ScoutSuite 5.8.0
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Scout Suite - это инструмент аудита безопасности с открытым исходным кодом, который позволяет оценить состояние безопасности облачных сред (AWS, Azure, GCP, OCI). Используя API, предоставляемые облачными провайдерами, Scout Suite собирает данные о конфигурации и выделяет риски безопасности.
Cloud Security Suite - Installation and initiation of an AWS audit
Cloud Security - Implementing NCC ScoutSuite on my Azure Account
Относительно недавно вышла новая версия 5.8.0, поддерживающая KMS, Secrets Manager в AWS, App Service Web Apps, Security Center Compliance Results в Azure. Обещают, что сканирование в GCP должно выполняться быстрее.
#news #aws #azure #tools #gcp #ops
Terraform Foundational Policies Library
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.
#terraform #aws #azure #gcp #ops
IAM Privilege Escalation in GCP.
Кажется, что AWS не должен оставаться в центре внимания канала, поэтому представляю вам повышение привилегий в GCP через Cloud Build. А вот PoC скрипт.
RCE to IAM Privilege Escalation in GCP Cloud Build
Вывод статьи: следить за разрешениями, выдаваемыми учетной записи службы Cloud Build, и быть осторожным, предоставляя
#gcp #ops #attack
Кажется, что AWS не должен оставаться в центре внимания канала, поэтому представляю вам повышение привилегий в GCP через Cloud Build. А вот PoC скрипт.
RCE to IAM Privilege Escalation in GCP Cloud Build
Вывод статьи: следить за разрешениями, выдаваемыми учетной записи службы Cloud Build, и быть осторожным, предоставляя
cloudbuild.builds.create разрешение всем пользователям в вашей организации. #gcp #ops #attack
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Introduction to GKE Kubelet TLS Bootstrap Privilege Escalation
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Tools for Cloud Examination
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
Introducing the State of Open Source Terraform Security Report 2020
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Bridgecrew просканировали 2,6 тыс. модулей в Terraform Registry с помощью своего open-source инструмента Checkhov, который в настоящее время содержит 300 проверок соответствия и безопасности в AWS, Azure и Google Cloud.
Получилось примерно следующее:
- Каждый второй модуль имеет ошибки конфигурации
- Во втором квартале 2020 года наблюдался самый высокий показатель соотношения неправильно настроенных модулей
- 8 из 10 самых популярных модулей настроены неправильно
- Наиболее распространенные неправильные настройки относятся к категориям «Резервное копирование и восстановление», «Ведение журнала» и «Шифрование».
Сам отчет можно посмотреть здесь.
Chechov - open-source инструмент для статического анализа IaC от Terraform, Cloudformation, Kubernetes, Serverless или ARM Templates.
#report #terraform #aws #azure #gcp #dev #ops
Tracking Moving Clouds: How to continuously track cloud assets with Cartography
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
Непрерывный мониторинг облачных ассетов с помощью Catography (утилиты от Lyft для распределения ассетов публичных облаков на графе) и информирование о любых нелегитимных изменениях в среде AWS/GCP через Slack и Jira.
https://www.marcolancini.it/2020/blog-tracking-moving-clouds-with-cartography/
Другие статьи из этой же серии:
Mapping Moving Clouds:How to stay on top of your ephemeral environments with Cartography
Cross Account Auditing in AWS and GCP
#gcp #aws #ops
CloudSecDocs
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.
Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков
#aws #gcp #azure #dev #ops #k8s #docker #attack
Announcing OpenCSPM - An Open-Source Cloud Security Posture Management and Workflow Platform
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
Следующий анонс. OpenCSPM - open source платформа от компании Darkbit, представляющая из себя, как уже понятно по названию, cloud security posture management. Решение анализирует AWS и GCP на предмет несоответствия заданным политикам безопасности. Обещают,что скоро появится поддержка k8s. Из аналогов сейчас CloudSploit, ScoutSuite, Security Monkey.
Авторы OpenCSPM также являются разработчиками open source инструментов mkit (поиск мисконфигурации k8s), и aws-recon (сбор и анализ ресурсов AWS для аудита безопасности). Darkbit, в свою очередь, предоставляет консалтинг по безопасности облаков и ведет неплохой блог. Им же принадлежит статья про Falco bypass.
