Шифрование диска в AWS практически бесполезно и потенциально опасно
По канонам старой школы все данные должны быть зашифрованы. И эта теорема перекочевала в облачные технологии. Однако сложно представить, как кто-то проникнет в центр обработки данных AWS, украдет именно ваши диски с данными, восстановит и проанализирует все секреты вашей компании. При этом само шифрование может вызвать проблемы:
— Если для шифрования базы данных использовался ключ по умолчанию, вы не сможете перенести резервные копии в другую учетную запись AWS.
— Есть риск потерять все данные, если вы удалите ключ к ключу, ведь KMS не предупредит вас, когда вы удаляете ключ шифрования, а он используется.
— Если вы забыли что-то зашифровать, вам придется начать сначала.
Конечно, есть и случаи, когда шифрование помогает. Но это, как говорится, другая история.
Поделитесь в комментариях, кто-нибудь уже терял все данные? :)
#security #aws
@DevOpsKaz
По канонам старой школы все данные должны быть зашифрованы. И эта теорема перекочевала в облачные технологии. Однако сложно представить, как кто-то проникнет в центр обработки данных AWS, украдет именно ваши диски с данными, восстановит и проанализирует все секреты вашей компании. При этом само шифрование может вызвать проблемы:
— Если для шифрования базы данных использовался ключ по умолчанию, вы не сможете перенести резервные копии в другую учетную запись AWS.
— Есть риск потерять все данные, если вы удалите ключ к ключу, ведь KMS не предупредит вас, когда вы удаляете ключ шифрования, а он используется.
— Если вы забыли что-то зашифровать, вам придется начать сначала.
Конечно, есть и случаи, когда шифрование помогает. Но это, как говорится, другая история.
Поделитесь в комментариях, кто-нибудь уже терял все данные? :)
#security #aws
@DevOpsKaz
Mellow Root
Disk encryption in AWS is close to useless and potentially harmful
Old-school compliance requires your data to be encrypted, which is great in case someone steals your disk. This compliance has followed to the cloud e...
😁2
Cамая серьезная брешь в истории менеджера паролей LastPass
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz
👍2
Две новые функции для GitHub Actions
1. DevOps-спецы смогут определять и применять стандартные методы CI/CD во многих репозиториях исходного кода без необходимости настраивать каждый репозиторий по отдельности, что особенно полезно в крупных компаниях.
2. Переменные конфигурации. Раньше нужно было хранить все данные конфигурации в зашифрованном виде, чтобы повторно использовать значения в рабочих процессах. Метод не позволял легко извлекать флаги компилятора, имена пользователей и серверов и т.д. Теперь вы можете определить переменные на уровне организации, репозитория или среды в зависимости от ваших требований.
#devops #cicd #githubactions #security #secops
@DevOpsKaz
1. DevOps-спецы смогут определять и применять стандартные методы CI/CD во многих репозиториях исходного кода без необходимости настраивать каждый репозиторий по отдельности, что особенно полезно в крупных компаниях.
2. Переменные конфигурации. Раньше нужно было хранить все данные конфигурации в зашифрованном виде, чтобы повторно использовать значения в рабочих процессах. Метод не позволял легко извлекать флаги компилятора, имена пользователей и серверов и т.д. Теперь вы можете определить переменные на уровне организации, репозитория или среды в зависимости от ваших требований.
#devops #cicd #githubactions #security #secops
@DevOpsKaz
👍2⚡1🎉1
Новинки DevOps-приложений с конфы Cloud Native Computing Foundation
— NeuVector — решение для обеспечения безопасности с открытым исходным кодом для Kubernetes. У него есть интерфейс, поэтому можно выполнять операции через него. Также можно экспортировать все правила в пользовательские определения и применять в любом другом кластере. Очевидно, что получится настроить NeuVector и через YAML.
— Tetragon — ещё один инструмент наблюдения и безопасности, основанный на eBPF. Он не выполняет сканирование CVE, как NeuVector, но обеспечивает видимость в реальном времени и соблюдение правил. Без интерфейса.
