🤓 Защита сетей. Подход на основе анализа данных

Практическое руководство по использованию инструментов обеспечения сетевой безопасности на базе анализа данных.

🔎 Издание охватывает:
— процессы сбора и организации данных,
— инструменты анализа,
— аналитические сценарии и методики.

Подходит для специалистов по информационной и операционной безопасности, системных администраторов, а также всех, кто работает с данными и владеет навыками написания скриптов.

Автор:
Майкл Коллинз
Перевод с английского: А.В. Добровольская
Издательство: ДМК Пресс, 2020

#книги

Как настроить basicAuth в Traefik

Разбираемся, как правильно создать секрет в Kubernetes и не споткнуться.

➡️ data vs stringData

— data: Данные нужно кодировать в base64 вручную. Например, для логина admin и пароля supersecret:

echo 'admin:supersecret' | base64

apiVersion: v1
  kind: Secret
  metadata:
    name: my-auth-secret
    namespace: default
  data:
    users: YWRtaW46c3VwZXJzZWNyZXQK

— stringData: Пишем в обычном тексте, Kubernetes сам закодирует в base64:

apiVersion: v1
  kind: Secret
  metadata:
    name: my-auth-secret
    namespace: default
  stringData:
    users: admin:supersecret

🤔 Подвох с Traefik

Traefik для basicAuth требует пароль, хэшированный в формате htpasswd. Обычный текст не подойдёт.

Генерим хэш:

htpasswd -nb admin supersecret
# admin:$apr1$2a9XgJ3z$4oD.3Y3z9x9z9z9z9z9z9z

Кодируем в base64 для data:

echo -n 'admin:$apr1$2a9XgJ3z$4oD.3Y3z9x9z9z9z9z9z9z' | base64
# YWRtaW46JGFwcjEkMmE5WGdKM3okNE9ELjNZM3o5eDl6OXo5ejo5ejk5eg==

Секрет для Traefik:

apiVersion: v1
kind: Secret
metadata:
  name: traefik-auth-secret
  namespace: default
data:
  users: YWRtaW46JGFwcjEkMmE5WGdKM3okNE9ELjNZM3o5eDl6OXo5ejo5ejk5eg==

Или с stringData:

apiVersion: v1
kind: Secret
metadata:
  name: traefik-auth-secret
  namespace: default
stringData:
  users: admin:$apr1$2a9XgJ3z$4oD.3Y3z9x9z9z9z9z9z9z

Подключаем к middleware:

kind: Middleware
metadata:
  name: auth
  namespace: default
spec:
  basicAuth:
    secret: traefik-auth-secret

stringData упрощает процесс, но не забывайте хэшировать пароль через htpasswd для basicAuth.

#заметкиИнженера

👏 Тревожность и прокрастинация: порочный круг

Часть 1. Главный триггер откладывания дел

😱 Тревожность — встроенный «антивирус», который без запроса юзера сканирует всё будущее на баги. Только работает он шумно, жрёт ресурсы, и у него нет кнопки «отключить».

Это не просто «волнение», а системная реакция организма на неопределённость и потенциальную угрозу. Причём угроза не всегда реальна — достаточно просто подумать, что «что-то может пойти не так».

🔴Типовые сигналы:

⏺Физиология: сжимается живот, учащается дыхание, напряжение в теле.
⏺Мысли: «а вдруг не получится?», «меня засмеют», «что, если я облажаюсь?»
⏺Поведение: откладывание задач, раздражительность, бесцельный скроллинг.
⏺Настроение: чувство застревания, усталость от себя.

⚠️ Важно: тревожность != слабость
Это эволюционный механизм. Просто иногда он включается там, где не надо — например, перед важным созвоном или отправкой отчета.

🧠 Что происходит в мозге при тревоге?

Когда мозг замечает потенциальную угрозу (сложную задачу), он запускает цепочку реакций:

💬 Амигдала — наш внутренний детектор опасности — говорит: «СТОП. Это может быть опасно. Отойди от клавиатуры.»

