GCPのIAMを整理し始めています(後編: Just-In-Time Accessを実現する) - Uzabase for Engineers
前回のまとめ jit-accessとは terraformでjit-accessを構築する 1. jit-accessアプリケーション用のサービスアカウントを作成 2. ネットワークリソースの作成 3. cloudrunの作成 4. モジュールの適用 5. IAM Conditionの追加 まとめ 前回のまとめ みなさんこんにちは。ProductTeam SREのkterui9019です。 前回の記事では、無秩序に作られていたIAMの設定を見直し、Googleグループの作成と組織体系に沿ったGCPプロジェクトのフォルダ階層を設計しました。しかし、最小権限の原則に従って設計したため、「障害対応時だけ強い権限をもったIAMロールを使いたい」というニーズを満たすことができませんでした。 今回の後編では、その問題を解決するためにGoogleが公開しているOSSであるjit-accessの紹介と、t
Kubernetes External SecretsからExternal Secrets Operatorに移行した話 〜他ツールとの比較・移行戦略・工夫したポイント〜 - ZOZO TECH BLOG
はじめに こんにちは、SRE部ECプラットフォーム基盤SREブロックの織田です。普段は主にZOZOTOWNのリプレイスやインフラを改善、運用しています。 本記事では、Secret管理コンポーネントであるKubernetes External Secrets(以降、KESと表記)の非推奨を受けて、どのような対応を実施したのか紹介します。 目次 はじめに 目次 なぜSecret管理コンポーネントを利用するのか? Kubernetes External Secrets(KES)について KESとは? KESを使ったKubernetes構成 KESの非推奨について 移行先の選定 優先事項の決定 移行先の検討、比較 移行先の決定 External Secrets Operator(ESO)について ESOのアーキテクチャ 移行における注意点や変更点 移行の実施 移行方法 工夫したポイント 最後に な
nginx向けのWebアプリケーションファイアウォールを試す | さくらのナレッジ
ここで「ゾーン」はリクエスト中で検査対象となった部分を示しており、「ARGS」ならURLに与えられた引数(GETリクエストの引数)を示している(詳しいドキュメント)。また、この例ではidが1000、cscore0がSQL、score0が8となっていることから、IDが「1000」という検出ルールによって「SQL」というスコアが8に設定され、それによってブロックが行われていることが分かる。 NAXSIに対しWAF Testing Frameworkによるテストを実行する さて、続いてはデフォルト設定のNAXSIに対しWAF Testing Frameworkによるテストを実行してみよう。手順としてはnginx+ModSecuriy構成の場合とほぼ同様で、nginx.confにリバースプロクシ設定(「proxy_pass http://localhost:8080/;」)を追加してnginx経由
Azure Cosmos DB の組み込みJupyter Notebook機能に関する脆弱性について
26日(日本だと27日)に「MSのクラウドのデータベースに脆弱性 数千社に通知」みたいなタイトルのニュース記事がロイターからありました。情報不足で正確性にかけるタイトルですが。 より細かい詳細はそのうちでるかも知れませんが現状はこちらを参照。 Update on the vulnerability in the Azure Cosmos DB Jupyter Notebook Feature – Microsoft Security Response Center(MicrosoftのSecurity Response Centerの記事) ChaosDB: How we hacked thousands of Azure customers’ databases | Wiz Blog (脆弱性発見者の記事) 脆弱性の概要 Cosmos DB組み込みのJupyter Notebook機能を
1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成するsyzkallerのテスト自動化技術 - Qiita
はじめに この記事は Linux Advent Calendar 2019 の 23 日目の記事です。 自己紹介 こんにちは。OSSセキュリティ技術の会 の fujiihda です。これまで Linux カーネルを含む OSS に関連する技術調査、技術講演、開発、サポート等を経験してきました。最近では、技術コミュニティを設立する側や運営側に関わらせていただく機会も増えてきました。 本記事で扱うテーマ カーネルのテスト自動化技術として Google の Dmitry Vyukov さんが開発し OSS として公開した syzkaller (読み方:シスコーラー 1 ) というファジングツールについて解説します。2019 年 12 月時点では、内部実装まで踏み込んで調査した日本語の記事は本記事が初となるはずです。 なお、本記事の中身は OSSセキュリティ技術の会 第七回勉強会 の前半の内容 2
