Замечательная заметка "Impact of CVE-2020-14386 on Kubernetes and Containers (Docker)" лишний раз не дает забыть о том, что безопасность хоста, на котором работает Kubernetes это также часть безопасность Kubernetes инфраструктуры.

Здесь речь идет о критической уязвимости ядра Linux - CVE-2020-14386, благодаря которой можно поднять свои привилегии до root'а или сделать побег из контейнера на Node, на которой он работает. Атакующий способен эксплотировать данную уязвимость, выполняя свой код внутри Pod'а с CAP_NET_RAW capability.

Естественно, это далеко не первая и не последняя уязвимость в ядре Linux которая позволяет делать "container escape". И все это никакими правилами и сигнатурами заранее не описать, не предусмотреть.

Что в таком случае делать для защиты?
1) Можно/нужно мониторить аномальную активность внутри ваших контейнеров. Так или иначе атакующему придётся для побега из контейнера делать то, что ранее в контейнере у вас не происходило. Это позволит вам ловить не только попытки "container escape", но и другу. Вредоносную активность внутри контейнера (Lateral Movement, запуск манейров и т.д.)
2) Можно присмотреться к защищенным/усиленным вариантам Low-level Runtime (OCI Runtimes) о которых говорили ранее. Но стоит учитывать, что они, как и любое ПО сами не застрахованы от уязвимостей, а просто сильно уменьшают и усложняют attack surface. Так GKE Sandbox использует для этого gVisor.

Новый Awesome DevSecOps на русском

В силу того, что последняя статья с подборкой инструментов DevSecOps собрала весьма восторженные отзывы, решил вынести все тулзы (и добавить еще больше) в отдельный Awesome на GitHub. Туда же вставил все статьи и доклады на русском языке, которые я только знаю и смог найти в Интернете.

Итого:
- 16 различных практик
- 100+ инструментов
- 10+ сторонних подборок
- 30 статей на русском
- 26 докладов на русском

Разумеется, есть еще многое, что туда не попало. Предлагайте инструменты, свои и чужие труды на русском языке, а также добавляйте репо к себе.

https://github.com/Swordfish-Security/awesome-devsecops-russia

#dev #ops

DevSecOps Wine Chat

А еще я создал чат, где можно обсуждать посты из канала и все, что относится к DevSecOps с приятным комьюнити. Кроме того, я кидаю туда материал, который не попадает в основной поток. Добро пожаловать!

https://www.tgoop.com/sec_devops_chat

#talks

Whalescan - vulnerability scanner for Windows containers

Для тех, кто использует Windows base OS контейнеры вроде IIS и .NET есть соответствующий инструмент. Whalescan позволяет искать уязвимости в Windows контейнерах и проводить benchmark проверки, выявлять небезопасные команды в Dockerfile, вышедшие из жизни .NET версии и другое.

https://github.com/nccgroup/whalescan

#tools #docker #dev #ops

Выложены доклады с GitLab Commit Virtual 2020

Там был отдельный поток посвящённый DevSecOps
https://www.youtube.com/playlist?list=PLFGfElNsQthbJaOG4pV450Y_eIdfr2p9Y

Ссылка на все потоки
https://www.youtube.com/c/Gitlab/playlists?view=50&sort=dd&shelf_id=5

Программа
https://about.gitlab.com/events/commit/#schedule

Красота

Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.

#aws

🔸Security Architecture Review Of A Cloud Native Environment

Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).

https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/

#aws

How to enforce Kubernetes network security policies using OPA

Статья на CNCF из серии Open Policy Agent (OPA) про Network Security Policies и усиление мер защиты. В частности, как написать политики OPA на языке Rego
1) Чтобы, нельзя было задеплоить приложение, если сетевая политика не установлена
2) Чтобы сетевая политика удовлетворяла требованиям к приложению (например, подключиться мог только фронтенд)

https://www.cncf.io/blog/2020/09/09/how-to-enforce-kubernetes-network-security-policies-using-opa/

#ops #k8s #opa

5 tips for using the Rego language for Open Policy Agent (OPA)

В продолжении к предыдущему посту, несколько трюков и полезных советов по написанию правил OPA на Rego

https://www.fugue.co/blog/5-tips-for-using-the-rego-language-for-open-policy-agent-opa

#ops #k8s #opa

Гитхаб официально запускает возможность проведения сканирования кода в публичных репозиториях. Для создания кастомизированных правил используется движок CodeQL, а база доступных правил насчитывает более 2000 оных. Все настраиваемо и даже есть возможность внедрения своих SAST инструментов.

https://github.blog/2020-09-30-code-scanning-is-now-available/

Как написать правила для Checkmarx и не сойти с ума

Тем временем Юра(@Mr_R1p) выпустил статью по кастомным правилам Checkmarx. Это вторая статья в русскоговорящем сообществе, объясняющая queries в чеке (первая статья от Максима). Здесь есть и словарь, и методика написания правил и то, что можно уже использовать прямо сейчас в своих проектах. Плюс к статье прилагается полезное репо с правилами.

https://habr.com/ru/company/swordfish_security/blog/521396/

#sast #dev

Безопасная разработка - российские стандарты.

