k8s (in)security

2022-09-01 08:18:12 Всех поздравляю с 1 сентября! С Днем Знаний!

И хотел бы сегодня поделиться знанием, почему наше решение по безопасности для Kubernetes называется Luntry ("Лантри"). Хотя некоторые нас порой называют "Люнтри" и как вы увидите дальше это в принципе тоже верно.

И так, Luntry ("Лантри") это выдуманное слово, образованное от французского слова "Lune" (Люн), что в переводе значит Луна. Так что "Люнтри" это можно сказать произношение на французский манер =)

Почему Луна?
1) Как и многое в теме контейнеров и Kubernetes ("Штурвал") мы пошли от морской темы. Луна является для моряков спутником, светилом, ориентиром в темное время. Мы также являемся для пользователей Kubernetes – показываем и подсказываем что, где и как работает (плохо/хорошо/опасно/безопасно).
2) Обратная сторона Луны — часть лунной поверхности, которая не видна с Земли. И Лантри как возможность эту сторону увидеть, понять и контролировать ;)
3) Альбом "The Dark Side of the Moon" группы Pink Floyd никакого отношения к названию не имеет, но в легенду ложиться просто супер ;)

P.S. Интересно ли вообще информация о внутренней кухне, о разработке или лучше чисто писать про безопасность Kubernetes? Открыть/Комментировать

2022-08-31 07:47:59 kubectl-execws - утилита на Go, которая по сути является заменой kubectl exec, которая работает через WebSocket. Тоесть весь kubectl не нужен. При этом данная утилита может обходить Kubernetes API server (привет Kubernetes Audit Log!), благодаря прямому соединению с kubelet API, работающим на Nodes. Инструмент будет больше полезен для атакующих целей (привет сигнатуры на kubectl!).

P.S. Как работает kubectl exec можно узнать/вспомнить тут. Открыть/Комментировать

2022-08-30 08:19:15 Книга "Zero Trust Container Security for Dummies"

Цитата: "Zero Trust security takes a proactive approach to security. Instead of relying on reactive, signature-based protections, Zero Trust security is based on a declarative model in which you define acceptable behavior and block everything else. Allow lists are highly proscriptive and minimize the attack surface."

В этой мини книге (50стр) вы найдете хорошую теорию по ZeroTrust для контейнеров и рекламу решений SUSE. Открыть/Комментировать

2022-08-29 14:15:12 Открыть/Комментировать

2022-08-29 08:06:01 Две очень короткие и хорошие заметки на смежные темы в официальном блоге Kubernetes:
1) PodSecurityPolicy: The Historical Context - в общем про становление и падение PSP
2) Kubernetes v1.25: Pod Security Admission Controller in Stable - про то что появилось/изменилось со времен статуса Beta

P.S. Обратите внимание, что сервис container registry куба переехал с k8s.gcr.io на registry.k8s.io! Некоторое время они будут работать одновременно. Открыть/Комментировать

2022-08-26 08:54:52 Я как разработчик решения под Kubernetes очень люблю низкоуровневые материалы о нем, когда люди прямо лезут в его "кишки" и начинают с ними разбираться, оптимизировать, улучшать и т. д. Одно из подобных работ является статья "Scaling Kubernetes to Thousands of CRDs". Уже сегодня невозможно представить Kubernetes продакшен кластер без сторонних Kubernetes operators с их Custom Resources и с каждым годом появляется все больше таких проектов: от security до Chaos engineering. И естественно рано или поздно можно упереться в тот или иной лимит при работе с Custom Resource Definition (CRD). И вот с чем столкнулись в данном вопросе и как решали и идет речь в данной статье от авторов Crossplane.

А что вы можете посоветовать такого почитать низкоуровневого про работу Kubernetes? Может быть, у вас есть какая-то любимая статья в таком духе? Открыть/Комментировать

2022-08-25 09:01:12 Занимательный детектив "Who’s at the Helm?" или "Or, how to deploy 25+ CVEs to prod in one command!" - я думаю, что общий посыл понятен прям из названия! И да речь тут пойдет об open source supply-chain management.

Автор берет один Helm chart (в его случае это kube-prometheus-stack) и пытается разобраться, что реально появляется/ставится в его инфраструктуре и откуда и как это вообще было собрано. Есть там классный момент как автор пытается определить что за base image использовался при создании определенного образа - там идет почти reverse engineer с параллельными прыжками в ArtifactHub, GitHub, DockerHub, Quay =)

Естественное многое для автора становится сюрпризом (помимо количества уязвимостей)! Да, Helm chart может удивить, так я на пример знаю компании в которых запрещено использовать в виду их большой непрозрачности ...

PS Сегодня в Москве - выступаю на OFFZONE 2022. Открыть/Комментировать

2022-08-24 10:26:07 Вышел Kubernetes 1.25 с новым лого и кодовым названием - Combiner! О самых интересных на мой взгляд нововведениях в безопасности - я уже писал тут. Открыть/Комментировать

2022-08-24 08:26:36 Тема eBPF продолжает будоражить умы как защитников, так и атакующих! На конференции BlackHat USA 2022 были представлены доклады на интересы одних и других:
1) "Return to Sender - Detecting Kernel Exploits with eBPF" - для защитников будет полезно узнать как на базе eBPF можно бороться с эксплотацией ядерных уязвимостей в ядре Linux. Автор даже зарелизил инструмент - Kernel Runtime Integrity with eBPF (KRIe). Но по результатам всего этого автор приходит к выводу:"eBPF is not really the ideal technology to detect kernel exploits" Об таком же выводе я уже писал тут.
2) "eBPF ELFs JMPing Through the Windows" - для атакующих в этой презе можно посмотреть как поддержка eBPF в Windows расширяет attack surface и что там можно нафазить ;) А так вообще полезно посмотреть чем и как отличается eBPF в Linux и Windows.

P.S. eBPF Summit SEPTEMBER 28-29, 2022 Открыть/Комментировать

2022-08-23 08:01:15 Сегодня на повестке статья "Как организовать мультитенантность в кластерах Kubernetes".

В данной статье автор делится своим опытом об основных подходах, плюсах и минусах разных вариантов реализации Multitenancy в Kubernetes и как они с командой пришли к собственному решению. Из статьи вы узнаете:
- Что такое Multitenancy
- Чем хорошо и плохи отдельные кластера
- Нативная мультитенантность на базе Namespaces, где берем и крутим: RBAC, NetworkPolicy, ResourceQuota, PriorityClasses, LimitRange, sandbox/microvm, Taints/Tolerations или Node Affinity, PodSecurityStandart
- Возможности такой примочки как Hierarchical Namespace Controller (HNC)
- Проект Capsule, о котором уже недавно писали на канале
- Ресурс Project из проекта Rancher

В продолжении должно быть к чему пришла команда автора и кажется это будет базироваться на Control-planes-as-a-Service ;) Также больше информации будет в докладе в предстоящем докладе "Multi-tenant Kubernetes". Открыть/Комментировать