DevSecOps Talks

2022-05-24 09:14:39 Безопасность Etcd

Всем привет!

Неплохая обзорная статья, посвященная безопасности Etcd. Сперва Автор описывает, что это такое, зачем она нужна, из каких компонентов состоит и как Etcd «связана» с Kubernetes.

После небольшой вводной части описываются значимые недостатки ИБ, которые могут быть реализованы в случае некорректной конфигурации:
client-cert-auth не используется, вследствие чего не проверяется валидность сертификатов при обращении к Etcd
Доступность порта 2379 «извне»
Использование SSRF уязвимости для получения доступа к Etcd
Утечка сертификата Etcd

Для каждого недостатка приводятся причины почему это плохо и к чему это может привести.

В продолжении статьи Автор описывает возможные векторы атак. Одним из них является компрометация токена, «привязанного» к Cluster Wide роли с дальнейшим его использованием при обращении к кластеру Kubernetes.

Завершают статью размышления Автора на тему того, как можно сделать лучше/более безопасно. Открыть/Комментировать

2022-05-23 09:47:49 Cloud Native Threat Report от Aqua Security

Всем привет!

В приложении можно скачать отчет от Aqua Security, посвященный Cloud Native (апрель 2022).

Для получения данных ребята из Aqua использовали несколько подходов – собственная honeypot сеть, а также анализ общедоступных образов контейнеров.

Примеры того, что можно найти в отчете:
Фокус на атаки web-интерфейсов Kubernetes
Многие общедоступные образы содержат вредоносное ПО (например, mimikatz, metasploit и т.д.)
Supply chain атаки (что особенно «ярко» было выражено в 2021 году и продолжается в настоящее время) и т.д.

И, как обычно – статистика, ссылка на внешние источники и на «значимые» примеры, которые произошли за последнее время в ИБ-мире cloud native. Открыть/Комментировать

2022-05-20 09:51:29 «Свежий» release Trivy: новые функции!

Всем привет!

Недавно вышла новая версия Trivy – v0.28.0. Одним из самых интересных нововведений стало сканирование… Kubernetes!

Теперь можно получать информацию об уязвимостях, применимых для сущностей, в составе которых используется образ, о ИБ-недостатках конфигурации сущностей K8S.

Кроме этого:
Добавлена поддержка SPDX формата при генерации SBOM (ранее был только CycloneDX)
Обновленный формат предоставления результатов по сканированию на ошибки в конфигурации – добавлена контекстая информация
Графические изменения в table output и другие нововведения

Подробнее можно прочитать в описании release и в сопутствующем changelog Открыть/Комментировать

2022-05-19 10:02:21 Prometheus Certified Associate (PCA)

Всем привет!

18 мая была анонсирована новая сертификация, на этот раз посвященная Prometheus – PCA.

Согласно CNCF, PCA демонстрирует понимание кандидата лучших практик мониторинга cloud native приложений и инфраструктуры с использованием Prometheus.

Для успешного прохождения экзамена необходимо ответить на вопросы по следующим блокам:
Observability concepts (18%)
Prometheus Fundamentals (20%)
PromQL (28%)
Instrumentation and Exporters (16%)
Alerting and Dashboarding (18%)

Подробнее про содержание разделов можно прочесть по ссылке. Стоимость экзамена составляет 250$. Дополнительно – ссылка на новость о новой сертификации. Открыть/Комментировать

2022-05-18 09:01:23 Practical Cloud Native Security with Falco

Всем привет!

В приложении доступна книжка (~ 129 страниц), посвященная использованию Falco для защиты Cloud Native приложений.

В книге раскрываются такие темы как:
Архитектура Falco, принципы работы
Источники данных для Falco и их обогащение
Использование Falco Filters

В книге достаточно много теории и практических примеров использования возможностей решения Открыть/Комментировать

2022-05-17 08:41:57 Tetragon теперь open source

Всем привет!

На днях Isovalent (авторы Cilium) «выложили» проект Tetragon в открытый доступ, сделав его open source.

