DevSecOps Talks

2022-05-11 09:57:35 Что такое eBPF?

Всем привет!

Если вам интересна тематика контейнеризации и обеспечения ее безопасности, то вы, наверняка, слышали аббревиатуру «eBPF».

eBPF расшифровывается как Extended Berkeley Packet Filter и, если понятнее не стало, рекомендуем прочитать книгу в приложении.

Liz Rice (автор множества отличных материалов по Container Security и не только) написала кратко и емко о том, что это за технология, как ее можно использовать для управления сетью, обеспечения безопасности и повышения observability. Открыть/Комментировать

2022-05-06 09:29:08 Анализ GitHub при помощи OPA

Всем привет!

Зачастую, когда говорят OPA многие думают про Gatekeeper, который позволяет анализировать манифесты Kubernetes и принимать решения о возможности их применения.

Однако, OPA сама по себе является policy engine, который можно использовать не только для Kubernetes.

Одним из интересных проектов является Reposaur, который позволяет анализировать данные GitHub при помощи OPA-политик.
Например:
Отсутствие описания у repository
У request нет assignees
У request нет reviewers
Secret Scanning функционал не включен по умолчанию и другие

С полным перечнем проверок, доступных из коробки можно ознакомиться здесь. Если хочется написать свои собственные, то есть небольшой how to guide вот тут.

А если интересно, что еще можно делать при помощи OPA, рекомендуем обратить внимание на бесплатный online-курс по OPA от Styra Academy. Открыть/Комментировать

2022-05-04 09:54:10 Kubernetes Goat v2

Всем привет!

Недавно вышел новый релиз проекта Kubernetes Goat – заведомо уязвимого кластера, на котором можно изучать аспекты ИБ K8S не только теоретически, но и практически.

Помимо этого, был подготовлен новый web site, на котором можно получить детальную информацию о проекте и лабораторных работах.

На текущий момент есть 20 (19,5, т.к. Tiller уже редко где используется, если используется вообще) лабораторных работ. Например:
Falco - Runtime security monitoring & detection
Secure network boundaries using Network Security Policies
RBAC least privileges misconfiguration
DIND (docker-in-docker) exploitation
Container escape to the host system и многое другое!

У каждой лабораторной есть исчерпывающее описание и детальные инструкции о том, как ее реализовать. Впрочем, если не «хотите подсматривать» - можно пройти все лабораторные самостоятельно.

И, как обычно, много общей полезной информации на тему контейнеров и оркестрации – от cheatsheet до ссылок на разные интересные ресурсы. Открыть/Комментировать

2022-04-29 09:11:22 Сравнение Service Mesh

Всем привет!

По ссылке можно найти сравнение нескольких Service Mesh решений:
Istio
LinkerD
AWS App Mesh
Consul
Traefik Mesh
Kuma
Open Service Mesh

Как обычно, сперва приводится краткое описание того, что такое Service Mesh, приводится общая архитектура и задачи, решаемые технологией.
А в конце та самая табличка! А если вы нашли неточность или не согласны с мнением Авторов, то можно сделать PR вот сюда. Открыть/Комментировать

2022-04-28 09:13:28 Security Labs Research от Datadog

Всем привет!

Ребята из Datadog выложили в открытый доступ несколько лабораторных работ, посвященных Security.

На данный момент набор включает в себя только:
Dirty Pipe Container Breakout
Эксплуатация уязвимости CVE-2022-21449
Spring Core RCE (Spring4shell)

Для каждой лабораторной работы приводится описание эксплуатируемой уязвимости, PoC с использованием подготовленного exploit, набор необходимых конфигурационных файлов и перечень шагов для самостоятельного воспроизведения.

Надеемся, что «подборка» будет расширяться и напоминаем об использовании подобных материалов исключительно в образовательных целях. Открыть/Комментировать

2022-04-26 09:24:30 OPA-based политики в Starboard

Всем привет!

Starboard – open source проект Aqua Security, который позволяет сканировать образы контейнеров на наличие уязвимостей (Trivy), проводить анализ настроек кластера на соответствие лучшим практикам (Kube-Bench, Kube-Hunter) и анализировать манифесты запускаемых сущностей на кластере.

Ранее для последнего использовались Polaris и Conftest, однако, в одном из последних режимов была добавлена возможность использования OPA.

