DevSecOps Talks

2022-08-16 09:14:36 Визуализация сети k8s в Grafana

Всем привет!

В статье описывается подход, использование которого позволит строить графики, отображающие сетевое взаимодействие pods в… Grafana!

Все достаточно просто:
Использование k8spacket, в качестве инструмента сбора информации. Он представляет из себя ПО, написанное на Golang, которое умеет взаимодействовать с кластером Kubernetes. Устанавливается в качестве DaemonSet и каждые 10 секунд опрашивает об изменениях.
Node API Plugin для Grafana. Он позволит построить графы зависимостей.
И, конечно же, наборы Dashboards для Grafana, которые можно найти в repo k8spacket.

Сведения об установке, возможностях фильтрации и примеры отображения информации можно найти в статье. Открыть/Комментировать

2022-08-12 10:32:32 Faraday: vulnerability management tool

Всем привет!

Faraday – решение, которое позволяет агрегировать информацию по уязвимостям и работать с ними в соответствии с используемым в Компании процессом по управлению уязвимостями.

Решение обладает достаточно приятным web-интерфейсом и большим количеством plugins, которые можно использовать для импорта данных по уязвимостям. Например:
Bandit
Grype
Nikto
ZAP и многие другие

Полный перечень доступных plugins можно посмотреть тут. Если чего-то не хватает, то можно написать свой. Faraday написан на Python, есть инструкции в документации о том, как писать plugins.

Также в документации можно найти сведения о возможностях решения (их достаточно много и точно не описать в ТГ-посте), про его установку/настройку.

А если хочется ознакомиться с решением «быстро и в целом», то рекомендуем вот эту статью. Открыть/Комментировать

2022-08-11 10:00:43 STRIDE и ASVS

Всем привет!

Для моделирования угроз можно использовать разные методологии и практики. Одним из часто встречающихся инструментов является STRIDE.

Его использование позволяет обобщенно взглянуть на то, какие угрозы могут быть актуальны для приложения. Дальше – надо выбрать mitigations (контроли, меры защиты, контрмеры и т.д. – наименования не так важны).

Чтобы упростить процесс Автор repo сделал собственный mapping между STRIDE и Application Security Verification Standard (ASVS).

Процесс выглядит примерно так:
Моделирование угроз с использованием STRIDE и Rapid Threat Modelling (личное предпочтение Автора, можно выбрать наиболее интересную Вам)
Использование таблицы-mapping STRIDE и ASVS, чтобы понять, где и какие контроли искать
Адаптация требований под проект

Больше деталей по процессу, также как и сами материалы (включая небольшую книгу про Rapid Threat Modelling) можно найти в repo.

P.S. Проект только в начале своего пути Открыть/Комментировать

2022-08-10 10:24:31 Kubernetes Hardening при помощи Policy Engine

Всем привет!

Существует много разных подборок с политиками ИБ (и не только), которые можно реализовать при помощи Policy Engine. С одной стороны, это очень хорошо, т.к. есть где «подсмотреть» и что переиспользовать. С другой – не очень, т.к. не всегда понятно, что из этого реально полезно, а что решает локальной задачи в Компании N.

Материалы, приведенные в статье, могут быть полезны, при формировании первого перечня подходящих проверок. В ней описывается что можно контролировать.

Например:
block-endpoint-edit-default-role
disallowanonymous
read-only-root-filesystem
block-nodeport-services и другие

Пример реализации политик осуществлен с помощью Gatekeeper. Однако, ничего не мешает использовать наиболее удобный Вам инструмент: Kyverno, Datree, Kubewarden и т.д. Открыть/Комментировать

2022-08-09 10:07:34 Pixie: network visibility and observability

Всем привет!

Pixie – инструмент, созданный с использованием все больше и больше набирающей популярность технологии eBPF. Является «Sandbox Project» CNCF.

