати, промо-код на скидку -50% для регистрации: DevSecOpsWine
https://archdays.ru/speakers/#track-bezopasnost-v-raspredelennyh-sistemah
#ops #docker #talks #attack
GitHub
GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try for pentest methods and test container security…
Docker image to exploit RCE, try for pentest methods and test container security solutions (trivy, falco and etc.) - GitHub - Swordfish-Security/Pentest-In-Docker: Docker image to exploit RCE, try...
10 React security best practices
Небольшой даташит для разработчиков и appsec.
https://snyk.io/blog/10-react-security-best-practices/
UPD: Вот туда же в копилку: Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик
#dev
Небольшой даташит для разработчиков и appsec.
https://snyk.io/blog/10-react-security-best-practices/
UPD: Вот туда же в копилку: Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик
#dev
securing_microservice_apis_sustainable_and_scalable_access_control.pdf
2.8 MB
Securing microservice APIs
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
Не так давно начал читать книгу Microservices Security in Action. Очень понравилась структура и подход к описанию. Есть и архитектура и сэмплы. Пока гуглил отдельные моменты, наткнулся на книгу Securing microservices API.
Содержание:
Microservice Architecture
- The Microservice API Landscape
- API Access Control for Microservices
- Microservice Architecture Qualities
Access Control for Microservices
- Establishing Trust
- Network-Level Controls
- Application-Level Controls
- Infrastructure
- Emerging Approaches
A General Approach to Microservice API Security
- Common Patterns in Microservice API Security Solutions
- Domain Hierarchy Access Regulation for Microservice
- Architecture (DHARMA)
- DHARMA Design Methodology
- A Platform-Independent DHARMA Implementation
- Developer Experience in DHARMA
Conclusion: The Microservice API Security Frontier
#ops #literature
CNCF_cloud-native-security-whitepaper-Nov2020.pdf
3.1 MB
Announcing the Cloud Native Security White Paper
CNCF Security Special Interest Group (SIG) недавно выпустила Cloud Native Security Whitepaper, представляющую из себя сборник лучших практик по части безопасности cloud native. Основная аудитория - CTO и CISO, поэтому с одной стороны, если посмотреть на оглавление, очень много затронутых тем (SSDL вместе с разными способами тестирования, защита артефактов, run-time безопасность, контроль доступа, моделирование угроз), c другой стороны очень мало конкретики. Около 40 страниц текста, на каждый пункт в среднем абзац. Поэтому, документ может стать хорошей отправной точкой для погружения в тему за короткий промежуток времени.
#dev #ops
CNCF Security Special Interest Group (SIG) недавно выпустила Cloud Native Security Whitepaper, представляющую из себя сборник лучших практик по части безопасности cloud native. Основная аудитория - CTO и CISO, поэтому с одной стороны, если посмотреть на оглавление, очень много затронутых тем (SSDL вместе с разными способами тестирования, защита артефактов, run-time безопасность, контроль доступа, моделирование угроз), c другой стороны очень мало конкретики. Около 40 страниц текста, на каждый пункт в среднем абзац. Поэтому, документ может стать хорошей отправной точкой для погружения в тему за короткий промежуток времени.
#dev #ops
AppSec & DevSecOps Jobs
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
Спрос на AppSec специалистов растет, а следом растет и спрос на тех, кто понимает и умеет в DevSecOps. По этой причине экспериментально запустил канал @appsec_job, где будут публиковаться вакансии по AppSec и DevSecOps. Главное условие - наличие зарплатной вилки. Есть также не RU сегмент. По всем размещениям писать ГлавРеду этого канала @nsemkina.
#talks #dev #ops
This media is not supported in your browser
VIEW IN TELEGRAM
illuminatio - The kubernetes network policy validator
illuminatio - утилита для проверки и тестирования Network Policies. Как только вы запускаете
#ops #k8s
illuminatio - утилита для проверки и тестирования Network Policies. Как только вы запускаете
illuminatio clean run, инструмент выполняет проверки сетевой доступности согласно написанным сетевым политикам. Для этого генерируется ряд дополнительных ресурсов, включая DaemonSet illuminatio. Ресурсы удаляются сразу после выполнения тестов. Инструменту требуется root, SYS_ADMIN, allowPrivilegeEscalation: true. Судя по issues на текущий момент поддерживается только TCP.#ops #k8s
DevSecOps Courses
В преддверии черной пятницы прилетает куча разных предложений с курсами от индусов. Кроме того, люди нередко пишут в лс с вопросами, с чего начать. Я курсов не проходил, но есть несколько, которые на мой взгляд выделяются на фоне остальных.
Kubernetes CKS 2020 Complete Course + Simulator - курс по безопасности Kubernetes. Стоит 100 евро, но вместе с ним идет симулятор для подготовки к абсолютно новой сертификации Certified Kubernetes Security Specialist. Попробовать симулятор и порешать кое-какие задания можно бесплатно.
Practical DevSecOps Training and Certification - достаточно популярная платформа для погружения DevSecOps с более или менее адекватной программой. У них также есть несколько открытых уроков по безопасности Docker. Также они ведут Awesome Threat Modeling. Сейчас есть некоторые скидки.
#dev #ops
В преддверии черной пятницы прилетает куча разных предложений с курсами от индусов. Кроме того, люди нередко пишут в лс с вопросами, с чего начать. Я курсов не проходил, но есть несколько, которые на мой взгляд выделяются на фоне остальных.
Kubernetes CKS 2020 Complete Course + Simulator - курс по безопасности Kubernetes. Стоит 100 евро, но вместе с ним идет симулятор для подготовки к абсолютно новой сертификации Certified Kubernetes Security Specialist. Попробовать симулятор и порешать кое-какие задания можно бесплатно.
