Избранное про ИБ
Наиболее интересные новости ИБ, отобранные Сергеем Борисовым и несущие пользу для читателей
نمایش بیشتر- مشترکین
- پوشش پست
- ER - نسبت تعامل
در حال بارگیری داده...
در حال بارگیری داده...
Kube-Bench
, OPA
, Prometheus
, KubeView
, RBAC Audit
и еще много всего.
Материал может стать как отличным началом пути в обеспечении ИБ Kubernetes, так и источником «чего-то нового».Protect Your Kubernetes Clusters from Attack s
PodDisruptionBudget
🍭 Не использование podAntiAffinity
и не только
Для каждого «вредного совета» Автор описывает почему так делать не стоит, а также приводит примеры того, «как правильно».
Если совсем просто – Kubernetes не волшебная технология и не делает все самостоятельно, очень во многом ему надо «помогать», чтобы он работал так, как хочется пользователям.A simple guide to avoid these Pitfalls 🕳🚶
Security professionals are constantly on guard against cyber threats, especially given the rising number and sophistication of attacks. However, there's a less obvious, yet increasingly alarming "enemy" in cybersecurity: the surge in reported Common Vulnerabilities and Exposures (CVEs). Though CVEs are vital for identifying and discussing vulnerabilities, their rapid increase
Wiz
опубликовали базу данных инцидентов Cloud Security
– Cloud Threat Landscape!
Изначально, база была исключительно внутренней, создавалась для аналитики угроз и поддерживалась собственными силами. Однако, эту кладезь знаний решили опубликовать. База содержит в себе более 100 задокументированных инцидентов в области Cloud Security
, профили злоумышленников, используемые ими инструменты, техники и маппинг на Mitre Tactic
.
Кстати говоря, если верить этой базе, то Kubernetes
является most targeted
технологией из всех представленных там.
Несомненно, этот ресурс будет полезен Threat Intelligence
специалистам, изучающих Cloud Threats
, SOC
аналитикам, и в целом всем, кто погружен в тему Cloud Security
.Nodes
очень важная составляющая безопасного Kubernetes
кластера. Правильная scheduling strategy
может помочь снизить общий риск компрометации Pods
– уменьшить возможный blast radius
и предотвратить lateral movement
.
В статье Kubernetes Scheduling And Secure Design описаны следующие методы для построения scheduling strategy
:
- nodeSelector
- nodeName
- Affinity and anti-affinity
- Interpod affinity and anti-affinity
- Taints and Tolerations
- Pod topology spread constraints
- Custom Scheduler
P.S – Также не стоит забывать о NodeRestriction плагине. Даже если злоумышленник смог сбежать из контейнера на Nodes, при включенном плагине он не сможет повлиять на нагрузки, запущенные на других Nodes.طرح فعلی شما تنها برای 5 کانال تجزیه و تحلیل را مجاز می کند. برای بیشتر، لطفا یک طرح دیگر انتخاب کنید.