Шифрование диска в AWS практически бесполезно и потенциально опасно
По канонам старой школы все данные должны быть зашифрованы. И эта теорема перекочевала в облачные технологии. Однако сложно представить, как кто-то проникнет в центр обработки данных AWS, украдет именно ваши диски с данными, восстановит и проанализирует все секреты вашей компании. При этом само шифрование может вызвать проблемы:
— Если для шифрования базы данных использовался ключ по умолчанию, вы не сможете перенести резервные копии в другую учетную запись AWS.
— Есть риск потерять все данные, если вы удалите ключ к ключу, ведь KMS не предупредит вас, когда вы удаляете ключ шифрования, а он используется.
— Если вы забыли что-то зашифровать, вам придется начать сначала.
Конечно, есть и случаи, когда шифрование помогает. Но это, как говорится, другая история.
Поделитесь в комментариях, кто-нибудь уже терял все данные? :)
#security #aws
@DevOpsKaz
По канонам старой школы все данные должны быть зашифрованы. И эта теорема перекочевала в облачные технологии. Однако сложно представить, как кто-то проникнет в центр обработки данных AWS, украдет именно ваши диски с данными, восстановит и проанализирует все секреты вашей компании. При этом само шифрование может вызвать проблемы:
— Если для шифрования базы данных использовался ключ по умолчанию, вы не сможете перенести резервные копии в другую учетную запись AWS.
— Есть риск потерять все данные, если вы удалите ключ к ключу, ведь KMS не предупредит вас, когда вы удаляете ключ шифрования, а он используется.
— Если вы забыли что-то зашифровать, вам придется начать сначала.
Конечно, есть и случаи, когда шифрование помогает. Но это, как говорится, другая история.
Поделитесь в комментариях, кто-нибудь уже терял все данные? :)
#security #aws
@DevOpsKaz
Mellow Root
Disk encryption in AWS is close to useless and potentially harmful
Security theater is the practice of taking security measures that are considered to provide the feeling of improved security while doing little or nothing to...
Cамая серьезная брешь в истории менеджера паролей LastPass
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz
Две новые функции для GitHub Actions
1. DevOps-спецы смогут определять и применять стандартные методы CI/CD во многих репозиториях исходного кода без необходимости настраивать каждый репозиторий по отдельности, что особенно полезно в крупных компаниях.
2. Переменные конфигурации. Раньше нужно было хранить все данные конфигурации в зашифрованном виде, чтобы повторно использовать значения в рабочих процессах. Метод не позволял легко извлекать флаги компилятора, имена пользователей и серверов и т.д. Теперь вы можете определить переменные на уровне организации, репозитория или среды в зависимости от ваших требований.
#devops #cicd #githubactions #security #secops
@DevOpsKaz
1. DevOps-спецы смогут определять и применять стандартные методы CI/CD во многих репозиториях исходного кода без необходимости настраивать каждый репозиторий по отдельности, что особенно полезно в крупных компаниях.
2. Переменные конфигурации. Раньше нужно было хранить все данные конфигурации в зашифрованном виде, чтобы повторно использовать значения в рабочих процессах. Метод не позволял легко извлекать флаги компилятора, имена пользователей и серверов и т.д. Теперь вы можете определить переменные на уровне организации, репозитория или среды в зависимости от ваших требований.
#devops #cicd #githubactions #security #secops
@DevOpsKaz
Новинки DevOps-приложений с конфы Cloud Native Computing Foundation
— NeuVector — решение для обеспечения безопасности с открытым исходным кодом для Kubernetes. У него есть интерфейс, поэтому можно выполнять операции через него. Также можно экспортировать все правила в пользовательские определения и применять в любом другом кластере. Очевидно, что получится настроить NeuVector и через YAML.
— Tetragon — ещё один инструмент наблюдения и безопасности, основанный на eBPF. Он не выполняет сканирование CVE, как NeuVector, но обеспечивает видимость в реальном времени и соблюдение правил. Без интерфейса.
— Cilium Service Mesh — поможет, если вам нужна сервисная сетка. Также основан на eBPF. Хороший и более простой аналог Istio.
— Cilium Cluster Mesh — многообещающее решение для IP-маршрутизации Pod между несколькими кластерами, прозрачного обнаружения сервисов с помощью стандартных средств Kubernetes и шифрования для связи узлов в локальном кластере.
#Kubernetes #security #networking
@DevOpsKaz
— NeuVector — решение для обеспечения безопасности с открытым исходным кодом для Kubernetes. У него есть интерфейс, поэтому можно выполнять операции через него. Также можно экспортировать все правила в пользовательские определения и применять в любом другом кластере. Очевидно, что получится настроить NeuVector и через YAML.
— Tetragon — ещё один инструмент наблюдения и безопасности, основанный на eBPF. Он не выполняет сканирование CVE, как NeuVector, но обеспечивает видимость в реальном времени и соблюдение правил. Без интерфейса.
— Cilium Service Mesh — поможет, если вам нужна сервисная сетка. Также основан на eBPF. Хороший и более простой аналог Istio.
— Cilium Cluster Mesh — многообещающее решение для IP-маршрутизации Pod между несколькими кластерами, прозрачного обнаружения сервисов с помощью стандартных средств Kubernetes и шифрования для связи узлов в локальном кластере.
#Kubernetes #security #networking
@DevOpsKaz
Привезли вам практическое руководство по усилению защиты Linux, а то всё Kubernetes, да AWS 😄
В документе вы найдете пошаговые инструкции по созданию собственных защищенных систем и служб. Это не официальный стандарт или справочник, но он затрагивает отраслевые стандарты.
#linux #devops #security
@DevOpsKaz
В документе вы найдете пошаговые инструкции по созданию собственных защищенных систем и служб. Это не официальный стандарт или справочник, но он затрагивает отраслевые стандарты.
#linux #devops #security
@DevOpsKaz
Приглашаем на AWS Security Day 16 июня в Алматы!
Это мероприятие по вопросам безопасности в инфраструктуре AWS. Эксперты поделятся своим опытом и знаниями о лучших практиках и инструментах для защиты инфраструктуры и приложений в облаке AWS.
Участники узнают о новейших технологиях и решениях безопасности и получат практические советы по настройке своих приложений в облаке AWS и локально на AWS Outposts.
#aws #security #devops #devsecops
@DevOpsKaz
Это мероприятие по вопросам безопасности в инфраструктуре AWS. Эксперты поделятся своим опытом и знаниями о лучших практиках и инструментах для защиты инфраструктуры и приложений в облаке AWS.
Участники узнают о новейших технологиях и решениях безопасности и получат практические советы по настройке своих приложений в облаке AWS и локально на AWS Outposts.
#aws #security #devops #devsecops
@DevOpsKaz
PGDSAT — инструмент, который проверяет 70 элементов управления в кластерах PostgreSQL, включая все рекомендации CIS. Для сбора необходимой информации нужно запустить лишь одну команду на сервере PostgreSQL — и вы получите отчет. В нем есть сводка статусов и и подробные детали.
👉 А здесь вы найдете пример отчета о безопасности — все упорядочено и наглядно
#devops #db #security #postgresql #database
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM