Рассмотрим сегодня достаточно интересный инструмент с необычной функциональностью!

crik это акроним к Checkpoint and Restore in Kubernetes. Под капотом у него естественно criu, а сам он состоит из двух компонент: обертки для запуска приложений, делающей снимки и восстанавливающей из них, и kubernetes-контроллера, подсказывающему первому компоненту, что ему сейчас нужно делать.

При этом пока в Kubernetes эта фича заезжает тяжело из-за кучи нюансов, особенностей container runtime и тд, то данная реализация абсолютно от этого свободна! НО нужно запускать приложение через эту обертку...

Еще об инструменте можно узнать из доклада "The Party Must Go on - Resume Pods After Spot Instance Shut Down".

20 сентября в 16:00 в Москве в рамках встречи SDL сообщества наша команда Luntry поучаствует в круглом столе “Практические аспекты внедрения безопасной разработки”. Там в хорошей, дружной атмосфере пообсуждаем с коллегами насущные задачи и проблемы.

Вчера, в Брюсселе, прошла конференция fwd:cloudsec Europe 2024. Большинство докладов с этой конференции так или иначе затрагивает специфику западных облаков, но всё же доклад Kubernetes Audit Log Gotchas мы не могли обойти стороной.

В докладе автор в очередной раз напоминает о важности использования Kubernetes Audit Log Policy, а затем рассматривает преимущества и недостатки реализации этого механизма в EKS/GKE/AKS/OKE/Open Shift/Self-managed кластерах.

Трансляция с конференции доступа по ссылке тут.

Всем, привет!

Наша команда Luntry продолжает расти и развиваться вместе с клиентами. И мы снова готовы пополнить наши ряды классными Go-разработчиками Middle и Senior уровня ;) Откликнуться можно тут или написать контакту в профиле канала. Если вам или вашим друзьям интересно решать не тривиальные задачи связанные с высокими нагрузками и информационной безопасности в области контейнеризации и Kubernetes, то вам определённо к нам!

Коротенькая заметка "What Determines if a Kubernetes Node is Ready?", объясняющая по каким признакам определяется, что Node готова. Из нее вы узнаете какие 7 условий должны выполниться успешно, чтобы получить заветное Ready.

Сегодня мы хотим рассказать о kubelogin – это kubectl плагин для Kubernetes OpenID Connect аутентификации. Также известен как kubectl oidc-login.

Принцип его работы довольно простой: при запуске kubectl, kubelogin открывает страницу, где можно залогиниться через провайдера. Получив токен от провайдера, он передается в kubectl и используется для доступа в Kubernetes API.

Сегодня в 15:00, в Санкт-Петербурге, в рамках конференции NeoQUEST-2024 наша команда Luntry выступит с докладом “Экскурсия по матрицам угроз для контейнеров и Kubernetes”. Подробно поговорим об основных матрицах угроз для контейнеров и K8s, а также проведем их сравнение друг с другом и поможем разобраться в запутанных и интригующих процессах, происходящих внутри.

P.S. – Зарегистрироваться можно по ссылке.

Замечательная визуализация формата имени образа контейнера от Ивана Величко!

Если для вас это было магией, то после такого все встанет на свои места. Очень рекомендуем следить на постами Ивана - там много всего интересного.

Небольшая, но интересная статья "What is the difference between a root process and a containerized root process?" рассказывает о базовых понятиях и принципах изоляции контейнера. Также автор не забывает упоминуть о важности запуска контейнера не из под root.

Будет полезно для всех, кто начинает разбираться в container security.

16-17 сентября прошел Linux Security Summit Europe 2024. С записями можно ознакомиться тут (1,2).

Наше внимание в первую очередь привлек доклад "Restricting Unprivileged User Namespaces in Ubuntu", с которым настоятельно рекомендуем познакомиться. Проблема безопасности Unprivileged User Namespaces в этом году прям очень популярна - ранее на CloudNativeSecurityCon North America 2024 был доклад "User Namespaces in Kubernetes: Security and Flexibility". А еще ранее на нашей конференции БеКон 2024 мы представляли доклад "Linux user namespace в чертогах Kubernetes". Круто что мы в выборе темы доклада попали прям в такую актуальную тему для всего Мира (значит понимаем в трендах) =)

P.S. Мы уже начали заниматься БеКон 2025. И если у вас или у вашей компании есть желании в этом поучаствовать, то самое время задуматься о партнерстве ;)

Сегодня мы хотим поделиться с вами двумя крутыми wiki страницами от нашего товарища Ильи Шапошников:

1) Docker escape - статья посвящена повышению привилегий из докер-контейнера в зависимости от предоставленного доступа. К этому также есть готовые лабы.
2) Kubernetes pentest - статья посвящена тестированию на проникновение Kubernetes.

P.S. Сегодня в 11:00 по Мск будет наш вебинар/стрим на тему "С чего начать защиту кластера Kubernetes?".

