Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 17:07

мне кажется нужно следовать другой логике
как с помощью kyverno не позволить получить контроль над kubelet’ом легальным способом. Ну как минимум запретить hostPath, priveleged, escalation priveleged
а ещё лучше рута запретить

а ещё лучше сделать что-то такое

Запреты на:
hostNetwork
hostIPC
hostPID
hostPath
hostPorts
priveleged
allowPrivilegeEscalation
capabilities - мутация на DROP ALL, white list определенных
procMount
seLinuxOptions

runAsUser, runasGroup, fsGroup,supplementalGroups - только с определенного пула uid'ов
runAsNonRoot: true

разрешены только определенные seccomp/apparmor профили
разрешены только определенные tollerations
разрешены только опеределнные типы волумов
разрешены только определенные sysctls
разрешены только определенные priorityClassName
разрешены только определенные uids

Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 15:25

Еще хуже - ты уже украл токен cni cilium и можешь ходить в апи под ним. Непонятно, чем это грозит, но ничего хорошего

Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 15:24

Вопрос не имеет смысла

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 11:01

это был ответ на спам. твоя ставка - $60/час. вот, можно свичнуться))

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 10:05

для системных компонентов (безопасность, мониторинг и прочее) - надо проверять каждый кейс отдельно

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 10:05

Понимать какие риски при использовании капы NET_ADMIN. ЧТоб оценивать: когда от её использования больше минусов, чем плюсов

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:38

давайте отрубим удаву хвост.... по сааааамые уши

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:33

А, ну в принципе логично

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:31

но данные пускай собираются - дев кластер может быть легко точкой входа в инфру

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:22

А как лучше FIM на ноде реализовывать. Ну, например, тех же конфигов куба?

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:05

ну я имел ввиду на Ноде, как на Linux “машине”. то бишь работать на уровне инфы, “не зная ничего” что на ноде из нагрузки крутится. Кубер, Докер или еще что.

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:59

смысл есть - статистика, если ее хакнули

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:57

устанавливать нагрузки ВНЕ к8с смысла не имеет, ты катишь такой же демонсет, только капы правильные прикидываешь. Все эти ухищрения с системди уже не нужны

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:56

На мастер нодах - точно "не повредит"

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:43

Хорошая штука все равно

Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 15:25

Понял принял. Спасибо, это и хотел для себя прояснить

Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 15:24

Если ты получил контроль над Кубе летом - очевидно, что все нагрузки на этой ноде уже скомпрометированы. Секреты украдены. Ты даже можешь доступ к апи серверу получить

Security Wine Chat (бывший DevSecOps Chat)

08 Nov 2024 15:21

Господа, очередной странный вопрос.

Кубер, Киверно. Злоумышленник каким то способом получает контроль над кубелетом. Это контрится Киверно? Или злоумышленник получит возможность отключить её выдав себя за кубелт?

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 10:59

ставки растут. ждем $2400 в неделю

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 10:05

она никогда не нужна для бизнес сервисов

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:39

Лучше только в закрытом фаерволе контуре не запускать по)
Незапущенное ПО не взломать)

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:36

Ставим фаервол и закрыть ворота)

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:31

из-за отсутствия контролей и более легкого отношения к нему

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:31

вазух прекрасно ставится как демонсет и ты в него пробрасываешь необходимые фс с хоста и CAPs

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:12

Опять мимо =))) Дважды =) IDS-ке не помешает знать что на ноде из нагрузки крутится - какие компоненты кубера и даже какие контейнеры в подах. Например если у тебя там контур PCI то наверное надо любую подозрительную активность эскалировать сразу, а на богом забытом дев кластере может и не нужно сразу лететь разбираться кто там pip install запустил

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 09:04

Не, ну тут не поспоришь. Иметь данные и иметь нихуя - это как "хорошо быть богатым, а бедным быть плохо". Мне вот не дали в свое время столько спейса под логи

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:59

Это факт, я скорее про то, что если ноды живут часами, а не сутками, то практический выхлоп от такого сэтапа ИМХО сомнительный - 100500 алертов с ноды, которая сдохла три дня назад.

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:56

да на любой ноде не повредит

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:56

Дичь только в фразе "нода вне k8s кластера" - нода или в кластере, или она не нода, в остальном - идея норм, но только если у тебя не высоко-эластичный кластер (ну то есть ноды не спаунятся раз в час). Иначе заколебешься гоняться за фантомами

Security Wine Chat (бывший DevSecOps Chat)

07 Nov 2024 08:43

Тетрагон лучше фальки