DevSecOps Talks

Как реализовать мониторинг containerd? Всем привет! Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно! Не поймите неправильно: информация про то как можно реализовать мониторинг containerd есть, но перед этим есть кое-что очень интересное! 😊 А именно: 🍭 Что такое containerd и зачем он нужен 🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через runc) 🍭 Схемы взаимодействия plugins между собой 🍭 Взаимодействие kubelet и containerd. Наверное, вы встречали в логах kublet нечто вроде RunPodSandbox() , PullImage(), StartContainer() и т.д. 🍭 И только после этого – информация о том, как мониторить containerd Таким образом, статья позволит лучше погрузиться в то, что на самом деле (ну почти) запускает контейнеры, как оно устроено 😊 P.S. А еще там есть наглядная схема процесса взаимодействия kubelet - containerd при создании контейнера!

Шутки про голландский штурвал в сторону! Всем привет! У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0. Среди интересных новинок для себя подметили: 🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды) 🍭 Обновленная RBАС модель с возможностью создания кастомных ролей 🍭 Поиск пользователей по службе каталогов при назначении прав доступа 🍭 Авторизация в клиентском кластере из интерфейса командной строки 🍭 Управление seccomp-профилями в нагрузках и на узлах 🍭 Поддержка РЕД ОС 8 Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/ Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎

А вот эти самые документы ☺️

Traceeshark: новый open source от Aqua Security Всем привет! Недавно коллекция open source утилит, разрабатываемых и поддерживаемых Aqua Security добавилась еще одна – Traceeshark! Она представляет из себя некий посредник между Tracee и Wireshark: берем результаты работы первой утилиты в *.json, направляем во вторую и анализируем в «привычном интерфейсе». После установки Traceeshark в Wireshark появятся 4 дополнительных плагина: 🍭 Tracee logs reader. Поддержка результатов работы Tracee в формате *.json 🍭 Tracee logs analyzer. Возможность работы с Tracee logs – фильтрация, агрегация данных 🍭 Tracee packet reader. Анализ сетевых пакетов, «записанных» Tracee 🍭 Live capture. Запись событий, генерируемых Tracee, «в прямом эфире» Подробнее о том, как это работает можно прочесть в статье и, конечно же, в repo самого проекта.

Что делать, если удалил cluster-admin? Всем привет! Статья для понедельника, чтобы немного взбодриться! 😊Так получилось, что Автор статьи удалил роль cluster-admin и ее RoleBinding. Как такое может быть? Случаи бывают разные… (но если интересно, то в статье есть ответ, как это получилось именно у него) И все же, что же делать в подобной ситуации? Выходов немного, но они есть. Например: 🍭 Найти ServiceAccount, который обладает повышенными привилегиями в кластере 🍭 Получить его ServiceAccount Token 🍭 Создать cluster-admin (Role и RoleBinding заново) с использованием вышеуказанного Token Но как быть, если привилегированной сервисной учетной записи нет? Хороший вопрос. Возможно, ответом станет "прямая запись в etcd" или поиск недавнего backup. Возможно, вы сталкивались с таким – будем рады, если поделитесь опытом в комментариях 😊

Лабораторные по Kubernetes: Security Всем привет! Сегодня предлагаем вам несколько материалов «на выходные», посвященных практическим вопросам обеспечения ИБ Kubernetes! Первая статья подготовлена специалистами Palark и в ней приведен разбор задач (easy), доступных в Simulator. Simulator – CTF для Kubernetes, в котором собран набор сценариев, цель которых – решить задачку и найти флаг. При прохождении Simulator Авторы затрагивают такие темы как: 🍭 Горизонтальное перемещение в кластере Kubernetes 🍭 Работа с ролевой моделью Kubernetes 🍭 Создание «bad pod», получение доступа к контейнеру 🍭 Изменение Network Policy и многое другое Второй ресурс – новая «комната» проекта TryHackMe: уровень сложности – Medium, время на прохождение около 60 минут. В комнате собраны задачи и вопросы по темам: ServiceAccounts, RBAC, Api Requests in k8s, Image Scanning и не только. Материал более теоретический, но все равно может быть интересным 😊 Отличного обучения и прекрасных вам выходных!

Обновление фреймворка DAF Всем привет! Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы 🍗 пересмотрели часть практик и их расположение в уровнях зрелости; 🍗 актуализировали маппинг практик DAF на фреймворк BSIMM; 🍗 обновили Пирамиду зрелости (ex - Кирилламида); 🍗 добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них; 🍗 исправили опечатки, баги. Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его контрибьютором. Для публикации обновлений и обсуждения фреймворка создали канал и чат соответственно - https://t.me/DevSecOps_Assessment_Framework 🙂 И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).

