DevSecOps Wine

2021-05-04 10:31:35 Открыть/Комментировать

2021-04-29 09:46:08 Rusty Hog - secret scanner in a Google doc, S3, Git, Confluence and Jira

Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.

#secret #dev Открыть/Комментировать

2021-04-28 20:29:27 Анонсы в мире безопасности разработки.

Последний год наполнен всевозможными онлайн и оффлайн мероприятиями на тему безопасности разработки / DevSecOps / SSDLC и безопасности контейнеров. По факту чаще всего ивент уходит в пресейл и поверхностную теорию. Однако сегодня мы взглянем на предстоящие мероприятия от проверенных организаторов.

- ZeroNight 2021, 30 июня, Севкабель Порт, Санкт-Петербург, Международная конференция по информационной безопасности. До 15 мая еще открыт CFP по докладам безопасности разработки. Программный комитет как всегда лучший.

- Positive Hack Days, 20-21 мая,
Центр Международной Торговли, Москва, Международная конференция по информационной безопасности. Еще можно зарегистрироваться на трек по безопасности разработки. С докладами уже можно познакомиться по ссылке.

- DevSecOps. Динамический анализ приложений. 25 мая, 15:00-17:00. Вебинар. Неоднократно упоминал на канале автора вебинара и своего наставника Юрия. Тема IAST,DAST,BAST мобилок и веба.

#events #talks Открыть/Комментировать

2021-04-26 09:33:21 Authorizing Microservice APIs With OPA and Kuma

До этого я писал про OPA только в контексте контроля запросов на API кластера с целью их ограничения. В этот раз предлагаю ознакомиться с материалом по применению OPA как способ микросервисной авторизации для реализации Zero Trust Network.

Authorizing Microservice APIs With OPA and Kuma

В данном случае речь именно об интеграции с service mesh Kuma, но это также может быть и Istio. Каждый раз, когда поступает новый внешний запрос, Kuma отправляет запрос авторизации на OPA. В статье также упоминается Styra DAS как инструмент централизованного управления политиками OPA.

Если вам интересно узнать чуть больше про Kuma и Zero Trust, то вот небольшая статья. У разработчиков Kuma есть также демо интеграции enterpise версии service mesh Kong Mesh с OPA.

#opa #ops #k8s Открыть/Комментировать

2021-04-20 11:24:59 CIS Red Hat OpenShift Container Platform 4 Benchamark (and RHCOS)

Как показывает статистика поста с OpenShift Security Guide, очень много здесь тех, у кого есть OpenShift, и тех, кто интересуется вопросами его безопасности. Как многие, наверное, знают, классический CIS, как и инструменты контроля соответствия CIS, не применимы к OpenShift. С этой целью Red Hat разработали отдельно Compliance Operator, который осуществляет набор проверок на базе собственного чек-листа. Тем не менее сам чек-лист отдельно не публикуется.

Оказывается, это не совсем так. В рамках одного из своих аудитов я узнал, что профили, на базе которых Compliance Operator строит проверки, можно найти на одном из доменов OpenSCAP, инструмента, который используется под капотом оператора.

Прикладываю:
- Guide to the Secure Configuration of Red Hat OpenShift Container Platform 4

Здесь же есть профили со следующими проверками:
- Red Hat Enterprise Linux CoreOS 4
- Red Hat Enterprise Linux 8
- Red Hat Enterprise OpenStack Platform 13 / 10
- Ubuntu 18.04 / 16.04 / 20.04
- Suse Linux Enterprise 12 / 15
- Debian 9 / 10
- CentOS 7 / 8
и еще много разного полезного.

Многие тезисы содержат довольно подробные описания, включая меры и команды по устранению.

#ops #k8s Открыть/Комментировать

2021-04-19 12:56:59 Generating Kubernetes Network Policies By Sniffing Network Traffic

Статья, посвященная эксперименту по генерации Network Policies на базе имеющегося трафика. Все необходимые скрипты можно найти в соответствующем репо. Основное ограничение заключается в том, что под капотом используется старый добрый tcpdump, требующий доп. привилегий, которых чаще всего нет в необходимой среде.

Идея, кстати, не новая. До этого, как правило, с задачей справлялся advisor вроде Inspektor Gadget.

#ops #k8s Открыть/Комментировать

2021-04-15 09:33:45 Uncomplicate Security for developers using Reference Architectures

Продолжение вчерашней темы о том, как сократить трудозатраты специалистов безопасности за счет самостоятельности разработчиков. В этот раз речь пойдет об "эталонной архитектуре" (reference architecture) - что это такое, какой она должна быть и какие существуют подводные камни. На картинке, в частности, пример такой "эталонной архитектуры".

Uncomplicate Security for developers using Reference Architectures

#dev #ops Открыть/Комментировать

2021-04-14 09:51:24 Redefining Threat Modeling: Security team goes on vacation

Статья от компании Segment о том, что такое Threat Modeling и как они сделали так, чтобы разработчики сами его выполняли. Данную активность они назвали символично "Utopia". Сам по себе процесс участия безопасников в данном случае они сделали опциональным. Также команда Segment поделилась опытом обучения разработчиков моделированию угроз, включая презентации.

Данную идею я, кстати, встречаю не в первый раз. В качестве примера можно почитать "Appsec Development: Keeping it all together at scale" об опыте в Snowflake.

Если у вас в закромах сохраненок есть подобные статьи про опыт самостоятельного триажа разработчиками, с удовольствием бы почитал.

#threatmodeling Открыть/Комментировать

2021-04-13 10:09:01 Security Chaos Engineering: How to Security Differently

Интересно, что вместе с этой книгой Verica опубликовали статью "Security Chaos Engineering: How to Security Differently", где описали культуру, которая должна главенствовать в организации, чтобы эффективно внедрить соответствующие подходы. Основная идея заключается в концепции перехода от Safety I к Safety II, то есть от наказаний и пристального внимания за "негативными событиями" (баги, ошибки, события журналов) к совместному сотрудничеству с командами для развития способностей, которые помогают поддерживать системы в безопасном состоянии - "положительные события" (способности реагировать, отслеживать, изучать и предвидеть ошибки).

Одно из распространенных заблуждений, согласно статье, состоит в том, что, когда мы пишем политику, проектируем систему и внедряем соответствующие меры безопасности, мы с самого начала имеем точное представление о том, как ведет себя вся система. Хотя на самом деле зачастую это не так, и об этом нам говорят кейсы связанные с безопасностью всем уже знакомых приложений в контейнерной среде.

#dev #ops Открыть/Комментировать

2021-04-13 10:08:56 Security Chaos Engineering, Gaining Confidence in Resilience and Safety at Speed and Scale

Давно ждал эту книгу от Verica и рад, что она есть в открытом доступе. В книге описано подробно про Chaos Engineering в разрезе безопасности с примерами тестов. Прошлый пост с другими материалами по данной теме можно почитать здесь.

#ops #literature Открыть/Комментировать