В видео представлен наглядный пример, демонстрирующий реализацию одного из базовых tutorials:
Создаем базовый deployment с Nginx
Starboard анализирует его при помощи «встроенных» OPA-политик
Создаем собственную OPA-политику, добавляем ее в качестве ConfigMap
Starboard начинает повторное сканирование. Либо при изменении ConfigMap, либо при изменении анализируемой сущности

В видео все подробно рассказано/показано, а для удобства используется Lens, к которой у Starboard есть "родной" plugin, о котором мы писали тут. С документацией на Starboard можно ознакомиться по ссылке. Открыть/Комментировать

2022-04-25 09:28:23 Переключение между K8S кластерами и namespace

Всем привет!

Возможно, что у вас есть несколько кластеров K8S или несколько namespace на 1-ом кластере.

«Переключаться» между ними не всегда удобно:
Да, есть возможность указать путь к kubeconfig в параметрах kubectl, но делать это надо каждый раз, что не очень удобно
Context! Да, можно. Да, работает. Но забывали вы хоть раз как оно там пишется? kubectl get contexts, kubectl use context, --current… В целом механизм крайне рабочий, но не всегда самый удобный
С точки зрения namespace – аналогично. Наверное, хоть раз, да забывали передавать ключ -n %namespace% и resource улетал «не туда». Поправимо, но все же…

Именно для решения этих задач сделали 2 простые утилиты:
Kubectx – быстрое переключение между context
Kubens – быстрое переключение между namespace в пределах кластера

Наглядные примеры работы, описание и способы установки можно найти в repo Открыть/Комментировать

2022-04-22 10:35:24 Автоматическая генерация readme.md для helm charts

Всем привет!

Helm-docs – удобная утилита, которая позволяет автоматически генерировать документацию для helm charts в формате markdown.

Запускать можно по-разному:
В качестве pre-commit hook
Локально, с использованием исполняемого файла
С использованием образа контейнера

Можно изменять шаблон, который будет использован при работе утилиты. О том, как это сделать рассказано и показано в readme.md файле repo Открыть/Комментировать

2022-04-21 09:20:06 Поиск ошибок в Network Policy

Привет!

Network Policy – один из базовых ИБ инструментов, который позволяет контролировать трафик.

Однако, NetPol обладает некоторыми особенностями. Например, даже если политика была создана, не факт, что она работает. Отсутствуют журналы событий, генерируемых сетевыми политиками, что усложняет и без того не самую простую задачу поиска ошибок.

В статье Автор размышляет над тем, как максимально эффективно использовать этот инструмент:
Убедиться, что CNI поддерживает Network Policy. Да, функционал есть у большинства, но не у всех
Понять, что причина именно в Network Policy. Как вариант, просто убрать политику и посмотреть, сохраняется ли проблема или нет. Некоторые CNI генерируют GlobalNetworkPolicy, что также следует иметь ввиду
Проверка синтаксиса и корректности формирования структуры NetPol. Один «-» может очень многое изменить (см. пример с иллюстрацией в статье)
Управление labels при контроле трафика между Namespaces. Сетевые политики могут потерять свою эффективность, если они привязаны к labels, которые могут быть созданы/изменены пользователями. Один из возможных вариантов – использование kubernetes.io/metadata.name

В статье все очень хорошо структурировано и доступно описано, рекомендуем к прочтению. Кстати, в грядущей версии Kubernetes 1.24 добавят NetworkPolicyStatus, который должен немного упростить debug. Открыть/Комментировать

2022-04-20 09:27:28 Генерация SBOM при помощи Trivy

Всем привет!

В статье описано, как можно генерировать SBOM при помощи Trivy. В начале приводится общая информация о том, что это такое, о форматах (SPDX/CycloneDX) и их отличиях.

Далее всего несколько команд, чтобы можно было:
Получить перечень пакетов: trivy -q image --ignore-unfixed --format json --list-all-pkgs %imagename%
Сделать из нее SBOM: trivy -q image --format cyclonedx %imagename%

В одной из последних версий процедуру еще больше упростили, добавив команду sbom (рекомендуем обновиться, если она отсутствует).

На текущий момент времени Trivy позволяет генерировать SBOM только в формате CycloneDX.

Отдельно рекомендуем изучить trivy sbom --help. Можно найти много интересного, например, --artifact-type, который позволяет создавать SBOM для image, fs, repo и archive или --severity, который позволит контролировать уязвимости, попадающие в выборку Открыть/Комментировать