💬 Гипоталамус включает стресс-режим: повышается кортизол, сужается внимание, тело готовится к режиму «бей или беги».

💬 Префронтальная кора, отвечающая за волю, стратегию и логику, буквально отключается.

В этот момент ты — не продвинутый senior, а маленький тревожный зайчик 🐰

⌛️ Самодиагностика(ответь на вопросы):

— Ты думаешь о задаче, но не делаешь её?
— Откладываешь до момента, когда «всё горит»?
— Начинаешь с «надо бы», а заканчиваешь просмотром рилсов, сортировкой иконок на рабочем столе и поиском идеального шрифта в VSCode?
— Критикуешь себя за неэффективность?

Если выпало 2 из 3 — скорее всего, ты в тревожном цикле.

😠 Где здесь прокрастинация?

Цепочка проста.
➡️Тревожность заставляет избегать.
➡️Задача — источник тревоги.
➡️Значит, надо НЕ делать задачу.

Мозг обманывает благими намерениями:
«Сейчас я не в ресурсе, потом сделаю лучше»
«Сначала кофе, потом хакну всё за раз»

В результате ты выбираешь безопасный скроллинг, кофе, сон — лишь бы не сталкиваться с тревогой.
В долгосрочной перспективе это и есть начало прокрастинации.

😨 Прокрастинация — это не проблема тайм-менеджмента. Это проблема регуляции тревожности.

Почему откладывание так эффективно «успокаивает», и как наш мозг так ловко нас байтит — читаем во второй части.

#MentalDebug

🔄 Notary — open-source проект для обеспечения доверия к данным и артефактам в контейнерных экосистемах, основанный на The Update Framework (TUF).

Позволяет подписывать и проверять контейнеры, образы и другие артефакты, обеспечивая их целостность и подлинность. Широко используется в Docker Content Trust (DCT) и подходит для защиты цепочек поставок ПО.

👀 Ключевые особенности:
— Поддержка TUF для защиты от компрометации ключей и атак повторного воспроизведения.
— Гибкая делегация подписей: позволяет распределять доверие между несколькими участниками.
— Поддержка Notary v2 (Notation) для улучшенной интеграции с OCI-реестрами.
— Защита от устаревших данных с помощью временных меток (timestamping).
— Интеграция с Docker и Kubernetes для проверки подписей в CI/CD.

Notary помогает DevOps и SecOps командам выстраивать безопасные процессы обновления и распространения ПО.

👉 Git
#полезное

😶‍🌫️ 100% облачность...

По данным исследования Apple Hills Digital, рынок облачных технологий в России в 2024 году оценивался примерно в 392 миллиарда рублей. К 2029 году он может вырасти больше чем в два раза — до 801 миллиарда рублей, со средним ростом около 21 % в год.

Больше всего растут IaaS-сервисы. Особенно популярны серверы с GPU, которые используют для задач искусственного интеллекта.

А вот другой сегмент — платформенные решения (PaaS), которые помогают запускать и разрабатывать приложения в облаке, — в России пока занимает только 9 % рынка, в то время как во всём мире эта доля в среднем в два раза выше.

…Рынок растёт, технологий становится больше, а вместе с ними — и вариантов для бизнеса.

☁️ Какое облако выбрать:
— Публичное, частное или гибридное?
— Чем они вообще отличаются?
— И правда ли, что чувствительные данные лучше хранить «у себя»?

Чтобы разобраться в этом без лишней теории, собрали подборку простых и полезных материалов.

➡️ Облако или свой сервер – где лучше спрятать чувствительные данные
➡️ Публичное, частное, гибридное облако – в чем разница и какое подходит бизнесу?
➡️ Всё о публичном облаке за 10 минут
➡️ Частное облако за 10 минут
➡️ Типичные ошибки при миграции в облако

💻 Zadig
— open-source DevOps-платформа для быстрого и одновременного развертывания микросервисов в Kubernetes

🔵 Автоматизация CI/CD
🔵 Изолированные среды (dev/test/prod)
🔵 Параллельные пайплайны
🔵 Интеграция с Git, Docker, Helm, K8s
🔵 Шаблоны для сборки и деплоя
🔵 AI-помощник для диагностики

👉 Git
#полезное

⌨️ Джун и CI/CD пайплайн

P.S. хороших выходных 👌
video: by Котизм

✉️ Дорожная карта перехода на отечественное ПО
Правительство России утвердило дорожную карту с мерами по переходу ключевых отраслей на отечественное программное обеспечение, включая стандарты, платформу обмена данными, консорциум для ERP‑систем и налоговые стимулы.

