k8s (in)security

2022-02-07 09:06:07 В комментариях на той неделе написали, что в теме безопасности supply chain обязательно нужно и рассказать и о таком проекте как Tekton. И только я взялся за подготовку поста про него, как вышла замечательная статья "How Citi is building the secure software factory with Sigstore and Tekton".

В рамках статьи авторы рассказали о проекте Secure Software Factory, который является прототипом реализации для CNCF's Secure Software Factory Reference Architecture, которая базируется на CNCF's Software Supply Chain Best Practices White Paper и SLSA guidelines.

Свою реализацию ребята в будущем планируют сделать доступной в рамках OpenSSF Supply Chain Integrity. Пока можно посмотреть видео работы их системы.

Безопасность supply chain совсем скоро будет просто и доступна всем и останется только (и самое сложное) адаптировать уже существующие процессы компании под это.
Изучив все документы – вас никто не сможет удивить в теме безопасности supply chain!

P.S. Пост про проект Tekton это не отменяет ;) Открыть/Комментировать

2022-02-04 09:00:15 А помните или знаете ли вы как начинался Kubernetes?

Если нет, то прекрасным занятием на выходные будет просмотр фильма "Kubernetes: The Documentary"! Сейчас доступно 2 части (не знаю будут ли еще):
- PART 1 (25 мин)
- PART 2 (31 мин)

Снято это проектом Honeypot и у них есть и другие документалки про Vue.js, GraphQL, Elixir, Ember.js.

Всем хорошей пятницы и выходных! Открыть/Комментировать

2022-02-03 13:56:03 Появилась мысль создать стикерпак канала "k8s(in)security" =)

Все же любят наклейки?!

Буду рад и очень признателен за идеи текста, картинок, что вы хотели бы видеть в стикерпаке и с радостью бы наклеили на свой ноут или системник.

Взаимодействие с дизайнерами, печать я возьму на себя.

В дальнейшим данный стикерпак буду раздавать на конференциях или высылать в качестве призов/подарков. А авторам чьи идеи войдут в реализацию будут среди первых кто получит стикерпак ;)

В общем пишем и предлагаем в комментариях!!!

P.S. Идеи буду собирать до конца февраля. Открыть/Комментировать

2022-02-03 09:01:01 Повсюду говорят о важности безопасности supply chain, но реализовать это не просто ведь состоит это не из одного какого-то действия, а из целой цепочки и ряда разнообразных типов инструментов. И тут руки опускают и включается режим ожидания “комбайна”, который сделает все сам через одну красную кнопку ...

Но если вы не ждун и руки чешутся все это реализовать здесь и сейчас, то статья "Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools" как раз для вас как ориентир.

Тут вам и генерация, и проверка checksum, SBOM, подписи образа с помощью Docker Content Trust (DCT), Cosign, Syft, Kyverno, а также сканирование на уязвимости с помощью Trivy и все через GitHub actions!

Отдельно выделю раздел "Further improvement or study" о том, как еще можно улучшить данную цепочку. Открыть/Комментировать

2022-02-02 09:01:43 Статья "Hardening Kaniko build process with Linux capabilities" о повышения уровня безопасности процесса сборки при использовании Kaniko. Вопрос сборки образов внутри Kubernetes/containers мы уже как-то поднимали и обсуждали момент с преимуществами такого подхода. Но это статья не о простом использовании Kaniko, а о том, как можно улучшить, обезопасить процесс.

Ситуация с Kaniko следующая - его контейнер запускается от пользователя root. Можно, конечно, предположить, что ему для работы нужны далеко не все capabilitys =)

План: забираем все capabilitys и явно добавляем только нужные!

Автор в своих изысканиях с Kaniko пришел к такому результату: CHOWN, SETUID, SETGID, FOWNER, DAC_OVERRIDE.

Как вы понимаете такой подход работает и для других приложений ;) Открыть/Комментировать

2022-02-01 09:23:43 secureCodeBox это kubernetes-based модульный toolchain от проекта OWASP на базе множества open source сканеров для continuous security scans. Это какая-то мечта любого DevSecOps специалиста!

