k8s (in)security

2022-02-17 09:02:00 Компания Google в своем Security Blog сообщила: "Until December 31 2022 we will pay 20,000 to 91,337 USD for exploits of vulnerabilities in the Linux Kernel, Kubernetes, GKE or kCTF that are exploitable on our test lab."


Максимальное вознаграждение за эксплоит теперь составляет 91,337$, при этом вознаграждение есть и за 1day и за дубликаты с уникальными техниками эксплуатации!

Напомню, что в 2020 году компания Google (родитель Kubernetes) расширила свою Vulnerability Rewards Program (VRP), добавив туда Kubernetes-based инфраструктуру под названием kCTF.

О парочке таких публичных успешных вознаграждений я уже писал [1,2].

Мне кажется, что это очень хорошо показывает, насколько Google внимательно относится к Kubernetes и какую ставку на него делает. Открыть/Комментировать

2022-02-16 09:02:51 Дискуссия: Где правильнее (безопаснее) хранить секреты - в переменных окружения или на файловой системе?

В статье "Stop Storing Secrets In Environment Variables!" автор достаточно эмоционально отстаивает свою точку зрения на этот счет) Его фаворитом тут является использование ephemeral filesystem mounts.

А какая ваша позиция на этот счет и что говорит ваш опыт работы с секретами? Открыть/Комментировать

2022-02-15 09:00:04 Сегодня поговорим не о security, не о reliability и даже не об observability в Kubernetes.

А поговорим как можно упростить и улучшить жизнь разработчиков в инфраструктурах с Kubernetes (да и не только).

Кто-то может тут сразу поднять вопрос: "Нужно ли разработчику знать Kubernetes?" - об этом у меня был отдельный пост и в рамках нее упоминается статья "Maximizing Developer Effectiveness". Из которой вы и могли уже узнать о таком замечательном проекте от команды Spotify как Backstage.

Backstage это OpenSource портал для разработчиков с системой плагинов, позволяющий обозревать всю информацию о системе в одном месте! И да эта система уже понимает, что такое Kubernetes!


Проект находится в CNCF Sandbox, у него уже более 50 крупных публичных компаний пользователей. Я знаю и российские компании, которые используют данное решение.

Да, в ряде больших российских ИТ компаний есть собственные внутренние порталы для разработчиков, сделанные силами платформенной команды. Но если у вас нет не возможностей, не желания вести свою внутреннюю разработку для этого, то Backstage это первый кандидат для пробы из готовых решений.

Прямо online можно поиграть с решением на данном demo стенде. Открыть/Комментировать

2022-02-14 09:00:15 В статье "Fun with secrets - Where did they go?" автор в Kubernetes создает Secret со специальной annotation, указывающей на несуществующий Service Account и он успешно создается. Но потом не отображается, если запросить список Secrets! Автор начинает разбираться с этим поведением.

В дело идет etcdctl для прямого доступа к etcd, редактирование существующих Secrets, копание в документации - настоящий детектив! Кто убийца - спойлерить не буду ;)

По возможному импакту - пользователь без права удаления Secret, но с правом его редактировать - может удалить Secret. Открыть/Комментировать

2022-02-11 09:01:04 Задумывались ли вы когда-нибудь о границах масштабируемости Kubernetes ?

Если вас порой посещают такие мысли то заметка "Kubernetes Scalability thresholds" как раз для вас. Из нее вы узнаете что ответ на этот вопрос совсем не прост, а также ряд достаточно интересных цифр о Kubernetes. Достичь таких цифр могут, конечно, далеко не многие компании, но все же.

