Kubernetes RBAC Security Pitfalls
Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта
Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls
Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes
Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies
#k8s #ops #attack
Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта
clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'. Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls
Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes
Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies
#k8s #ops #attack
GitHub
Use the escalate verb for clusterroleaggregator rather than cluster-a… · kubernetes/kubernetes@8b155e8
…dmin permissions
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
HashiCorp
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Learn how automated threat modeling can be performed just by looking at Terraform code.
Declarative Authorisation Service (DAS)
На последнем KubeCon NA 2020 компания Styra, куда входят разработчики OPA, релизнули бесплатную версию DAS (Declarative Authorisation Service). Это сервис, который может бесплатно помочь небольшим командам (до 10 нод) внедрить OPA себе в инфраструктуру. Сервис предоставляет удобный редактор правил Rego с возможностью валидации, инструмент мониторинга действий в кластере и срабатываний AdmissionController, встроенный пак собственных правил.
Подробнее:
https://www.infracloud.io/blogs/opa-the-easy-way-featuring-styra-das/
А еще у Styra есть бесплатный небольшой курс по OPA.
#k8s #ops #opa
На последнем KubeCon NA 2020 компания Styra, куда входят разработчики OPA, релизнули бесплатную версию DAS (Declarative Authorisation Service). Это сервис, который может бесплатно помочь небольшим командам (до 10 нод) внедрить OPA себе в инфраструктуру. Сервис предоставляет удобный редактор правил Rego с возможностью валидации, инструмент мониторинга действий в кластере и срабатываний AdmissionController, встроенный пак собственных правил.
Подробнее:
https://www.infracloud.io/blogs/opa-the-easy-way-featuring-styra-das/
А еще у Styra есть бесплатный небольшой курс по OPA.
#k8s #ops #opa
Styra
Homepage
Enable developers, IAM engineers, and business users to enforce sophisticated permissions and operationalize Zero Trust using policy-based access control from the creators of Open Policy Agent.
Kubernetes Threat Modeling Simulator
Kubernetes Threat Modeling Simulator - тестовый стенд, разворачиваемый с помощью Terraform в AWS, на котором можно попрактиковать различные сценарии атаки и защиты в k8s. Сюда входят атаки на секреты, rbac, etcd и многое другое. В случае, если что-то не получается, можно воспользоваться хинтами.
Чтобы получить какую-то теоретическую базу, можно ознакомиться с K8s Attack Tree. Это набор сценариев различных атак в виде деревьев на базе методологии STRIDE.
Ну и не забываем про известный проект ATT&CK Matrix Kubernetes.
#k8s #attack #threatmodeling #ops
Kubernetes Threat Modeling Simulator - тестовый стенд, разворачиваемый с помощью Terraform в AWS, на котором можно попрактиковать различные сценарии атаки и защиты в k8s. Сюда входят атаки на секреты, rbac, etcd и многое другое. В случае, если что-то не получается, можно воспользоваться хинтами.
Чтобы получить какую-то теоретическую базу, можно ознакомиться с K8s Attack Tree. Это набор сценариев различных атак в виде деревьев на базе методологии STRIDE.
Ну и не забываем про известный проект ATT&CK Matrix Kubernetes.
#k8s #attack #threatmodeling #ops
Security Wine (бывший - DevSecOps Wine)
Kubernetes Threat Modeling Simulator Kubernetes Threat Modeling Simulator - тестовый стенд, разворачиваемый с помощью Terraform в AWS, на котором можно попрактиковать различные сценарии атаки и защиты в k8s. Сюда входят атаки на секреты, rbac, etcd и многое…
Кстати, для тех, кто не хочет разбираться в развертывании, а хочет сразу начать хацкать, на известном для многих CTF-любителей ресурсе root-me есть соответствующий таск "In Your Kubernetass". Достаточно запустить ВМ и можно подключаться в облако.
#attack #k8s
#attack #k8s
www.root-me.org
Задачи и проблемы/Реалист : In Your Kubernetass [Root Me : plateforme d’apprentissage dédiée au Hacking et à la Sécurité de l’Information]
In Your Kubernetass : Root my Cluster
🍷Happy Wine Year!🍷
Друзья, сегодня ровно год как был создан канал DevSecOps Wine. Еще в начале года я ставил себе цель достигнуть отметки в 500 человек к концу 2020, а сейчас вас уже более 3000 человек. Спасибо за фидбек, предложенные материалы и поддержку! С наступающим Новым 2021 годом!
Уже сейчас запланировано несколько интересных активностей на следующий год для community и я очень надеюсь, что все пройдет по плану. Оставайтесь на связи!