Practical DevSecOps Training and Certification - достаточно популярная платформа для погружения DevSecOps с более или менее адекватной программой. У них также есть несколько открытых уроков по безопасности Docker. Также они ведут Awesome Threat Modeling. Сейчас есть некоторые скидки.
#dev #ops
Udemy
Online Courses - Learn Anything, On Your Schedule | Udemy
Udemy is an online learning and teaching marketplace with over 250,000 courses and 80 million students. Learn programming, marketing, data science and more.
Web Security for Developers.epub
18.7 MB
Web Security for Developers
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Rootless containers
Нашел на просторах Интернета небольшой сайт Rootless Containers, который отражает прогресс решения задачи по работе с контейнерами без root в разных проектах.
В качестве примеров:
- Встроенные возможности Docker на разных версиях
- Podman rootless-mode
- BuildKit rootless-mode
- LXC unprivileged-mode
- Singularity fakeroot-mode
Есть также ряд сценариев, которые не попали в rootless, так как используются SETUID бинари или run-time контейнера продолжает работать от рута:
- Kaniko
- Makisu
- работа с docker.sock через группу
Для k8s rootless остается пока где-то в будущем. На текущий момент такая возможность есть только в Usernetes и k3s, которые не применимы для продакшн сред. Для решения rootless задачи они используют RootlessKit.
#docker #ops #k8s
Нашел на просторах Интернета небольшой сайт Rootless Containers, который отражает прогресс решения задачи по работе с контейнерами без root в разных проектах.
В качестве примеров:
- Встроенные возможности Docker на разных версиях
- Podman rootless-mode
- BuildKit rootless-mode
- LXC unprivileged-mode
- Singularity fakeroot-mode
Есть также ряд сценариев, которые не попали в rootless, так как используются SETUID бинари или run-time контейнера продолжает работать от рута:
- Kaniko
- Makisu
- работа с docker.sock через группу
docker и —userns-nemap режимДля k8s rootless остается пока где-то в будущем. На текущий момент такая возможность есть только в Usernetes и k3s, которые не применимы для продакшн сред. Для решения rootless задачи они используют RootlessKit.
#docker #ops #k8s
Docker Documentation
Rootless mode
Run the Docker daemon as a non-root user (Rootless mode)
Kubernetes Security Policies for Open Policy Agent
До этого я писал о том, как с помощью Open Policy Agent можно проверять Network Policies и Ingress, задавая правила на языке Rego. Аналогично на языке Rego мы можем задать правила для проверки любых других ресурсов. Чтобы облегчить себе жизнь, предлагаю взглянуть на репо k8s-security-policies, который представляет из себя набор правил CIS Kubernetes benchmark вместе с перенесенными правилами из Kubesec.io.
Как и в случае с выбором между Conftest и Hadolint для Docker, вы можете рассмотреть вариант с Conftest и Kubesec.io для k8s-манифестов в связке с правилами k8s-security-policies. Можно также рассмотреть другие инструменты из этой подборки.
Cписок политик Kubesec.io можно посмотреть здесь.
#k8s #ops
До этого я писал о том, как с помощью Open Policy Agent можно проверять Network Policies и Ingress, задавая правила на языке Rego. Аналогично на языке Rego мы можем задать правила для проверки любых других ресурсов. Чтобы облегчить себе жизнь, предлагаю взглянуть на репо k8s-security-policies, который представляет из себя набор правил CIS Kubernetes benchmark вместе с перенесенными правилами из Kubesec.io.
Как и в случае с выбором между Conftest и Hadolint для Docker, вы можете рассмотреть вариант с Conftest и Kubesec.io для k8s-манифестов в связке с правилами k8s-security-policies. Можно также рассмотреть другие инструменты из этой подборки.
Cписок политик Kubesec.io можно посмотреть здесь.
#k8s #ops
No dockershim in k8s, what about security?
Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.
Через некоторое время появляется страница в официальной документации k8s:
Don't Panic: Kubernetes and Docker
А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:
- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims
С точки зрения security советую вам посмотреть следующее видео:
Security Considerations for Container Runtimes
Если коротко, то первое, в чем выиграет безопасность, так это отсутствие
#k8s #ops #docker
Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.
Через некоторое время появляется страница в официальной документации k8s:
Don't Panic: Kubernetes and Docker
А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:
- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims
С точки зрения security советую вам посмотреть следующее видео:
Security Considerations for Container Runtimes
Если коротко, то первое, в чем выиграет безопасность, так это отсутствие
CAP_NET_RAW в качестве дефолтного capability, при этом сохраняется возможность делать ping внутри контейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.#k8s #ops #docker
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.20.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
Threat Alert: Fileless Malware Executing in Containers
Команда Nautilus Team обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я рассказывал на DevOpsFest.
В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью UPX и ezuri, шифруя таким образом содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается руткит для сокрытия новых процессов.
В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.
Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент Tracee, который использует eBPF для отслеживания сисколов.
#k8s #ops #docker #attack
Команда Nautilus Team обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я рассказывал на DevOpsFest.
В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью UPX и ezuri, шифруя таким образом содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается руткит для сокрытия новых процессов.
В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.
Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент Tracee, который использует eBPF для отслеживания сисколов.
#k8s #ops #docker #attack
Forwarded from Технологический Болт Генона
Выложены доклады с Cloud Native Security Day North America 2020
https://www.youtube.com/playlist?list=PLj6h78yzYM2Otk8i3oB_VafP7IwB6LdaT
Программа доступна тут
https://events.linuxfoundation.org/cloud-native-security-day-north-america/program/schedule/
https://www.youtube.com/playlist?list=PLj6h78yzYM2Otk8i3oB_VafP7IwB6LdaT
Программа доступна тут
https://events.linuxfoundation.org/cloud-native-security-day-north-america/program/schedule/