Команда исследователей из Datadog Security Research раскрыла новую вредоносную кампанию, нацеленную на Docker и Kubernetes. Как это обычно принято у злоумышленников – они масштабно запускали майнеры, на этот раз, используя мисконфиги в kubelet.

Ресерчеры пока отказываются прямо атрибутировать действия злоумышленников с группировкой TeamTNT, о которой мы как-то рассказывали на канале. Тем не менее ряд инструментов и скриптов, используемых злоумышленниками так или иначе указывают принадлежность или связь с TeamTNT.

Более подробно об исследовании можно почитать по ссылке тут.

На нашем сайте стали доступны слайды и видеозапись вебинара "С чего начать защиту кластера Kubernetes?". Там мы постарались ответить на вопросы:
— Какие минимально-необходимые меры принимать для защиты кластера в моменте;
— Как постепенно наращивать уровень безопасности;
— Какие минимальные действия и вложения могут дать наибольший результат;
— Как не пропасть в рутине исправления множества уязвимостей.

При этом мы достаточно подробно рассмотрели с чего стоит начать в каждом из 7 доменов безопасности Kubernetes в самом начале пути (и немного последующие шаги). Как мы уже говорили на самом вебинаре какой из доменов начинать делать первым зависит от рассматриваемой вашей компании модели угроз, модели нарушителе и поверхности атаки. Это каждый раз уникально и зависит от целей и задачей того или иного кластера. Одно дело это кластер с приложениями, смотрящими в сеть интернет, другое дело build кластера, ML-кластера, кластера в закрытом контуре и т.д.

И как всегда в комментариях будем рады ответить на любые вопросе по данной теме.

P.S. Спасибо всем кто пришел и задавал вопросы!

30 октября на конференции SafeCode 2024 Autumn пройдет воркшоп “Готовим контейнеры полезно и вкусно”. Воркшоп проведут Анатолий Карпенко (Luntry) (также известный как) и Алексей Федулаев (МТС Web Services) (также известный как). Там точно будет полезно, весело и задорно ;)

Если вы запускаете ML нагрузки в своих Kubernetes кластерах, то наверняка слышали про такие решения как NVIDIA Container Toolkit и GPU Operator.

Так вот совсем недавно исследователи из WIZ обнаружили уязвимость в этих продуктах, благодаря которой потенциальный злоумышленник может совершить побег из контейнера. Если быть точным и углубиться в детали, то для эксплуатации атакующий должен запустить нагрузку с заранее заготовленным уязвимым docker image. После этого у него появляется возможность полностью примонтировать файловую систему хоста. Уязвимости присвоен CVE-2024-0132.

Необходимые патчи выпущены в релизах 1.16.2 и 24.6.2 для NVIDIA Container Toolkit и NVIDIA GPU Operator соответственно.

2 октября в 16:30 на AM Life Plus, посвящённой безопасной разработке, DevSecOps в рамках "AM TALK: ТЕХНОЛОГИИ БЕЗ СТЕРЕОТИПОВ" в стиле TEDx наша команда раскроет тему "Как контейнеры и Kubernetes меняют ландшафт угроз". По рассуждаем что нам принес этот новый дивный мир)

Недавно с большим удивлениям для себя открыл что для container-specific OS тоже есть CIS Benchmarks! Конкретно сейчас это есть для: Bottlerocket и Talos. В глаза сразу сильно бросается разница в количестве пунктов по сравнению с ОС общего назначения. В то же Talos их всего около 20. Думаю, что даже и не стоит говорить какой тип ОС проще довести до более защищенного состояния, но есть своя специфика ;)

RBAC Wizard – небольшая тулза, которая поможет с визуализацией и анализом текущей RBAC конфигурации в вашем Kubernetes кластере. Тут важно подчеркнуть, что доступны только визуализация и отображение связей между RBAC сущностями.

В эту пятницу хотелось бы немного поразмышлять на тему AI.

В последнее время все чаще на различных конференциях/подкастах/статья можно встретить прогноз/желание/стремление, что AI-ассистенты заменят начинающих/junior специалистов". В логике того что этот уровень знаний текущие наработки уже практически тянут. При этом под специалистами тут у нас и DevOps, DevSecOps, AppSec, Developers и т.д.

Но почему-то в этот момент практически никто не задумается о том а как тогда будут появляться новые middle (в последствии senior) специалисты ?! Университеты или online-курсы сразу начнут их выпускать?!

Все должны понимать базу, без базы никуда ... С нее надо начинать.

Начинаем эту неделю с неплохой статьи "Kubernetes RBAC Permissions You Might Not Know About, but Should". Она поможет разобраться с опасными RBAC правами в Kubernetes, а также разъяснит потенциальный импакт от использования таких прав.

Конечно, в статье описаны далеко не все такие права. Так например, у нас в Luntry используется около 40 правил для проверки опасных прав RBAC. Кроме этого есть возможность создавать свои правила.