Пока что предлагаю вам присоединиться:
@sec_devops_chat - обсуждения всего, что относится к DevSecOps
@appsec_job - вакансии по DevSecOps и AppSec
@cloud_sec - канал про безопасность облаков на английском
Друзья, сегодня ровно год как был создан канал DevSecOps Wine. Еще в начале года я ставил себе цель достигнуть отметки в 500 человек к концу 2020, а сейчас вас уже более 3000 человек. Спасибо за фидбек, предложенные материалы и поддержку! С наступающим Новым 2021 годом!
Уже сейчас запланировано несколько интересных активностей на следующий год для community и я очень надеюсь, что все пройдет по плану. Оставайтесь на связи!
Пока что предлагаю вам присоединиться:
@sec_devops_chat - обсуждения всего, что относится к DevSecOps
@appsec_job - вакансии по DevSecOps и AppSec
@cloud_sec - канал про безопасность облаков на английском
State_of_software_security_vol_11.pdf
11.2 MB
State of Software Security
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
Со временем начинаю все меньше любить вендорские отчеты в виду большого колличетсва воды и минимальной ценности. Тем не менее заинтересовал последний отчет Veracode. Они проанализировали различные уязвимости с точки зрения их покрытия с помощью SAST и DAST - что из них эффективнее и при каких условиях, зависимость эффективности инструментов от частоты сканирования и способе их использования. Также рассматриваются уязвимости по степени их популярности и времени фикса.
Также в отчете отдельно рассматриваются "природные" (nature) и "приобретенные" (narture) факторы команды и то, как они влияют на безопасность приложений. К "природным" относятся масштабы организации и приложений, величины тех. долга безопасности. К "приобретенным" факторам относится все то, на что команда может повлиять, например, на частоту сканирования.
#sast #dast #sca #dev #report
How GitOps Improves the Security of Your Development Pipelines
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
Наткнулся на свежую статью, приводящую примеры того, как методология GitOps может улучшить безопасность вашей среды. К основным примерам относятся аудит и ограничение доступа CI/CD системы. Про проблемы классического подхода DevOps и решения GitOps также можно прочитать в статьях:
- How secure is your CICD pipeline?
- How GitOps Raises the Stakes for Application Security
Однако, как и везде, есть подводные камни. Хорошая статья на тему рисков, связанных с GitOps:
- Securing GitOps Pipeline
В основном здесь все сводится к угрозам системы контроля версий, но не стоит также забывать про RBAC. Ведь, несмотря на широкое ограничение доступа согласно методологии, оператор GitOps все еще может стать отправной точкой для злоумышленника. Еще одна проблема - сильная зависимость от кода и уход от подходов, связанных с контролем Run-time через тот же OPA. Как показывает практика, статические анализаторы далеко не всегда хороши в определении полной картины проблем, связанных с ИБ.
Пока комьюнити ищет золотую середину в подходах, предлагаю вам также прочитать следующий материал:
- GitOps Security with k8s-security-configwatch by Sysdig
- Access Control & Security (GitOps and Kubernetes Book)
Кстати, если вы не знакомы с методологией, то мне нравится перевод от Flant.
UPD. Книгу можно взять здесь. Спасибо подписчикам <3
#ops #k8s #literature
Lesser Known Techniques for Attacking AWS Environments
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack
DevSecOps_A_leaders_guide_to_producing_secure_software_without_compromising.pdf
2.2 MB
DevSecOps, A leader's guide to producing secure software without compromising flow, feedback and continuous improvement, Glenn Wilson
#literature #dev #ops
#literature #dev #ops
rep-opensource-devsecops-survey-2020.pdf
792.6 KB
DevSecOps Practices And Open Source Managent in 2020
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
Отчет от Synopsys по результатам опроса 1500 специалистов касательно DevSecOps и проверки open-source компонентов.
Коротко:
- 66% опрошенных внедрили практики DevSecOps, но только половина из них считает, что они достаточно зрелы и распространены на всю организацию
- 42% считают, что за DevSecOps ответственна команда ИБ, 29% - разработка, 9% - эксплуатация, 18% - ответственность распределенная
- Самые популярные средства защиты - WAF, SCA, DAST
- 72% имеют политику использования open-source
- У 51% опрошенных фикс критической уязвимости с момента ее обнаружения занимает 2-3 недели, 24% - месяц
И некоторая другая статистика в pdf.
Ну и не обошлось конечно же без рекламы Synopsys и заезженной истории про Equifax. Хотя, если верить их опросу, то 33% опрошенных стали использовать коммерческий SCA после соответствующей публикации в СМИ.