✉️ Закон о платформенной экономике
Госдума внесла на рассмотрение законопроект о платформенной экономике, который устанавливает равный и недискриминационный доступ к цифровым платформам, регулирует права пользователей и операторов и планируется вступить в силу с 1 марта 2027 года

✉️ ЭДО — ключевой элемент сквозной цифровизации бизнеса и госструктур, направленный на ускорение процессов, снижение затрат и переход к гибким форматам работы. Часть 1.

✉️ ЭДО часть 2

💎 Sigstore
— open-source решение для безопасной подписи и проверки программных артефактов, таких как образы контейнеров, бинарники и SBOM.

Упрощает процесс подписи благодаря keyless-подходу и публичному журналу прозрачности. Поддерживается OpenSSF и используется для защиты цепочек поставок ПО.

🟣Основной функционал:
— Keyless-подпись через Fulcio: использует OIDC для выдачи краткосрочных сертификатов.
— Прозрачность с Rekor: неизменяемый лог для аудита подписей.
— Cosign для подписи и проверки артефактов (контейнеры, Helm-чарты, файлы).
— Поддержка CI/CD-интеграций (GitHub Actions, Tekton).
— Бесплатный публичный сервис для open-source проектов.

Sigstore делает подпись ПО удобной и безопасной, устраняя сложности управления ключами.

👉 Git
#полезное

🛡 Как не стать лёгкой мишенью для хакеров в Kubernetes

Недавно в блоге CNCF вышла статья, которая разбирает типичные ошибки в настройке K8s, открывающие двери для атак.

❕Что не так с безопасностью

➡️Слабый RBAC
Частая ошибка — раздача избыточных прав, вроде cluster-admin, сервисным аккаунтам или пользователям. Это как оставить ключи от сервера в открытом доступе.
➡️Открытая сеть
По умолчанию поды в K8s свободно общаются между собой. Без строгих сетевых политик (Network Policies) злоумышленник может легко перемещаться по кластеру.
➡️Незащищённые образы
Использование не подписанных или устаревших контейнерных образов увеличивает риск уязвимостей.

Как исправить?

➡️ RBAC с минимальными правами
Настраивайте политики по принципу наименьших привилегий. Используйте deny-all как базу и добавляйте только необходимые доступы.
➡️ Сегментация сети
Внедряйте Network Policies для ограничения трафика между подами. Это как поставить замки на внутренние двери.
➡️ Подпись и проверка образов
Используйте инструменты вроде Notary или Sigstore для проверки целостности контейнеров.

Регулярно обновляйте Kubernetes и используйте инструменты вроде kube-bench или kube-scan для аудита конфигураций.
Это поможет выявить слабые места до того, как ими воспользуются злоумышленники.

➡️ Подробности и примеры в статье

#заметкиИнженера

🤓 Docker. Вводный курс

Инструментарий Docker и применение контейнеров для развёртывания программного обеспечения.

🔎 Рассматриваются:
— интеграция Docker и контейнеров Linux с облачными сервисами и Kubernetes,
— методы сборки и администрирования образов по стандарту OCI,
— настройка, тестирование, оркестрация и обеспечение безопасности контейнеров,
— инструменты конфигурирования Docker через командную строку.

👀 Особое внимание уделено:
— инструменту BuildKit,
— поддержке мультиархитектурных образов,
— работе в режиме rootless.

Для разработчиков, системных администраторов, архитекторов и технических специалистов.

Авторы:
Ш. П. Кейн, К. Маттиас
Перевод с английского
Издательство: АЛИСТ, Астана, 2024

#полезное #книги

💡 Кейс: миграция в частное облако без остановки сервиса

Энергетика это не просто провода и подстанции — сегодня это терабайты данных, «умные» счётчики и системы, которые должны работать точно и быстро, особенно когда на кону — свет в каждом доме.

Крупный поставщик электроэнергии с 2 млн домохозяйств и 50 000 юрлиц, купив филиал в Новосибирске, столкнулся с устаревшей ИТ‑инфраструктурой в стороннем ЦОДе и физической удалённостью от Москвы.

❕ В моменте нужно было решить три ключевые задачи:

🟡Обеспечить беспрерывность работы филиала:
миграция должна пройти без простоев, чтобы сохранить работу критичных бизнес-сервисов и не затронуть потребителей.

🟡Построить новую ИТ-инфраструктуру на удалённой площадке:
учесть физическую удалённость от головного офиса, разработать архитектуру, развернуть облако, настроить AD, сервисы, защиту и резервное копирование.

🟡Интегрировать филиал в общую корпоративную систему:
обеспечить связь с московской ИТ-средой, синхронизацию пользователей и сервисов, совместимость с действующими политиками и технологиями.

«До сотрудничества с CORTEL мы рассматривали разные сценарии миграции, но из-за технических ограничений и удалённости офиса в Москве ни один не подходил. Постепенный перенос вызывал бы задержки, а одномоментный — остановку бизнес-процессов».
— ИТ-директор заказчика

Было предложено развернуть новое частное облако прямо в Новосибирске и мигрировать в него все сервисы за 2 дня — с нуля, но без остановки работы. Это позволило избежать и задержек при подключении к московской инфраструктуре, и риска простоев.

✅ Что сделали:

— Подготовили и согласовали архитектуру новой среды под задачи филиала.
— Развернули частное облако в новосибирском ЦОДе CORTEL.
— Настроили новый доменный лес Active Directory, VDI, резервное копирование и необходимые сервисы.
— Обеспечили защищённую и стабильную связь между Новосибирском и Москвой.
— Провели «мягкую» миграцию без потерь и остановок.
— Взяли на себя сопровождение и техническую поддержку после запуска.

Обновлённая архитектура закрыла все задачи: филиал продолжил работать без пауз, пользователи получили стабильный доступ к сервисам, а инфраструктура стала гибкой и масштабируемой.

В полном кейсе можно посмотреть схемы решения.

#изПрактики

🛠 Шпаргалка по видам тестирования систем

#полезное

🖥 GitHub-подборка инструментов для работы с LLM и данными

🟣DeepSeek-Coder
— мощная языковая модель для генерации и автодополнения кода, оптимизированная для программирования на множестве языков.

🟣OmniParser
— платформа для обработки любых данных, от документов до мультимедиа, с преобразованием в структурированный формат для ИИ-приложений.

🟣Ollama
— инструмент для локального запуска и управления большими языковыми моделями с поддержкой кастомизации и API.

🟣AnythingLLM
— универсальное приложение для работы с документами через ИИ, с поддержкой локальных и облачных LLM и многопользовательским режимом.

🟣Crawl4AI
— быстрый веб-краулер с открытым кодом, оптимизированный для подготовки данных для языковых моделей и ИИ-агентов.

#полезное

🖥 The Art of Command Line
— краткая шпаргалка по Linux/Unix-командам.

Конспект собирает практичные команды и советы для Linux/Unix-терминала: от базовых операций с файлами и потоками до сетевой диагностики, производительности, однострочных решений и продвинутой отладки, дополняя их ссылками на полезные утилиты и разделами для macOS и Windows-подсистемы.

#полезное

🤓 GitLab — open-source платформа для управления жизненным циклом разработки ПО, объединяющая репозитории, CI/CD, мониторинг и управление проектами.

Позволяет командам разрабатывать, тестировать, деплоить и мониторить приложения в единой среде. Подходит для команд любого размера, от стартапов до корпораций.