Всем хорошей пятницы и выходных! Открыть/Комментировать

2022-02-10 08:51:36 Как-то прошло мимо меня, но в том году опубликовали отчет 3rd party security audit для проектов Argo: Argo CD, Argo Rollouts, Argo Workflows, Argo Events. В итоге сейчас на GitHub доступно 2 документа:
- Security Assessment
- Threat Model

С первым документом все банально - список находок уязвимостей/слабостей/проблем для рассматриваемой версии, что достаточно быстро становится не актуальным. А вот второй документ с моделями угроз для всех 4 проектов куда интереснее и полезнее для команд ИБ. Тем более я вижу все больше и больше интереса в индустрии к этим проектам. Поэтому Threat Model для таких достаточно необычных проектов будет очень полез при планировании обеспечения как их безопасности, так и системы в целом, где они используются. Открыть/Комментировать

2022-02-09 09:00:21 Статья, которую можно было бы и в пятницу запостить, "RBAC Virtual Verbs: Teaching Kubernetes to Educate Dolphins", но глубина погружения в RBAC очень крутая =)

Ознакомившись с ней, вы узнаете, что помимо таких действий (verbs) как: list, get, watch, create, update, patch, delete, deletecollection еще есть и virtual verbs!

Автор в стать предлагает по обучать дельфинов! В качестве Dolphins будет специально созданный CustomResourceDefinition, а educate это просто значение для verbs внутри ClusterRole/Role!

Тоесть в Kubernetes на самом деле нет фиксированного списка разрешенных verbs!!!

При этом в жизни из virtual verbs в дефолтном Kubernetes вы еще можете встретить:
- use
- bind
- escalate
- impersonate
- userextras Открыть/Комментировать

2022-02-08 16:18:31 В эту среду 09.02.2022 в 16:00 мой коллега и я будем гостями крутого подкаста linkmeup с темой "eBPF и ни слова про сети". И все это в преддверии нашего выступления на конференции HighLoad++ 17-18 марта в Москве с докладом "eBPF в production-условиях".

Если вам интересно что может дать eBPF кроме обработки сетевых пакетов, XDP и всего такого (об этом есть другой крутой выпуск этого же подкаста – очень рекомендую сначала послушать его ), то welcome на выпуск!

Ссылка на прямую трансляцию на YouTube. Открыть/Комментировать

2022-02-08 09:31:28 Cloud Native мир дарит нам много сюрпризов!


Уязвимость CVE-2022-21701 в Istio

В случае если у атакующего есть права на создание Custom Resource под названием gateways.gateway.networking.k8s.io, то он может создать другие Kubernetes ресурсы, которые он по идее (правам) создавать не может, на пример, Pods, что может привести к повышению привилегий (Privileged Escalation).


Уязвимость CVE-2022-24348 в ArgoCD

В случае если у атакующего есть возможность подготовить вредоносный Helm-чарт, то он может позволить ему сдампить Secrets и другую критичную информацию других приложений из кластера, что может привести к повышению привилегий (Privileged Escalation).


Два абсолютно разных проекта, но насколько же однотипные (одной природы) уязвимости - не находите? ;)

Это точно новый мир и мне очень интересно наблюдать за тем, как и что там развивается и порой идет вот так не по плану ведь из-за своих особенностей подобное встретить в другой сфере (ПО) можно или очень редко или вообще не возможно. И это требует глубоких знаний как в работе самого Kubernetes, так и сторонних проектов. Открыть/Комментировать

2022-02-07 14:58:42 Я как один из членов программного комитета конференции ZeroNights рад объявить, что мы опубликовали детали конференции этого года. Конференция будет 0xB по счету и проходить 1 день 23 июня в белые ночи в Санкт-Петербурге в отличном месте на берегу Финского залива.

Уже сейчас можно подать заявку на доклад - CFP открыт. Ждем доклады как на атакующие темы, так и на защитные (ранее мы их выделяли в отдельный Defensive track). Я лично буду очень рад заявкам на темы контейнеров, Kubernetes и облаков ;)

В этом году я также планирую представить новое исследование на тему Kubernetes на ZeroNights 2022. На текущий момент это скорее всего будет исследование с рабочим названием "NetworkPolicy: родной межсетевой экран Kubernetes". Посмотрим на то как и что могут NetworkPolicy и как они устроены в различных CNI и куда они развиваются. На текущий момент мы с моим коллегой накидываем идеи и готовим заявку) Открыть/Комментировать