В связи с нашумевшей атакой на SolarWinds очень остро стал вопрос с атаками на цепочку поставок (supply chain).

Давайте повернем это все в наш контекст - контекст приложений для Kubernetes. Что мы имеем:
1) Open Source код - а кто его сегодня не использует? Начиная от ваших собственных разработок, заканчивая инструментов/тулов что вы используете в готовом виде и коммерческих решений.
2) Образы контейнеров - тут сходу вспоминаются истории как на DockerHub залиты образы с backdoors и вредоносным кодом.
3) k8s ресурсы - такая своего рода обертка над контейнерами, которая также позволяет и внедрить что-то не очень заметно, так понизить уровень безопасности самого контейнера.
4) Helm чарты - наверно вершина этой пирамиды, призванная максимально упростить процесс установки приложений в кластер. И часто вы их читаете полностью что там написано? И легко ли это вообще сделать? Скорее нет ;)

В ситуации с SolarWinds был заражен их продукт Orion (это кажется платформа мониторинга). Долгое время вредоносная активность от этого решения была не замечена, а все из-за того что никто и не знал как оно работает (что может делать, а что нет - считай черный ящик). А также относились к нему как к доверенному компоненту системы - а в наше время без ZeroTrust подхода уже никуда.

В случае Kubernetes инфраструктуры при правильном подходе такое можно было бы обнаружить без супер усилий. На помощь приходит и observability, visibility в контейнерах и иммутабильность образов контейнеров с NetworkPolicy, PodSecurityPolicie для ZeroTrust.

k8s (in)security

В связи с нашумевшей атакой на SolarWinds очень остро стал вопрос с атаками на цепочку поставок (supply chain).

Давайте повернем это все в наш контекст - контекст приложений для Kubernetes. Что мы имеем:
1) Open Source код - а кто его сегодня не использует? Начиная от ваших собственных разработок, заканчивая инструментов/тулов что вы используете в готовом виде и коммерческих решений.
2) Образы контейнеров - тут сходу вспоминаются истории как на DockerHub залиты образы с backdoors и вредоносным кодом.
3) k8s ресурсы - такая своего рода обертка над контейнерами, которая также позволяет и внедрить что-то не очень заметно, так понизить уровень безопасности самого контейнера.
4) Helm чарты - наверно вершина этой пирамиды, призванная максимально упростить процесс установки приложений в кластер. И часто вы их читаете полностью что там написано? И легко ли это вообще сделать? Скорее нет ;)

В ситуации с SolarWinds был заражен их продукт Orion (это кажется платформа мониторинга). Долгое время вредоносная активность от этого решения была не замечена, а все из-за того что никто и не знал как оно работает (что может делать, а что нет - считай черный ящик). А также относились к нему как к доверенному компоненту системы - а в наше время без ZeroTrust подхода уже никуда.

В случае Kubernetes инфраструктуры при правильном подходе такое можно было бы обнаружить без супер усилий. На помощь приходит и observability, visibility в контейнерах и иммутабильность образов контейнеров с NetworkPolicy, PodSecurityPolicie для ZeroTrust.

xakep.ru

Взлом года. Всё, что известно о компрометации SolarWinds на данный момент

Хакеры атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Многие уже называют случившееся самой масштабной атакой года, в которой, конечно, подозревают российских правительственных хакеров. В этом материале мы собрали все, что известно…

hottg.com/k8security/181

985 viewsD1g1, Jan 14, 2021 at 07:29