RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:
Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:PrincipalOrgID": "o-012345aabb"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
👍23🔥11
Постквантовая криптография наступает/-ила
Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.
◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber
◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium
◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+
Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:
https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/
Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.
Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дуракиз спецслужб с квантовым компьютером, имеющим достаточное количество кубит, сделает это на лету. И даже если это будет через десяток лет (и даже не один), то проблема в том, что уже сейчас можно записать, чтобы после расшифровать.
Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.
Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:
🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все
Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.
Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.
Полезные ссылки:
https://aws.amazon.com/security/post-quantum-cryptography/
https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved
#PQC #security
Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.
◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber
◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium
◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+
Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:
https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/
Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.
Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дурак
Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.
Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:
🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все
Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.
Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.
Полезные ссылки:
https://aws.amazon.com/security/post-quantum-cryptography/
https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved
#PQC #security
Amazon
AWS post-quantum cryptography migration plan | Amazon Web Services
Amazon Web Services (AWS) is migrating to post-quantum cryptography (PQC). Like other security and compliance features in AWS, we will deliver PQC as part of our shared responsibility model. This means that some PQC features will be transparently enabled…
👍14🔥5🤯4
RCP (Resource control policies) examples:
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
#RCP #security
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
Allow statements in identity-based or resource-based policies.#RCP #security
GitHub
data-perimeter-policy-examples/resource_control_policies at main · aws-samples/data-perimeter-policy-examples
Example policies demonstrating how to implement a data perimeter on AWS. - aws-samples/data-perimeter-policy-examples
👍2🔥1
Стыд и скрам:
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#security
Within minutes, we found a publicly accessible ClickHouse database linked to DeepSeek, completely open and unauthenticated, exposing sensitive data. It was hosted at oauth2callback.deepseek.com:9000 and dev.deepseek.com:9000.
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#security
wiz.io
Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
A publicly accessible database belonging to DeepSeek allowed full control over database operations, including the ability to access internal data. The exposure includes over a million lines of log streams with highly sensitive information.
🤡24🤣2😱1🗿1
Preventing Data Leaks in RAG Pipelines with Bedrock
🔹 Securing the RAG Ingestion Pipeline
https://aws.amazon.com/blogs/security/securing-the-rag-ingestion-pipeline-filtering-mechanisms/
🔹 Hardening the RAG Chatbot Architecture
https://aws.amazon.com/blogs/security/hardening-the-rag-chatbot-architecture-powered-by-amazon-bedrock-blueprint-for-secure-design-and-anti-pattern-migration/
🔹 Building Secure and Scalable RAG Applications with Bedrock
https://aws.amazon.com/blogs/machine-learning/building-scalable-secure-and-reliable-rag-applications-using-amazon-bedrock-knowledge-bases/
#Bedrock #security
🔹 Securing the RAG Ingestion Pipeline
https://aws.amazon.com/blogs/security/securing-the-rag-ingestion-pipeline-filtering-mechanisms/
🔹 Hardening the RAG Chatbot Architecture
https://aws.amazon.com/blogs/security/hardening-the-rag-chatbot-architecture-powered-by-amazon-bedrock-blueprint-for-secure-design-and-anti-pattern-migration/
🔹 Building Secure and Scalable RAG Applications with Bedrock
https://aws.amazon.com/blogs/machine-learning/building-scalable-secure-and-reliable-rag-applications-using-amazon-bedrock-knowledge-bases/
#Bedrock #security
Amazon
Securing the RAG ingestion pipeline: Filtering mechanisms | Amazon Web Services
Retrieval-Augmented Generative (RAG) applications enhance the responses retrieved from large language models (LLMs) by integrating external data such as downloaded files, web scrapings, and user-contributed data pools. This integration improves the models’…
👍3
Comparison of different WAFs
◽️ AWS WAF
◽️ CloudFlare WAF
◽️ Google Cloud Armor
◽️ F5
◽️ Fortinet FortiWeb
◽️ Imperva Cloud WAF
◽️ Microsoft Azure WAF
◽️ NGINX ModSecurity
◽️ open-appsec
https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison
To make it easier to understand, I have added clearer captions to the graph.
#security
◽️ AWS WAF
◽️ CloudFlare WAF
◽️ Google Cloud Armor
◽️ F5
◽️ Fortinet FortiWeb
◽️ Imperva Cloud WAF
◽️ Microsoft Azure WAF
◽️ NGINX ModSecurity
◽️ open-appsec
https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison
To make it easier to understand, I have added clearer captions to the graph.
#security
👍9
AWS Trust Center — single source of truth for security and compliance.
https://aws.amazon.com/trust-center/
Like Amazon Builders' Library but for security.
#security
https://aws.amazon.com/trust-center/
Like Amazon Builders' Library but for security.
#security
🔥5👍3
AWS Notes
Лидер в области безопасности Wiz отклонил предложение продаться Google и идёт на IPO. https://www.theverge.com/2024/7/23/24204198/google-wiz-acquisition-called-off-23-billion-cloud-cybersecurity Очень хорошо, таким гигантам для столь чувствительной ниши…
Google + Wiz
Что не было куплено год назад за 23 миллиарда $, теперь куплено за 32.
https://cloud.google.com/blog/products/identity-security/google-announces-agreement-acquire-wiz
Что ж. Се ля курити.
#security
Что не было куплено год назад за 23 миллиарда $, теперь куплено за 32.
https://cloud.google.com/blog/products/identity-security/google-announces-agreement-acquire-wiz
Что ж. Се ля курити.
#security
Google Cloud Blog
Google announces agreement to acquire Wiz | Google Cloud Blog
Google announces agreement to acquire Wiz. Learn how this acquisition will provide a unified security platform and protect against new threats.
🤩4👌2
IngressNightmare — сразу несколько уязвимостей NGINX Controller for Kubernetes доступом к секретам всего и везде без авторизации:
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
◽️ Кто пострадал — обладатели NGINX Controller версий до 1.12.1/1.11.5. Для устранения нужно срочно обновиться на последнюю версию.
◽️ Кто не пострадал — пользователи EKS:
EKS does not provide or install the ingress-nginx controller and is not affected by these issues.
Официальный отчёт о уязвимости Kubernetes:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
#Kubernetes #security
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
◽️ Кто пострадал — обладатели NGINX Controller версий до 1.12.1/1.11.5. Для устранения нужно срочно обновиться на последнюю версию.
◽️ Кто не пострадал — пользователи EKS:
EKS does not provide or install the ingress-nginx controller and is not affected by these issues.
Официальный отчёт о уязвимости Kubernetes:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
#Kubernetes #security
wiz.io
CVE-2025-1974: The IngressNightmare in Kubernetes | Wiz Blog
Wiz Research uncovered RCE vulnerabilities (CVE-2025-1097, 1098, 24514, 1974) in Ingress NGINX for Kubernetes allowing cluster-wide secret access.
😁5👍2
Multi-party approval — когда нужно реализовать подтверждение на операцию в AWS от нескольких человек:
https://docs.aws.amazon.com/mpa/latest/userguide/
#security #organizations
https://docs.aws.amazon.com/mpa/latest/userguide/
#security #organizations
👍17❤4