攻撃しながら考えるKubernetesのセキュリティ / Considering Kubernetes Security While Attacking
本資料は 2020/9/8 の「CloudNative Days Tokyo 2020」の発表資料です。 ■発表動画 https://event.cloudnativedays.jp/cndt2020/talks/26 ■内容 ・コンテナ全般のセキュリティ ・脆弱な設定のKubernetesに対する攻撃 (アプリの脆弱性をきっかけとした悪意のあるPodの作成、権限昇格、などの攻撃の流れ) ・上記に対する対策 ■書籍以外のReference KubeCon NA 2019 CTF: https://securekubernetes.com/ Kubernetes Security for Microservices:https://speakerdeck.com/rung/kubernetes-security-for-microservices/ Threat matrix for Kub
CVE-2020-10749(Kubernetesの脆弱性)のPoCについての解説 - knqyf263's blog
少し前ですが、Kubernetesの方から以下の脆弱性が公開されました。 github.com タイトルにはCVE-2020-10749と書きましたが、複数のCNI実装が影響を受ける脆弱性でCVE-2020-10749はcontainernetworking/pluginsにアサインされたものです。他にもCalicoはCVE-2020-13597、DockerはCVE-2020-13401、などとそれぞれCVE-IDがアサインされています。 このIssueの説明を読んで、はいはいあれね完全に理解した、と思って一旦閉じました。ですが、頭で分かった気になって手を動かさないのは一番やってはいけないことと念じ続けてきたのに、しれっと同じことをやりそうになっていた事に気づきました。なので数日経ってからちゃんとPoCを書いてみました。多少知識が増えてくるとついうっかりやってしまいがちなので気をつけなけ
Kubernetesにおける秘匿情報の扱い方を考える - inductor's blog
はじめに KubernetesではWebアプリケーションから業務用のワークフロー(バッチ処理とか)に至るまで様々なアプリケーションを動かすことができるが、現実世界において苦労するポイントの1つは、ワークロードに秘匿情報を渡すための方法である。 例えば、アプリケーションの上でデータベースに接続するために必要なエンドポイントの情報やパスワードなどの認証情報は、アプリケーションのソースコードに直接書くことはご法度だし、コンテナ化する際に内包することも原則タブーである。また環境変数として注入する場合でも、その情報が物理ディスクに残ってしまう場合などを考え最新の注意を払う必要がある。 ここではKubernetes上のワークロードに秘匿情報をできるだけ安全にわたすための方法を運用者・開発者の目線で考える。 Kubernetesが持つ外部情報注入の仕組み Kubernetesの場合、アプリケーションに情
Firefoxの話
Shibuya.XSS techtalk #7で発表したスライドです。前日の夜にスライドのデータを飛ばしてしまい、急いで復元を試みたのですが間に合わなかったため未完成のスライドとなっています…。完成版のようなものは、後日ブログで公開をしようと思っています。
米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに
Sandboxed APIでは、サンドボックスを個々のソフトウェアライブラリに実装することが可能で、同APIをベースとするライブラリは簡単に他のプロジェクトに再利用できるという。 米Googleは、社内で使っていたセキュリティ対策プロジェクトの「Sandboxed API」をオープンソースとして公開した。セキュリティ対策のサンドボックスを簡単に実装できるようにすることで、信頼できないコンテンツからシステムを守る対策に役立ててもらう狙い。 Googleによると、例えばユーザーが投稿した画像ファイルなど、外部からのデータには不正なコードが含まれている恐れがあり、そうしたデータをソフトウェアで処理する際に、脆弱(ぜいじゃく)性を悪用されることがある。 この問題を緩和するために使われるのが、隔離された環境の中で信頼できないコンテンツを実行する「サンドボックス」という手段。これにより、たとえリモート
Docker Engine 18.09 から使える Build-time secrets を試してみた | はったりエンジニアの備忘録