#aws #gcp #ops
The Power of Kubernetes RBAC
В конце того года я писал про опасность глаголов
К теме RBAC хочется также упомянуть статью "The Power of Kubernetes RBAC LIST". Проблему с неявными полномочиями также можно встретить в GKE при выставлении прав
В заключении хочу упомянуть про глагол impersonate. Он позволяет выдать себя за другого пользователя. На текущий момент я не встречал про то, как можно использовать данные права в рамках атаки на кластер, но на сайте CNCF есть статья, как используется impersonate для отладки RBAC.
#k8s #ops #gcp
В конце того года я писал про опасность глаголов
escalate и list при организации RBAC в Kubernetes. Тем не менее я не написал про bind, который имеет точно такой же эффект как и escalate. То есть, если пользователь или SA обладают правами на bind, то абсолютно неважно, какие глаголы еще выставлены у его роли в RBAC, ведь он может запросто изменить свою роль на cluster-admin. Про эффект bind можно прочитать в отдельной статье. Стоит это учитывать при написании RBAC, либо их аудите.К теме RBAC хочется также упомянуть статью "The Power of Kubernetes RBAC LIST". Проблему с неявными полномочиями также можно встретить в GKE при выставлении прав
container.secrets.list. Тут все еще страшнее, так как данные права есть в популярных IAM ролях Kubernetes Engine Developer и Kubernetes Engine Admin. Это в свою очередь позволяет пользователям получить доступ к секретам и завладеть ролью cluster-admin. Авторы в данном случае советуют руководствоваться правилом "один GKE на один проект" и использовать RBAC вместо IAM, чтобы распределять роли команды в рамках неймспейсов, а не назначать права на весь кластер. А еще в статье упоминается утилита, которая поможет выводить перечень конкретных прав для IAM в GCP.В заключении хочу упомянуть про глагол impersonate. Он позволяет выдать себя за другого пользователя. На текущий момент я не встречал про то, как можно использовать данные права в рамках атаки на кластер, но на сайте CNCF есть статья, как используется impersonate для отладки RBAC.
#k8s #ops #gcp
Telegram
DevSecOps Wine
Kubernetes RBAC Security Pitfalls
Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например…
Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например…
Cloud Security Newsletter #1
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Когда я ищу новый материал для канала, то часто сталкиваюсь со статьями и докладами, которые относятся к облачной безопасности. Как правило весь материал я отправляю сюда.
В этот раз я решил оформить это в виде подборки единым постом.
Cloud Controls Matrix (CCM) v4 - вышла новая версия матрицы безопасности облаков. Данный фреймворк объединяет требования ISO, NIST, PCI DSS и других нормативных документов, применяемых к облакам в едином файле.
Publishing Checkov Terraform Quality Checks to Azure DevOps Pipelines. - Встраивание Checkov для проверки Terraform в Azure Pipelines шаг за шагом.
How We Escaped Docker in Azure Functions. История про побег из Docker контейнера за счет уязвимости в Azure Functions.
Redefining Security in 2021. О том, что из себя представляют сервисы безопасности в Alibaba Cloud.
Cloud Security Table Top Exercises. Набор из возможных сценариев атак в AWS, которые стоит взять во внимание при аудитах.
New whitepaper: Designing and deploying a data security strategy with Google Cloud. Новый whitepaper от команды GCP по выстраиванию безопасности данных, покрывающий разделы Identity, Boundary, Access и Visibility.
#aws #gcp #azure #ops #dev
Telegram
CloudSec Wine
All about cloud security
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Contacts:
@AMark0f
@dvyakimov
About DevSecOps:
@sec_devops
Forwarded from CloudSec Wine (Артем Марков)
🔶🔷🔴 Mapping of On-Premises Security Controls Versus Services Offered by Major Cloud Providers
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp
By the link below you can find the fifth version of a diagram that started in March 2017, with just AWS and Azure versus On-Premises. The diagram began as an effort to make a translation between the typical on-premises security controls that everybody, more or less, knows what they do and the various services advertised by major public cloud providers. As the cloud providers tend to assign catchy names to products that quite often transcend the initial functionality of the on-prem control, it becomes harder and harder to stay up-to-date on what service does what.
https://www.managedsentinel.com/mapping-of-on-premises-security-controls-versus-services-offered-by-major-cloud-providers/
#aws #azure #gcp