— Cilium Service Mesh — поможет, если вам нужна сервисная сетка. Также основан на eBPF. Хороший и более простой аналог Istio.
— Cilium Cluster Mesh — многообещающее решение для IP-маршрутизации Pod между несколькими кластерами, прозрачного обнаружения сервисов с помощью стандартных средств Kubernetes и шифрования для связи узлов в локальном кластере.
#Kubernetes #security #networking
@DevOpsKaz
— NeuVector — решение для обеспечения безопасности с открытым исходным кодом для Kubernetes. У него есть интерфейс, поэтому можно выполнять операции через него. Также можно экспортировать все правила в пользовательские определения и применять в любом другом кластере. Очевидно, что получится настроить NeuVector и через YAML.
— Tetragon — ещё один инструмент наблюдения и безопасности, основанный на eBPF. Он не выполняет сканирование CVE, как NeuVector, но обеспечивает видимость в реальном времени и соблюдение правил. Без интерфейса.
— Cilium Service Mesh — поможет, если вам нужна сервисная сетка. Также основан на eBPF. Хороший и более простой аналог Istio.
— Cilium Cluster Mesh — многообещающее решение для IP-маршрутизации Pod между несколькими кластерами, прозрачного обнаружения сервисов с помощью стандартных средств Kubernetes и шифрования для связи узлов в локальном кластере.
#Kubernetes #security #networking
@DevOpsKaz
👍4🔥2👏1
Привезли вам практическое руководство по усилению защиты Linux, а то всё Kubernetes, да AWS 😄
В документе вы найдете пошаговые инструкции по созданию собственных защищенных систем и служб. Это не официальный стандарт или справочник, но он затрагивает отраслевые стандарты.
#linux #devops #security
@DevOpsKaz
В документе вы найдете пошаговые инструкции по созданию собственных защищенных систем и служб. Это не официальный стандарт или справочник, но он затрагивает отраслевые стандарты.
#linux #devops #security
@DevOpsKaz
👍8🔥2❤1
Приглашаем на AWS Security Day 16 июня в Алматы!
Это мероприятие по вопросам безопасности в инфраструктуре AWS. Эксперты поделятся своим опытом и знаниями о лучших практиках и инструментах для защиты инфраструктуры и приложений в облаке AWS.
Участники узнают о новейших технологиях и решениях безопасности и получат практические советы по настройке своих приложений в облаке AWS и локально на AWS Outposts.
#aws #security #devops #devsecops
@DevOpsKaz
Это мероприятие по вопросам безопасности в инфраструктуре AWS. Эксперты поделятся своим опытом и знаниями о лучших практиках и инструментах для защиты инфраструктуры и приложений в облаке AWS.
Участники узнают о новейших технологиях и решениях безопасности и получат практические советы по настройке своих приложений в облаке AWS и локально на AWS Outposts.
#aws #security #devops #devsecops
@DevOpsKaz
🔥5👍3⚡1
PGDSAT — инструмент, который проверяет 70 элементов управления в кластерах PostgreSQL, включая все рекомендации CIS. Для сбора необходимой информации нужно запустить лишь одну команду на сервере PostgreSQL — и вы получите отчет. В нем есть сводка статусов и и подробные детали.
👉 А здесь вы найдете пример отчета о безопасности — все упорядочено и наглядно
#devops #db #security #postgresql #database
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4❤3⚡2
Linux Foundation проводит акцию и дарит скидки — и мы не могли об этом умолчать
Скидки действуют на:
— CKS, KCSA
— Kubernetes Security Essentials (LFS260)
— Modern Air Gap Software Delivery (LFS281)
— Mastering Infrastructure Security (SKF200)
— и другие (всего 27 предложений)
Используйте промокоды:
OCT24CYBER, чтобы сэкономить 40% на курсах и сертификациях по кибербезопасностиOCT24, чтобы сэкономить 30% на всех других курсах и сертификациях#security #kubernetes #training #course
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤4👍4⚡3