Docker Engine 18.09 から Build-time secrets という機能が使えるようになりました。この機能を使えば docker build するときに secrets (API key, credentials, etc) を安全に取り扱えるようになります。 Introducing Docker Engine 18.09 - Docker Blog Integrate secrets in your Dockerfile and pass them along in a safe way. These secrets do not end up stored in the final image nor are they included in the build cache calculations to avoid anyone from using the c
gitなどのSCMのssh URL処理の脆弱性 - てきとうなメモ
Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog ssh://-oProxyCommand=gnome-calculator/watというようなssh URLを処理しようとして、 ssh <ホスト名> ...のような形式で渡すと ssh -oProxyCommand=gnome-calculator ...となって、gnome-calculatorが実行されてしまうという話。 このssh URLを直接gitコマンドの引数として渡すのであればすぐ気付くだろうが、このURLはgit-lfsの.lfsconfigやgit submoduleの.gitmodulesに記述 することができるので、URLを用いてだけではなく、1コミットがこのような内容を含んでいれば攻撃できてしまう。 とはいえ、lfs
コンテナを「守る」仕組みから中身を理解しよう!!1; /how-to-be-a-container
@YAPC::Fukuoka 2017
systemdで複数の不具合が確認される | スラド IT
多くのLinuxディストリビューションで採用されているシステム管理ソフトウェア「systemd」で、複数の不具合が確認されています。1つは、ユーザー名を指定する個所で数字で始まるユーザー名を指定すると、そのユーザーの代わりに「root」が指定されたことになってしまうというもの(MA.TTIAS.BE)。 多くのUNIX系OSでは、ユーザー名にはアルファベット小文字と数字、アンダースコアのみが利用でき、さらに先頭には数字は指定できないとされています。そのため、報告を受けたsystemd開発者のLennart Poettering氏は、「数字で始まるユーザー名が不正なのであってsystemdのバグではない」と主張している。しかし、そのようなユーザー名がuseraddでは問題なく作成できたり、adduserでも設定により作成できると指摘され、氏はこう返答しました。「(1)systemdは色々なシ
明日使えない Linux の capabilities の話 - @nojima's blog
(この記事は KMC アドベントカレンダー 2016 の3日目の記事です) はじめに みなさん以下のようなことで困ったことはないでしょうか? ポート80を listen したいけど特権ポートなので、一般ユーザの権限で動くデーモンでは bind できない。 1024未満のポートは特権ポートと呼ばれ、一般ユーザの権限では bind することはできません。 この問題の解決策を考えてみます。 (なお、長々と説明を書いていますが、結論だけ知りたい人は一番下だけ読んで下さい) root で起動 まず、root であれば特権ポートを自由に bind できるので、root で対象デーモンを起動すれば、特権ポートを bind できます。 しかし、デーモンを root として動作させるのは一般にリスクが大きいです。 もしそのデーモンに脆弱性があった場合、root 権限を悪用される可能性があるわけです。 したが
Nmap 9つの真実
第17回Lucene/Solr勉強会 #SolrJP – Apache Lucene Solrによる形態素解析の課題とN-bestの提案
コンテナイメージをスキャンして脆弱性を検出してくれるオープンソースの「Clair」、バージョン1.0をCoreOSがリリース
コンテナイメージをスキャンして脆弱性を検出してくれるオープンソースの「Clair」、バージョン1.0をCoreOSがリリース Clairは、脆弱性データベースである「Common Vulnerabilites and Exposures(CVE)」やRed Hat、Ubuntu、Debianなどが公開している同様の脆弱性データベースの情報などを基に、コンテナ内のイメージに既知の脆弱性がないかを自動的にスキャンし、脆弱性があった場合にはそれを報告してくれます。 また脆弱性の報告だけでなく、新しいパッチがすでに提供されている場合にはそのことも教えてくれるため、イメージを最新の状態に保つことができます。 Clair 1.0を発表するブログでは、次のようにClairが紹介されています。 Clair helps DevOps teams maintain security by delivering
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CVE-2019-5736 で知った /proc/self/exe の挙動
GitLab as OpenID Connect identity provider | GitLab
公開されているDockerイメージに対する脆弱性調査の結果がリリースされた
