AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
Securing Your Terraform Pipelines with Conftest, Regula, and OPA
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
Между тем, использование Open Policy Agent набирает обороты. Сегодня статья про использование OPA в связке с Conftect и Regula для оценки конфигурации Terraform в AWS.
https://dev.to/prince_of_pasta/securing-your-terraform-pipelines-with-conftest-regula-and-opa-4hkh
OPA использует Rego язык для определения политик. К вашему вниманию также бесплатный курс по OPA Policy Authoring.
#tools #terraform #aws #ops #opa
www.openpolicyagent.org
Introduction | Open Policy Agent
The Open Policy Agent (OPA, pronounced "oh-pa") is an open source,
Tracking Moving Clouds: How to continuously track cloud assets with Cartography
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Красота
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Ко всему прочему было проведено моделирование угроз через drawio-threatmodeling , выведены требования безопасности, организована проверка IaC и автоматический аудит через ScoutSuite.
#aws
Forwarded from CloudSec Wine
🔸Security Architecture Review Of A Cloud Native Environment
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws
Walkthrough of a cloud security assessment performed on an organisation which had recently moved their infrastructure from an on-prem to a cloud native solution (AWS).
https://notsosecure.com/security-architecture-review-of-a-cloud-native-environment/
#aws
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Announcing OpenCSPM - An Open-Source Cloud Security Posture Management and Workflow Platform
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Связь между сервисами безопасности в AWS
https://twitter.com/0xdabbad00/status/1336494125617541120
https://twitter.com/savgoust/status/1336549148502286340/photo/1
Также интересно отметить свежевышедший AWS Audit Manager.
За доп. ссылку спасибо @aws_notes
Похожую визуализацию я когда-то публиковал у себя.
#aws #ops
https://twitter.com/0xdabbad00/status/1336494125617541120
https://twitter.com/savgoust/status/1336549148502286340/photo/1
Также интересно отметить свежевышедший AWS Audit Manager.
За доп. ссылку спасибо @aws_notes
Похожую визуализацию я когда-то публиковал у себя.
#aws #ops
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.
В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.
- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues
#ops #terraform #threatmodeling #aws
HashiCorp
Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform
Learn how automated threat modeling can be performed just by looking at Terraform code.
Lesser Known Techniques for Attacking AWS Environments
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack
На сайте tldrsec появилась статья от известного в сообществе Scott Piper про малоизвестные методы атаки на AWS. К их числу относятся:
- Получение доступа через Amazon Machine Image (AMI)
- Отправка вредоносного CloudFormation Stack Set
- Сбор информации об IAM за счет политики доверия
- Использование злоумышленником предсказуемых названий так, чтобы организация по ошибке считала чужие ресурсы (вроде S3) за свои
- Переход между аккаунтами за счет неправильно построенных доверительных отношениях
В статье вы найдете необходимые ссылки, чтобы подробнее прочитать про каждую атаку из первоисточника, а также методики защиты.
Кстати на русском языке есть хороший доклад про базовые методики тестирования на проникновение AWS - Вадим Шелест, Digital Security – Облачный пентест: Методики тестирования Amazon AWS
Также кое-что можно найти по хэштегам и в @cloud_sec
#aws #attack
Cloud Security Newsletter #1
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Telegram
CloudSec Wine
All about cloud security
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Cigna/confectionery
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
Confectionery - набор правил Conftest для поиска мисконфигураций Terraform (AWS, Azure). Хочу отметить удобное разделение правила по доменам, например, EKS, EC2, KMS и так далее.
Кстати, внимательные читатели заметили, что в последнем сравнении инструментов сканирования Terraform, которое я публиковал, вышла новая версия, из-за чего сильно изменился баланс сил :) Там, кстати, нет Conftest, так как инструмент не предполагает встроенный набор правил.
