1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
типа openvpn 🙂 в tcp режиме
Читать полностью…
ты разницу между обычным vpn и шифрованием ipsec/wg понимаешь ?
Читать полностью…
Тогда можно спать спокойно и не мучаться
Читать полностью…
Собери все в кубер большой
Читать полностью…
Это любой ограниченный, контролируемый сегмент.
Читать полностью…
для нищебродов: опубликовать все кадвизоры и нодеэкспорты и закрыть их порт allow list по ip с центральной панели прометеуса
Читать полностью…
перейти с всратого пулл метода на пуш
Читать полностью…
Предположим, что у них есть внутренний ограниченный сетевой сегмент с которого все и можно мониторить
Читать полностью…
Без сетевой схемы расположения узлов и откуда хочешь мониторить на твой вопрос нормально ответить нельзя. Ответ в лоб - делай не публичный интерфейс, а внутренний. Но наверное это не тот ответ, который ожидается
Читать полностью…
тут ибшники сидят, а не девопсы и твой вопрос не имеет отношению к ИБ никакого
Читать полностью…
Подскажите, пожалуйста, как организовать работу prometheus? У меня будут контейнеры с prometheus, node-exporter, cadvisor, grafana.
Cadvisor и node-exporter, на сколько я понимаю, нужно поставить на все сервера. Но на сколько я понимаю, это несекюрно — делать публичный интерфейс для них. Как тогда быть? Неужели vpn единственный нормальный вариант? Или какая-то хитрая работа с сертфикатами?
Если я правильно понял - это вообще о другой задаче: поиск аномалий и попытка фильтрации. Port knocking о другом: об усложнении обнаружения сервиса. Т.е. ещё до того, как начнутся аномалии, которые впоследствии придётся определять и как-то реагировать
Читать полностью…
Ну суть вы же поняли, надеюсь)
Читать полностью…
Начинайте с базы: сначала запрещаете все, реально все. Затем изучаете, что кому надо, а там и общие принципы выработаете сами
Читать полностью…
ME GUSTA =) спасибо! изучу
Читать полностью…
обычный vpn это какой?
Читать полностью…
по-моему, мы как-то обсуждали, что кубер через vpn это не всегда хорошая идея из-за увеличенной нестабильности соединения 😊
А чего ансибл-то плох?
Подтюнь параметры. Накинь wg сеть
Читать полностью…
аа, точно! Т.е. публично опубликовать на всех серверах результат мониторинга логгов, но при этом на каждом из них в правилах файервола закрепить, что входящий трафик на соответствующие порты возможен только с ip на котором находится prometheus сервер? С учетом возможностей ансимбла задача вроди как реализуема даже если все сервера могут меняться вместе с ip.
Читать полностью…
ну, и, да, так как интернет бегает по публичной сети - неплохо вывешивать с tls
Читать полностью…
точку сбора трафика закрыть сертификатом, бейзик аутх или mtls (проверкой клиентского сертификата)
Читать полностью…
внутренний ограниченный сетевой сегмент это что? впн?
Читать полностью…
Предположим, 5 серверов в разных сетях и с каждого было бы неплохо мониторинг брать
Читать полностью…
имеет же прямое. Весь мой вопрос касается секюрности
Читать полностью…
братан, еще раз задашь вопрос в нерелевантном чате - выдам мьют на месяц
Читать полностью…
Если у вас есть aмбиции и желaние pазвиваться, есть иннoвационное нaправление позволяющее полyчать от 1100 доллаpов в неделю в перcпективе. Опыт не обязателен, но приветствуется. Можно совмещать с основным родом дeятельности. Пишите плюс в личные сообщения
Читать полностью…
Судя по сегодняшнему посту - сегодня юбилей у CVE (хотя, в посте говорят про январь и октябрь без даты, и неясно почему юбилей сегодня). Автор поста "проехался" по текущему состоянию CVE. Хотя есть свежие случаи положительного взаимодействия с ними (имеется ввиду взаимодействие с MITRE для назначения CVE) - когда разработчики не желали признавать уязвимости (и даже пытались оспорить CVE)
Читать полностью…
п.3 Обновляете резюме на HH и LIn
Читать полностью…
Вот пример /channel/k8security/1034 сделали для Kubernetes
Можно посмотреть на шаг вперед в сторону ReBAC - это развитие RBAC и ABAC. Придуман Google https://zanzibar.academy/ и есть OpenSource реализации CNCF проект OpenFGA https://openfga.dev/