За ссылку спасибо @Mr_R1p
#dev #ops #report
Red Hat to Acquire Kubernetes-Native Security Leader StackRox
Интересная новость, которая как-то прошла мимо. На той неделе Red Hat объявили о намерении покупки компании StackRox, которая специализируется на разработке средств защиты для контейнерной среды. Закрытие сделки ожидается на первый квартал 2021 года.
https://www.redhat.com/en/about/press-releases/red-hat-acquire-kubernetes-native-security-leader-stackrox?sc_cid=701f2000000tyBtAAI
#news #ops #k8s
Интересная новость, которая как-то прошла мимо. На той неделе Red Hat объявили о намерении покупки компании StackRox, которая специализируется на разработке средств защиты для контейнерной среды. Закрытие сделки ожидается на первый квартал 2021 года.
https://www.redhat.com/en/about/press-releases/red-hat-acquire-kubernetes-native-security-leader-stackrox?sc_cid=701f2000000tyBtAAI
#news #ops #k8s
Redhat
Red Hat to Acquire Kubernetes-Native Security Leader StackRox
Лучшие практики при написании безопасного Dockerfile
Выпустил следующую статью на Хабр, в которой постарался агрегировать лучшие практики по написанию безопасного Dockerfile. В статье:
- Почему
- Как скачивать компоненты из Интернета при сборке образа, избегая MiTM атаки
- Почему нужно задавать
- Затронута тема минимальных и Distroless образов
- Безопасная работа с секретами (multi-stage сборка, фича BuildKit, проблемы рекурсивного копирования)
- Существующие анализаторы Dockerfile
- Разные полезные доп. материалы
https://habr.com/ru/company/swordfish_security/blog/537280/
#dev #docker
Выпустил следующую статью на Хабр, в которой постарался агрегировать лучшие практики по написанию безопасного Dockerfile. В статье:
- Почему
COPY, лучше чем ADD
- Полезные лейблы (securitytxt)- Как скачивать компоненты из Интернета при сборке образа, избегая MiTM атаки
- Почему нужно задавать
USER в конце и как может помочь gosu- Затронута тема минимальных и Distroless образов
- Безопасная работа с секретами (multi-stage сборка, фича BuildKit, проблемы рекурсивного копирования)
- Существующие анализаторы Dockerfile
- Разные полезные доп. материалы
https://habr.com/ru/company/swordfish_security/blog/537280/
#dev #docker
Хабр
Лучшие практики при написании безопасного Dockerfile
В данной статье мы рассмотрим небезопасные варианты написания собственного Dockerfile, а также лучшие практики, включая работу с секретами и встраивание инструментов статического анализа. Тем не менее...
Linux Hardening Guide
Выстраивая безопасность Kubernetes/Docker нельзя забывать, что львиная доля безопасности систем зависит от ОС. Это касается как харденинга, так и поддержания актуальной версии ядра (небезызвестная CVE-2016-5195). Сегодня предлагаю вам взять на вооружение большой гайд по харденингу Linux, который не зависит от конкретной ОС.
Не забываем прочитать важный дисклеймер: "Do not attempt to apply anything in this article if you do not know exactly what you are doing. "
https://madaidans-insecurities.github.io/guides/linux-hardening.html
#ops
Выстраивая безопасность Kubernetes/Docker нельзя забывать, что львиная доля безопасности систем зависит от ОС. Это касается как харденинга, так и поддержания актуальной версии ядра (небезызвестная CVE-2016-5195). Сегодня предлагаю вам взять на вооружение большой гайд по харденингу Linux, который не зависит от конкретной ОС.
Не забываем прочитать важный дисклеймер: "Do not attempt to apply anything in this article if you do not know exactly what you are doing. "
https://madaidans-insecurities.github.io/guides/linux-hardening.html
#ops
HuskyCI - open source tool that orchestrates security tests
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
pf-2021-container-security-and-usage-report.pdf
1.3 MB
Sysdig 2021 container security and usage report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report
Sysdig выпустила большой отчет об использовании контейнерных технологий и обеспечении их безопасности. Отчет формировался на базе информации от клиентов Sysdig.
Статью со сводной информацией можно прочитать здесь.
Коротко:
- 49% контейнеров живут меньше 5 минут, 21% менее 10 секунд
- 74% клиентов сканируют образы в CI/CD, при этом 58% контейнеров запускаются от рута
- Рост использования containerd и CRI-O в 2 раза за 2020 год
- 53% уязвимостей программных компонентов (библиотеки PIP, Ruby и тд) обладают высоким уровнем критичности. Для ОС-компонентов только 4% из всех уязвимостей обладают высоким уровнем критичности.
- Рост использования Falco в 3 раза за 2020 год. Рост использования Prometheus на 16% за 2020 год. И то и то очень удачно вписывается в продажи Sysdig ;)
В отчете очень много информации, которая не относится к security вроде числа нод, подов на хост, статистики алертов и тд.
#ops #k8s #docker #report