Когда-то давно я описывал резюме совещания во ФСТЭК касательно обсуждения безопасной разработки. Вчера пообщался с опытным человеком, который успел в этих документах повариться. Подборка от него по российскому compliance и не только.

"ГОСТ 56939 Разработка безопасного ПО. Общие требования." - фактически главный документ сейчас по SDL в России. Здесь общая структура процесса, приседаний вокруг продукта и документации.

"ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО" С него в идеале должна строиться модель угроз продукта, но документ имхо не очень удачный. Обычно все пользуются STRIDE от майкрософта.

Бесплатный учебный курс по STRIDE от Майкрософта на русском языке.

Утилита, по которой выполняется верхнеуровневое описание угроз по STRIDE'у.

Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения". Он доступен на сайте ФСТЭКа. Этот документ служит неким шаблоном для разработки инструкций по SDL.

Для того, чтобы в организации засчитали SDL, в ней должны быть поставлены ИБ процессы по ГОСТ Р ИСО МЭК 27001 Мэнеджмент ИБ. Это линейка стандартов, она также включает в себя ISO IEC 27034.

#compliance

Доклад Security Compliance & DevOps

Вот также полезный доклад от Степана Носова по опыту сертификации компании по требованиям ISO 27001, а так же о том, как DevOps и ИБ могут в этом помочь друг другу.

https://youtu.be/BtFeWnR1xXE

#compliance

UPD от @Yorik2016

25 сентября 2020 г. вступил в силу приказ, определяющий требования к ПО, которые применяются для защиты КИИ. В частности, статический и динамический анализы, а также фаззинг-тестирование будут являться обязательными процессами.

P.S. Для тех, кому стало интересно разобраться в базовой нормативке ИБ, я когда-то делал огромный майнд-мап.

#compliance

Безопасность разработки в Agile проектах, Лаура Белл, Майкл Брантон-Сполл, Рич Смит, Джим Бэрд.

Наконец попала в руки электронная версия книги "Безопасность разработки в Agile-проектах". До этого я ее публиковал только на английском языке.

Хорошая книга, которая слабо поможет в безопасности разработки с технической точки зрения, но даст ориентир в части организации процессов в компании. Тем не менее, здесь есть описание работы с BDD-Security, ZAP, Gauntlt. К тому же это отличный старт для тех, кто только погружается в тему.

#literature #dev #ops

Enforce Ingress Best Practices Using OPA

До этого я поделился статьей от CNCF о том, как усилить Network Policy через OPA. В этот раз небольшая статья про решение коллизий на разных Ingress'ах через OPA. Например, у вас один и тот же хост есть на нескольких разных Ingress, что создает коллизию в маршрутизации трафика через Ingreess-controller. Такое бывает по мере роста ресурсов Ingress. OPA позволяет определить политику, которая не даст создавать ресурсы, образовав коллизию.

https://www.cncf.io/blog/2020/09/29/enforce-ingress-best-practices-using-opa/

Если вы все еще говорите про себя "Да кто такой этот ваш OPA", то я нашел еще одну прекрасную статью:

Fitness Validation For Your Kubernetes Apps: Policy As Code

#k8s #ops #opa

How I’d attack your HashiCorp Vault (and how you can prevent me): System Hardening.
https://medium.com/hashicorp-engineering/how-id-attack-your-hashicorp-vault-and-how-you-can-prevent-me-system-hardening-ce151454e26b

Can We Have “Detection as Code”?

Интересные мысли на тему возможности существования “Detection as Code" от Антона Чувакина, автора множества статей про обнаружение событий и SOC. Данная концепция идет от принципа "event-driven security", который также был упомянут в BSIMM 11.

Ключевые аспекты:
- Правила обнаружения как код (на примере Python здесь и Jupyter notebooks здесь)
- Отслеживание событий по мере работы пайплайна
- Кросс-вендорский и кросс-инструментальный подход для работы с событиями (правда пока что одинаково распространены Sigma, YARA-L и ATT&CK)
- Версионноcть и повторная воспроизводимость правил
- Надлежащий QA для сформированных правил
- Формирование метрик и их улучшение (от широты покрытия и failure rate)

https://medium.com/anton-on-security/can-we-have-detection-as-code-96f869cfdc79

#ops