#terraform #aws #azure #dev #ops
GitHub
GitHub - Cigna/confectionery: A library of rules for Conftest used to detect misconfigurations within Terraform configuration files
A library of rules for Conftest used to detect misconfigurations within Terraform configuration files - Cigna/confectionery
Forwarded from CloudSec Wine
🔸Building an end-to-end Kubernetes-based DevSecOps software factory on AWS
"DevSecOps software factory implementation can significantly vary depending on the application, infrastructure, architecture, and the services and tools used. In a previous post, I provided an end-to-end DevSecOps pipeline for a three-tier web application deployed with AWS Elastic Beanstalk. The pipeline used cloud-native services along with a few open-source security tools. This solution is similar, but instead uses a containers-based approach with additional security analysis stages. It defines a software factory using Kubernetes along with necessary AWS Cloud-native services and open-source third-party tools. Code is provided in the GitHub repo to build this DevSecOps software factory, including the integration code for third-party scanning tools."
https://aws.amazon.com/ru/blogs/devops/building-an-end-to-end-kubernetes-based-devsecops-software-factory-on-aws/
#aws
"DevSecOps software factory implementation can significantly vary depending on the application, infrastructure, architecture, and the services and tools used. In a previous post, I provided an end-to-end DevSecOps pipeline for a three-tier web application deployed with AWS Elastic Beanstalk. The pipeline used cloud-native services along with a few open-source security tools. This solution is similar, but instead uses a containers-based approach with additional security analysis stages. It defines a software factory using Kubernetes along with necessary AWS Cloud-native services and open-source third-party tools. Code is provided in the GitHub repo to build this DevSecOps software factory, including the integration code for third-party scanning tools."
https://aws.amazon.com/ru/blogs/devops/building-an-end-to-end-kubernetes-based-devsecops-software-factory-on-aws/
#aws
Forwarded from CloudSec Wine (Артем Марков)
🔶🔷🔴 Mapping of On-Premises Security Controls Versus Services Offered by Major Cloud Providers
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp
Cloud_Native_Security.pdf
5.6 MB
Cloud Native Security
Свежая книга по cloud native безопасности (kubernetes, aws) с упоминанием некоторых DevSecOps-подходов (есть даже про "deprecation of PSP"). В основном все строится на практической составляющей с вводом-выводом на консоль и примерами интеграций конкретных инструментов.
#literature #dev #ops #k8s #aws
Свежая книга по cloud native безопасности (kubernetes, aws) с упоминанием некоторых DevSecOps-подходов (есть даже про "deprecation of PSP"). В основном все строится на практической составляющей с вводом-выводом на консоль и примерами интеграций конкретных инструментов.
#literature #dev #ops #k8s #aws
Forwarded from CloudSec Wine (Артем Марков)
🔶 KONTRA's AWS Top 10
A series of free interactive security training modules that teach developers how to identify and mitigate security vulnerabilities in their AWS-hosted cloud applications.
https://application.security/free/kontra-aws-clould-top-10
#aws
A series of free interactive security training modules that teach developers how to identify and mitigate security vulnerabilities in their AWS-hosted cloud applications.
https://application.security/free/kontra-aws-clould-top-10
#aws
Kontra
Application Security Training For Developers | Kontra
Kontra is an Application Security Training platform built for modern development teams.
Cloud Security Orienteering
Статья на тему, что нужно делать, чтобы разобраться в безопасности AWS организации, про которую ты ничего не знаешь. Приведено большое количество фреймворков в стиле awesome, такие как AWS Security Maturity Roadmap 2021, The AWS Security Reference Architecture и Cloud Penetration Testing Playbook. Плюс сам автор статьи поделился своим собственным чеклистом.
#aws #ops
Статья на тему, что нужно делать, чтобы разобраться в безопасности AWS организации, про которую ты ничего не знаешь. Приведено большое количество фреймворков в стиле awesome, такие как AWS Security Maturity Roadmap 2021, The AWS Security Reference Architecture и Cloud Penetration Testing Playbook. Плюс сам автор статьи поделился своим собственным чеклистом.
#aws #ops
tl;dr sec
Cloud Security Orienteering
How to orienteer in a cloud environment, dig in to identify the risks that matter, and put together actionable plans that address short, medium, and long term goals.
Отличный опрос для выходных!
Поможет понять, с чего начать обучение в безопасности aws, в изобилии сервисов
Также в ответ рекомендую @aws_notes
#aws #ops
Поможет понять, с чего начать обучение в безопасности aws, в изобилии сервисов
Также в ответ рекомендую @aws_notes
#aws #ops