Kubernetes
и сегодня у нас замечательный лонгрид "Kubernetes networking: service, kube-proxy, load balancing".
22 Oct, 05:04
Kubernetes
и сегодня у нас замечательный лонгрид "Kubernetes networking: service, kube-proxy, load balancing". 21 Oct, 05:01
Jérôme Petazzoni
, повествующая о возможных сложностях резолва DNS
имён в Kubernetes
и Linux
в целом. 18 Oct, 05:04
Admission Controller
под названием ImagePolicyWebhook. В принципе, из названия можно понять для чего он нужен, но вот какой в нем есть смысл и преимущество по сравнению с ValidatingAdmissionWebhook было непонятно. Поиски привели к прекрасной статье "Kubernetes Image Policy Webhook Explained" (репозиторий со всем кодом тут) в которой они оба и сравниваются.PolicyEngine
движков этот механизм явно должен кануть в Лету, так как на сегодняшний день никаких преимуществ он не дает.17 Oct, 05:00
debian
или ubuntu
) и не переходите на distroless
, то статья "The vulnerability puzzle: understanding base images and their relationship to CVEs" как раз для вас.CVE
. Отдельное внимание уделено зависимостям, которые могут быть точками входа для атак.16 Oct, 05:04
1day
, так патч уже есть. 0day
как раз когда патча нет.runtime
через eBPF
. Достаточно SBOM
и информация его распределениям по образам, далее узнать, где запушен с ним Pod
находится в поле Status
. runtime
. Для этого авторы подписываются на функцию security_mmap_file
и при ее вызове сравнивают ее аргумент с версиями уязвимых библиотек "liblzma.so.5.6.0
" и "liblzma.so.5.6.1
". И получаем сразу 3
странных момента: это дополнительный оверхед при старте всех приложений, если приложение уже загрузило эту библиотеку, то ничего обнаружено не будет, и чтобы поймать 0day
нужно заранее знать имена библиотек, что, конечно, невозможно для реальных сценариев ловли 0day
.SIGKILL
. В итоге, это не блокировка, а реакция и непонятно, что успел сделать тот код.15 Oct, 12:00
[SafeCode Live]
– "Как взломать Kubernetes?".MTS Web Services
) и Вадимом Шелестом (Wildberries
) мы обсудили:15 Oct, 05:00
Kubernetes CVE Feed
, а именно CVE-2024-9486 и CVE-2024-9594: VM images built with Kubernetes Image Builder use default credentials
.ssh
к Node
, использующий образ VM
, созданный с помощью Kubernetes Image Builder.9.8
и 6.3
по CVSS
.Image Builder
. До обновления эту уязвимость можно митигировать, отключив учетную запись builder
на затронутых VM
:
usermod -L builder
14 Oct, 05:04
Kubernetes
кластера - CNI (Container Network Interface)
и CRI (Container Runtime Interface)
:11 Oct, 12:04
11 Oct, 05:01
Kubernetes
по части security
. А именно новому разделу – Seccomp and Kubernetes.API Seccomp
профилей в Kubernetes
, и то как они сопоставляются с syscalls
. 10 Oct, 05:04
OpenSource
разработка от компании Google
, позволяющая проводить capability analysis
(анализ возможностей) для Go
пакетов (прямых и транзитивных зависимостей). Результатом его работы является перечень привилегированных операций, которые может делать данное ПО. На сегодняшний день их 15
штук, такие как:CAPABILITY_EXEC
CAPABILITY_ARBITRARY_EXECUTION
CAPABILITY_SYSTEM_CALLS
CAPABILITY_FILES
CAPABILITY_NETWORK
supply chain
безопасности. И это сильно смахивает на идею с Android permissions
;) Как по нам за такими штуками будущее - когда четко понимаешь что запускаешь.API
), можно делать дифы (capslock-git-diff
) между версиями пакетов и кастомизировать собственные категории!!!Open Source Summit Europe 2024
. 09 Oct, 05:01
iptables
для повышения сетевой безопасности в Kubernetes
кластерах.iptables
можно управлять сетевым трафиком, защищая его от потенциальных угроз. В статье представлены базовые концепции и команды для настройки iptables
, а также практические примеры, которые помогают лучше понять, как интегрировать правила iptables
в Kubernetes
для защиты кластера.iptables
– то, что нужно для начинающих. 08 Oct, 05:04
ContainerCon
был замечательный доклад "Reinventing Container Linux for the Wasm Era (and More) with System Extensions" (WASM
в названии больше для хайпа, в самой презе всего ничего слайдов о нем). container-specific OS
! А расширяет он эту тему тем что авторы предлагают следующий шаг за данной категорией - Composable Linux
.kubernetes
, docker
, nvidia-runtime
, wasmtime
, ollama
и т.д.Flatcar
был замечательный доклад на нашей прошлогодней конференции БеКон.OS Talos
это присутствует под названием Talos Linux System Extensions. 07 Oct, 05:01
RBAC
правами в Kubernetes
, а также разъяснит потенциальный импакт от использования таких прав.RBAC
. Кроме этого есть возможность создавать свои правила. 04 Oct, 05:04
AI
.AI
-ассистенты заменят начинающих/junior
специалистов". В логике того что этот уровень знаний текущие наработки уже практически тянут. При этом под специалистами тут у нас и DevOps
, DevSecOps
, AppSec
, Developers
и т.д.middle
(в последствии senior
) специалисты ?! Университеты или online
-курсы сразу начнут их выпускать?! 03 Oct, 05:00
RBAC
конфигурации в вашем Kubernetes
кластере. Тут важно подчеркнуть, что доступны только визуализация и отображение связей между RBAC
сущностями. 02 Oct, 05:03
container-specific OS
тоже есть CIS Benchmarks
! Конкретно сейчас это есть для: Bottlerocket и Talos. В глаза сразу сильно бросается разница в количестве пунктов по сравнению с ОС общего назначения. В то же Talos
их всего около 20
. Думаю, что даже и не стоит говорить какой тип ОС проще довести до более защищенного состояния, но есть своя специфика ;) 01 Oct, 12:03
DevSecOps
в рамках "AM TALK: ТЕХНОЛОГИИ БЕЗ СТЕРЕОТИПОВ" в стиле TEDx
наша команда раскроет тему "Как контейнеры и Kubernetes меняют ландшафт угроз". По рассуждаем что нам принес этот новый дивный мир) 01 Oct, 05:01
ML
нагрузки в своих Kubernetes
кластерах, то наверняка слышали про такие решения как NVIDIA Container Toolkit
и GPU Operator
. WIZ
обнаружили уязвимость в этих продуктах, благодаря которой потенциальный злоумышленник может совершить побег из контейнера. Если быть точным и углубиться в детали, то для эксплуатации атакующий должен запустить нагрузку с заранее заготовленным уязвимым docker image
. После этого у него появляется возможность полностью примонтировать файловую систему хоста. Уязвимости присвоен CVE-2024-0132
.1.16.2
и 24.6.2
для NVIDIA Container Toolkit
и NVIDIA GPU Operator
соответственно. 30 Sep, 12:49