🟡 Ключевые особенности:
— Управление репозиториями с поддержкой Git, включая ветки, merge requests и code review.
— Встроенный CI/CD-пайплайн для автоматизации тестирования и деплоя.
— Интеграция с Kubernetes для управления контейнерами.
— Мониторинг и аналитика: встроенные метрики, логи, дашборды и управление инцидентами.
— Безопасность: встроенные SAST, DAST и сканирование зависимостей.

#полезное

🔑 Ключница сисадмина
P.S. хороших выходных 👌

✉️ Стимулирование перехода российских предприятий и организаций ключевых отраслей экономики на отечественное ПО.

✉️ До конца 2025 года АНО «Цифровая экономика» совместно с Минцифры завершит разработку формата «10 проблем + 10 рисков + 10 возможностей».

✉️ Поддержка строительства дата-центров с российским оборудованием — власти обсуждают возможность компенсации части расходов и налоговые льготы, чтобы успеть за растущими потребностями ИИ.

✉️ Перебои в работе СБП были вызваны комплексом факторов — от хакерских атак и скрытого саботажа через западное оборудование до случайных ошибок персонала.

✉️ ЭДО как элемент сквозной цифровизации. Часть III

🤓 GitLab Runner
— open-source агент для выполнения заданий CI/CD в GitLab.

Работает как исполнитель пайплайнов, запуская задачи (build, test, deploy) на локальных машинах, в контейнерах или облаках. Подходит для автоматизации процессов сборки и деплоя в любой инфраструктуре.

⚙️ Основной функционал:
— Поддержка разных исполнителей: Docker, Kubernetes, SSH, shell и др.
— Параллельное выполнение заданий для ускорения пайплайнов.
— Гибкая настройка через YAML (.gitlab-ci.yml) для определения этапов CI/CD.
— Автомасштабирование с поддержкой Kubernetes и облачных провайдеров.
— Кэширование зависимостей для ускорения сборок.

👍 GitLab Runner делает CI/CD-пайплайны гибкими и масштабируемыми, упрощая автоматизацию разработки.

#полезное

💻 Лимиты ресурсов в Kubernetes и урок от GitLab Runner

Правильная настройка лимитов ресурсов в Kubernetes способствует стабильной работе кластера. Без нее поды могут "съесть" все ресурсы ноды, вызвав сбои. Недавно мы столкнулись с такой ситуацией.

GitLab Runner без лимитов уронил ноду.

Мы использовали GitLab Runner с Kubernetes executor для CI/CD. Один из тестов в пайплайне имел утечку памяти, и под, где он выполнялся, начал бесконтрольно потреблять ресурсы. В итоге нода кластера "упала" из-за Out-Of-Memory (OOM).

Причина?
Отсутствие лимитов на поды GitLab Runner.

Решение: добавили limits и requests в конфигурацию gitlab

[[runners]]
  ....
  executor = "kubernetes"
  [runners.kubernetes]
   ...
    memory_limit = "4Gi"
    memory_request = "2Gi"

Это ограничило потребление ресурсов, защитив ноду от перегрузки.

Зачем нужны лимиты в Kubernetes?

— Requests:
Указывают минимальные ресурсы, необходимые поду. Kubernetes использует их для планирования, выбирая подходящую ноду.
— Limits:
Задают верхнюю границу потребления CPU и памяти. Если под превышает лимит, Kubernetes может его "убить" (OOM для памяти) или ограничить (CPU throttling).
— Без лимитов поды могут монополизировать ресурсы, вызывая сбои, как в нашем случае.

Какие выводы:
Задавайте limits и requests для подов, особенно для GitLab Runner с Kubernetes executor. Это спасёт кластер от OOM и обеспечит стабильность.

#заметкиИнженера

📥 Документация по персональным данным: вопрос-ответ

«А точно нужно перечислять ВСЕХ контрагентов, которым передаём данные? Вот точно-точно?»

– 4 раза спросили Веронику Нечаеву.

Да, точно.

Ответы с разъяснениями на это и ещё 18 «точно» –

👉 уже в новом материале