Analysis Tools: простой и наглядный выбор сканеров! Всем привет! Вопрос выбора инструментов анализа исходного кода может… привести в тупик! Ведь их так много (как кажется на первый взгляд). Чтобы стало немного проще, рекомендуем обратить внимание на ресурс Analysis Tools. В нем собрана информация как об open source, так и об enterprise-решениях. И слово «анализ» тут понимается в широком смысле – линтеры, ИБ-проверки, formatters, анализ качества кода и т.д. Воспользоваться ресурсом просто: 🍭 Выбираем язык(и) 🍭 Интересующий нас тип анализа 🍭 Способ взаимодействия (CLI, SaaS, IDE-plugin) 🍭 Тип лицензии 🍭 Стоимость (если надо) и… готово! Интересно, что в результирующем списке можно посмотреть количество «голосов», которые отданы тому или иному решению. Вдобавок – краткое описание и сведения о том поддерживается проект или нет (для open source). При выборе понравившегося решения предоставляется информация о сайте, repo, GitHub-звездах, небольшой обзор решения и возможные альтернативы на замену. Выглядит вполне интересно и полезно! 😊 P.S. А если не хочется сайтов и фильтров, но материал интересен – можно обратиться к repo проекта

GitOps Secrets: HashiCorp Vault и External Secrets Operator Всем привет! Тематика корректного управления секретами не может быть не актуальной! Особенно, когда их много и когда хочется выстроить такой процесс, который будет работать «как часы» и, в идеале, без вмешательства пользователя! В статье описывается использование двух решений – HashiCorp Vault и External Secrets Operator (ESO) для того, чтобы: безопасно хранить секреты, безопасно их «доставлять» потребителям. Автор предлагает реализовать: 🍭 Применение манифестов приложения с секретами 🍭 ESO анализирует манифест и создает запрос в Vault 🍭 Vault «удостоверяется» в том, что ESO можно «доверять» и отдает секрет ESO 🍭 ESO создает Secret с необходимыми данными Все шаги максимально детально описаны. Для тестов используется минималистичное приложение, которое показывает информацию о секретах. Дополнительно, Автор затрагивает такие темы как ротация секретов и решение проблемы Secret Zero. Рекомендуем!

Ultimate DevSecOps Всем привет! По ссылке можно найти awesome-подборку, посвященную DevSecOps. В ней собраны материалы, посвященные разным практикам безопасной разработки. Материал структурирован по следующим разделам: 🍭 Pre-commit Tools 🍭 Secrets Management 🍭 SAST, DAST 🍭 Continuous Deployment Security 🍭 Container, Kubernetes и многое другое Больше всего приведено информации по различным средствам автоматизации. Ничего сверхъестественного, но может быть полезно тем, кто только начинает разбираться в тематике.

Troubleshooting Kubernetes: Handbook Всем привет! Поиск источников проблем при работе с Kubernetes (особенно по началу) может быть очень и очень неочевидным. Основная задача статьи состоит в том, чтобы сделать этот процесс более понятным и структурированным. Автор рассматривает: 🍭 Анализ Kubernetes Events 🍭 Работа с Kubernetes Audit Log 🍭 Анализ потребляемых ресурсов 🍭 Использование kubectl exec и kubectl debug 🍭 Поиск причин возникновения «сетевых ошибок» и другие 🍭 Использование ephemeral containers для поиска ошибок Для каждого блока Автор рассматривает возможные ошибки и причины, которые к ним привели. Например, Scheduling Delays может быть вызван ограничениями ресурсов, проблемами с планировщиком, неготовностью PV и т.д. Кроме этого, Автор приводит перечень рекомендаций о том, как и что лучше использовать для идентификации причин неисправностей. Надеемся, что статья вам пригодится и сделает процесс поиска ошибок в Kubernetes чуть проще 😊

Kubernetes RBAC: подробный обзор Всем привет! Сегодня предлагаем вашему вниманию объемную статью, в которой рассматриваются разные аспекты управления доступом в Kubernetes с использованием RBAC. Статья затрагивает области: 🍭 Что такое RBAC в Kubernetes, как он устроен и работает 🍭 Разница между RBAC и ABAC 🍭 Аутентификация и Авторизация (AuthN/AuthZ) 🍭 Лучшие практики при работе с RBAC и многое другое Все концепты отлично расписаны, материал можно смело использовать для консолидации и структурирования информации по теме. А из лучших практик можно составить неплохой checklist, который можно использовать при проведении аудитов ИБ кластеров Kubernetes. Также в статье упоминаются средства автоматизации (open source), которые смогут облегчить процесс аудита прав и полномочий.