При помощи Pixie можно:
Получить информацию о traffic flow внутри кластера, отследить DNS-request
Собрать данные об использовании ресурсов кластера (CPU, Sent/Received Traffic и т.д.)
Изучить Service Performance: HTTP requests, HTTP Errors, HTTP Latency и т.д.
Request Tracing (предоставление информации о full-body requests) и многое другое

Решение обладает web-интерфейсом и документацией, в которой описано как установить/настроить и использовать Pixie. Из приятного – разработчики отдельно приложили Software Bill of Materials, правда только со сведениями о лицензиях.

Если хочется чуть больше – можно ознакомиться со статьей, в которой Автор использует Pixie для анализа сети. Открыть/Комментировать

2022-08-08 10:30:08 Обеспечение безопасности Deployments k8s

Всем привет!

В статье собраны рекомендации, использование которых позволит повысить уровень информационной безопасности Deployments в Kubernetes.

Рассматриваются следующие области:
Использование Service Account, запрет automountServiceAccountToken
Использование Security Context, описание наиболее значимых из доступного множества
Использование Distroless и Container-Optimized Images, сканирование образов на наличие уязвимостей и мисконфигураций
Использование Pod Security Admission (или любого другого Policy Engine наподобие OPA/Gatekeeper или Kyverno)
Корректное использование Secrets

Из материалов статьи можно составить неплохой check list для последующего анализа Deployments и формирования планов по устранению ИБ-дефектов. Открыть/Комментировать

2022-08-05 09:56:05 The Kubernetes Network Model

Всем привет!

По ссылке доступен ресурс, посвященный тематике сети в Kubernetes. Материал состоит из следующих разделов:
Network Model
CNI
Services
In(En)gress
Network Policies
IPv6
DNS

Каждый раздел, в свою очередь «раскрывается» еще на несколько областей. Например, Services -> Headless, ClusterIP, NodePort, LoadBalancer, ServiceMeshes и Optimisations. И да! Есть лабораторные работы, которые можно поделать, попутно изучая материал.

P.S. Увы, некоторые разделы не заполнены (например, Network Policies) и Автору требуется помощь. Возможно, это будете Вы Открыть/Комментировать

2022-08-04 09:53:06 Создание plugins для ArgoCD

Всем привет!

В статье приводится пример создания plugin для ArgoCD. Автор захотел использовать kbld (утилита, которая «транслирует» tag в digest образа) с меньшим количеством действий.

Есть несколько способов создания plugin:
Добавление конфигурации в «основной» ConfigMap ArgoCD. Подходит для простых доработок, в несколько строк кода
Добавление plugin в качестве sidecar для repo-server pod. Подходит для «продвинутых» plugin

Т.к. kbld достаточно простая утилита, Автор выбрал первый вариант и решил его реализовать. Как он это делал, что куда добавлял и как модифицировал kind: Application ArgoCD – все это описано в статье. В итоге получился лаконичный механизм использования инструмента.

P.S. Если вы не слышали про kbld и зачем он нужен, то можно ознакомиться с этой статьей, где все подробно описано. Открыть/Комментировать

2022-08-03 09:35:31 The Path to GitOps от Red Hat Developer

Привет!

В приложении можно скачать книжку о том, что такое GitOps, зачем он нужен и как его можно реализовать.

Содержание книги:
What is GitOps
Tools of the Trade
Templating
Git Workflows
Repository and Directory Structures
CI/CD with GitOps
Handling Secrets

В книге ~ 45 страниц, все достаточно хорошо структурировано и много ссылок на полезные источники по каждой из рассматриваемых глав. Открыть/Комментировать

2022-08-02 09:37:41 Istio Handbook

Всем привет!

Очень неплохой материал, посвященный Istio – статьей его язык не поворачивается назвать, т.к. материала очень много, но это и не полноценная книга.

В материале содержится информация о:
What Does Istio Do?
Introduction to Istio
Istio’s Architecture
How to Use Istio in Practice
How to Run the Services on the Mesh
Ingress Gateway – How to Admit Traffic into the Mesh
Observability
Traffic Management – Canary Deployments
Istio Security

Много схем, примеров, кусков кода и пояснений по каждому из вышерассмотренных блоков. Самое то для ознакомления с технологией и до вдумчивого чтения официальной документации. Открыть/Комментировать