Tetragon – решение для защиты и повышения observability кластера Kubernetes, которая использует возможности технологии eBPF.

Решение позволяет не только собирать информацию, но и делать security enforcement, например для:
System calls
Networking
File System Read/Write
Многое другое

Очень рекомендуем почитать статью, т.к. в ней описаны возможности Tetragon и приводится сравнение с альтернативными вариантами реализации аналогичных задач (безопасность и observability) – SELinux, Application Instrumentation, Kernel Modules и т.д.

А если хочется быстро познакомиться с Tetragon, то в официальном repo есть детальный QuickStart Guide. Открыть/Комментировать

2022-05-16 09:51:33 Custom Resource Definition и Open Policy Agent

Привет!

Про пользу Open Policy Agent (OPA) и ее реализации для Kubernetes – Gatekeeper написано достаточно много: от общей информации до набора готовых политик, которые можно использовать.

Если вы хотите написать политики самостоятельно и вам нужен простой tutorial, в котором просто и понятно описано что к чему?

Тогда эта статья может быть вам интересна. В ней автор разбирает такие темы как:
Основы REGO (на нем пишутся политики)
ConstraintTemplates – что это и зачем оно нужно
Constraint – как при помощи него можно управлять областью ContstaintTemplates

В завершении статьи – примеры того, как это можно использовать – от установки Gatekeeper до написания и тестирования собственных политик. Помимо этого, автор описывает «шаги», которые происходят «под капотом» для лучшего понимания происходящего. Открыть/Комментировать

2022-05-13 10:02:30 Лучшие практики ArgoCD

Всем привет!

В статье приведены лучшие практики по использованию ArgoCD – инструмента, позволяющего автоматизировать процесс Continuous Deployment для Kubernetes.

Рассматривается следующее:
Disallow providing an empty retryStrategy
Ensure that Workflow pods are not configured to use the default service account
Ensure label part-of: argocd exists for ConfigMaps
Disable with DAG to set FailFast=false
Ensure Rollout pause step has a configured duration
Specify Rollout’s revisionHistoryLimit
Set scaleDownDelaySeconds to 30s to ensure IP table propagation across the nodes in a cluster
Ensure retry on both Error and TransientError
Ensure progressDeadlineAbort set to true, especially if progressDeadlineSeconds has been set
Ensure custom resources match the namespace of the ArgoCD instance

Для каждой рекомендации есть краткое обоснование почему так стоит делать или наоборот – почему так делать не надо, приводятся ссылки на полезную информацию.

В завершении статьи есть отсылка к Datree, при помощи которого можно автоматизировать проверку выполнения указанных рекомендаций. Открыть/Комментировать

2022-05-12 09:43:37 И та самая диаграмма от Ivan Открыть/Комментировать

2022-05-12 09:42:00 Docker-slim: оптимизация и безопасность

Всем привет!

Docker-slim – проект, цель которого «уменьшить» размеры образов и повысить уровень информационной безопасности контейнеров. При этом требуется только запустить Docker-slim с уже имеющимися образами.

Работает он по следующему принципу:
Запускает «временный» контейнер из «толстого» образа и осуществляет инъекцию (инструментацию) сенсора. Задача сенсора – собирать всю информацию о «жизнедеятельности» контейнера
Взаимодействует с контейнером через http-probe. Альтернативный вариант – предоставление exec для «ручного» тестирования. Задача – создание аналога поведенческой модели: должно остаться только то, что используется
«Сборка» образа, который состоит только из необходимых элементов, и… приятный бонус! AppArmor и Seccomp профили, которые можно применять как к «тонкому», так и к «толстому» образам

Настоятельно рекомендуем ознакомиться с github-repo проекта и прочитать описание: функций и вариантов запуска очень и очень много. Кроме того, есть наглядные примеры, демонстрирующие работу Docker-slim

P.S. За превосходную диаграмму отдельное спасибо Ivan Velichko, про блог и канал которого мы уже писали. Открыть/Комментировать