Чем eBPF может быть полезен ИБ? Всем привет! eBPF крайне популярная технология, которая позволяет выполнять пользовательский код в контексте ядра Linux. При этом, само ядро модифицировать не обязательно. И начиналось все с анализа сетевых пакетов, но, со временем, вариантов использования eBPF стало больше в разы. В том числе и для информационной безопасности. Небольшой обзор можно найти в статье от Wiz. Ребята рассматривают возможности технологии в контексте Kubernetes. Статья состоит из разделов: 🍭 Ограничения существующих средств мониторинга (например, ptrace) 🍭 Преимущества eBPF при осуществлении мониторинга (сетевой трафик, System Calls) 🍭 Лучшие практики по использованию eBPF в Kubernetes (выбор ядра, установка необходимого инструментария, «точечный» мониторинг) Статья достаточно базовая и дает общее представление о eBPF. Если вам хочется больше материалов, которые позволят погрузиться, рекомендуем обратить внимание на книгу Liz Rice (скачать ее можно вот тут) P.S. На ресурсе Wiz Academy есть еще много всего интересного и полезного! 😊

Semgrep Academy: еще больше курсов! Всем привет! Обучающий проект Semgrep продолжает развиваться! Про предыдущие нововведения мы писали вот тут. С тех пор было добавлено еще несколько курсов! Например: 🍭 Semgrep Custom Rules Level 1 (21 урок, 1 час видео) 🍭 Secure Guardrails (45 уроков, 3.5 часа видео) Приятно, что помимо теории и «общих» концептов начинают появляться «практические курсы», которые помогут лучше познакомиться с анализом кода и Semgrep в частности. P.S. Все курсы абсолютно бесплатны и их можно проходить в удобном вам ритме 😊

Сравнение AuthentiK и KeyCloak Всем привет! Когда заходит речь об использовании open source решения для управления доступом, вероятно, первое, что приходит на ум – KeyCloak! Однако, не им единым 😊 В статье Автор приводит сравнение между AuthentiK и KeyCloak! Рассматриваются такие параметры, как: 🍭 Архитектура (простота установки, масштабируемость, гибкость) 🍭 Простота использования 🍭 Пользовательский интерфейс 🍭 Основные возможности (core features) 🍭 Интеграционные возможности 🍭 Масштабируемость Для каждого параметра Автор описывает сильные стороны и сценарии, где конкретное решение может быть лучше/удобнее. А если лень читать все, то в самом начале статьи есть tl;dr, в котором представлен вывод Автора что лучше и в каких случаях 😊

Hardening Linux! Всем привет! Предлагаем вам longread на выходные, посвященный безопасной настройке Linux! Материал включает в себя разделы: 🍭 Безопасная настройка ядра 🍭 Sandboxing 🍭 Мандатное управление доступом 🍭 Межсетевое экранирование 🍭 Управление полномочиями для доступа к файлам 🍭 Настройки монтирования и много-много-много всего еще Как и во всех Hardening Guide, в разделах приводятся рекомендации о том, что и как надо настроить. Ко многим рекомендациям предоставляются неплохие описания «почему так надо делать». Рекомендуем для добавления в вашу коллекцию материалов по безопасной настройке 😊

Application Attacks Всем привет! По ссылке можно найти описание уязвимостей и атак, характерных для программного обеспечения. С одной стороны набор достаточно «типовой», с другой – отлично структурированный. Внутри содержится информация: 🍭 Раскрытие чувствительной информации 🍭 Cross-Site Request Forgery 🍭 XSS 🍭 SQL Инъекции 🍭 Некорректная аутентификация 🍭 Недостаточное логирование и т.д. Для каждого раздела приводится неплохое описание что это такое и какие меры можно предпринимать для противодействия. Из «минусов» - описание общее и без конкретных примеров для языка X. Однако, есть и «плюсы» – подобное описание можно использовать при формировании собственной базы знаний по безопасной разработке в Компании. P.S. А если вы еще не знакомы с DevSecOps Guides – крайне рекомендуем. На сайте еще очень-очень-очень много всего полезного и интересного ☺️