Смотрите сами:
- Поддержка более 15 сканеров: Amass, Git Repo Scanner, Gitleaks, Kubehunter, Kubeaudit, Nikto, Nmap, Nuclei, Semgrep, Trivy, ZAP и другие.
- Встраивание в CI/CD pipeline или Kubernetes окружение
- Наличие собственного Dashboard, интеграции с DefectDojo и Kibana (ELK Stack) или кастомная интеграция
- Управление и контроль через его Custom Resources: Scan, ScheduledScan, ScanType, ParseDefinition, ScanCompletionHook, CascadingRule (еще один шажок в направлении Security-as-Code)

Сам еще этого монстра не тестировал, но выглядит как минимум впечатляюще. Пример использования тут. Если кто уже опробовал его в деле - пишите в комментариях ;) Открыть/Комментировать

2022-01-31 09:03:46 Чем опасен доступ к nodes/proxy в RBAC?

Именно на этот вопрос исследователи дают ответ в заметке "Node/Proxy in Kubernetes RBAC".

По итогу:
- Возможность работы с Pods на Node напрямую через Kublet API в обход Kubernetes API
- Право GET позволяет читать, например, получить список Pods на Node
- Право CREATE позволяет читать, например, выполнить команду в Pods
- Доступ к портам, что закрыты firewalls
- Обход средств контроля безопасности, таких как Kubernetes Audit Log и Admission controls

Отдельно стоит еще посмотреть на заметку "Detecting direct access to the Kubelet". По итогу, понять какой именно пользователь обращался к node proxy в Audit log нельзя, но можно увидеть, что кто-то обращался к nodes/proxy sub-resource по записям в логе о TokenReviews и SubjectAccessReviews ресурсах от kubelet.

Заодно ребята еще проверили багу 2019 года с “Abusing Kubernetes API server proxying” и убедились что она работает до сих пор.

P.S. Также не забывайте про "*" ;) Открыть/Комментировать

2022-01-28 09:00:44 Одним из самых популярных вопросов на всех форумах по Kubernetes это: "А кто, как ставит Kubernetes?"

Не знаю кто как, но так точно hard way =)

Всех с пятницей и всем хороших выходных! Открыть/Комментировать

2022-01-27 09:02:02 Хардкорная блоговая запись "CVE-2022-0185 - Winning a $31337 Bounty after Pwning Ubuntu and Escaping Google's KCTF Containers" еще один прекрасный пример (на ряду с CVE-2021-22555) побега из контейнера через kernel уязвимость хоста в рамках kCTF. Код эксплоита.

Основные моменты:
- Уязвимость позволяет в Kubernetes совершить побег из Pod на Host.
- Уязвимость появилась с 5.1-rc1 в марте 2019.
- Для атаки атакующий должен иметь доступ к контейнеру с CAP_SYS_ADMIN privileges (что само по себе считай побег) или к команде unshare(CLONE_NEWNS|CLONE_NEWUSER), которая даст CAP_SYS_ADMIN privileges в новом user namespace
- SeccompDefault в значении RuntimeDefault благодаря блокировке unshare способен замитигейтить данную багу (и все это только с 1.22)

Как и в прошлый раз я рекомендую: используйте AppArmor/SeLinux/seccomp профили для приложений, а также всегда имейте возможность смотреть что происходит внутри ваших контейнеров - прокачивайте observability.

Статьи по теме от вендоров [1,2]. Открыть/Комментировать

2022-01-26 09:07:55 В официальном блоге Kubernetes появилась запись "Securing Admission Controllers". И посвящена она как нетрудно догадаться безопасности такого важно для Kubernetes механизма как Admission Controllers. На нем базируется, по сути, Kubernetes operators и те же PolicyEngines.

И данная запись на самом деле приурочена к выходу whitepaper под названием "Kubernetes Admission Control Threat Model" от SIG Security. В документе вы найдете:
- Attack Tree - дерево атак, связывающее начальные условия, угрозы, защиты и возможные последствия
- Threat Model - всего выделили 16 угроз.
- Mitigations - 8 штук

Особое внимание обратите на угрозы с ID: 4,6,11,17. При их реализации атакующий сможет:
1) Запустить workload, который по идее уязвимым Admission Controller был бы запрещен
2) Получить доступ к чувствительной информации, с которой работает Admission Controller Открыть/Комментировать