AA
Где-то был хороший репозиторий с набором годных настроек политик калико, но чет не нагуглил сходу ¯\_(ツ)_/¯
Настоящие безопасники тут рядом, в @devsecops_ru , но вопрос, работали ли они с кубером 😂
(Шутка, такие точно существуют)))
Size: a a a
2020 September 06
V
a
Набор джентельмена:
- спрятать от интернета, выход в мир только через проксию с вайтлистами
- оградить каликовскими фаеролами
- внутри кластера закрыть все каликовскими политиками
- прогнать kube-hunter https://github.com/aquasecurity/kube-hunter чтобы убедиться что какую-нибудь базовую глупость не оставил открытой/включенной
Есть еще kube-bench https://github.com/aquasecurity/kube-bench но вот его уже сам руками не трогал, ничего не скажу.
P.S. я не настоящий безопасник, это просто мои представления о базовой гигиене
- спрятать от интернета, выход в мир только через проксию с вайтлистами
- оградить каликовскими фаеролами
- внутри кластера закрыть все каликовскими политиками
- прогнать kube-hunter https://github.com/aquasecurity/kube-hunter чтобы убедиться что какую-нибудь базовую глупость не оставил открытой/включенной
Есть еще kube-bench https://github.com/aquasecurity/kube-bench но вот его уже сам руками не трогал, ничего не скажу.
P.S. я не настоящий безопасник, это просто мои представления о базовой гигиене
kube-hunter на первый взгляд выглядит интересно, спасибо
.
Можно ещё утилитой от CIS прогнать, но она в режиме комплаенса по их бенчмарку гоняет
2020 September 07
p
Набор джентельмена:
- спрятать от интернета, выход в мир только через проксию с вайтлистами
- оградить каликовскими фаеролами
- внутри кластера закрыть все каликовскими политиками
- прогнать kube-hunter https://github.com/aquasecurity/kube-hunter чтобы убедиться что какую-нибудь базовую глупость не оставил открытой/включенной
Есть еще kube-bench https://github.com/aquasecurity/kube-bench но вот его уже сам руками не трогал, ничего не скажу.
P.S. я не настоящий безопасник, это просто мои представления о базовой гигиене
- спрятать от интернета, выход в мир только через проксию с вайтлистами
- оградить каликовскими фаеролами
- внутри кластера закрыть все каликовскими политиками
- прогнать kube-hunter https://github.com/aquasecurity/kube-hunter чтобы убедиться что какую-нибудь базовую глупость не оставил открытой/включенной
Есть еще kube-bench https://github.com/aquasecurity/kube-bench но вот его уже сам руками не трогал, ничего не скажу.
P.S. я не настоящий безопасник, это просто мои представления о базовой гигиене
обе эти штуки довольно бесплезные.
Лучше взять что то типа polaris или rego (opa) посидеть, почитать, и нахерячить своих тестов \ бордов
Лучше взять что то типа polaris или rego (opa) посидеть, почитать, и нахерячить своих тестов \ бордов
p
бесполезные в том смысле что они проверяют очень базовые кейсы
p
и еще у бенча проблема что он ожидает что ты кластер контролируешь целиком, а есть же истории с тем что контроллеры не у тебя а сервис провайдером обсулживаются.
2020 September 08
А
Ребята, рекомендую бота для проверки открытых ресурсов (ip адрес, url) проверяет ресурсы и отправляет сообщение, если ресурс недоступен или на нем ошибка):
@ResourceMonitor_bot
https://t.me/ResourceMonitor_bot
@ResourceMonitor_bot
https://t.me/ResourceMonitor_bot
V
Ребята, рекомендую бота для проверки открытых ресурсов (ip адрес, url) проверяет ресурсы и отправляет сообщение, если ресурс недоступен или на нем ошибка):
@ResourceMonitor_bot
https://t.me/ResourceMonitor_bot
@ResourceMonitor_bot
https://t.me/ResourceMonitor_bot
В каком кейсе это нужно? И откуда осуществляется проверка? Пока выглядит как спам)
ML
не работает, добавляю url а он его сразу удаляет
А
В каком кейсе это нужно? И откуда осуществляется проверка? Пока выглядит как спам)
Можно использовать, если нужен постоянный контроль за доступностью любого открытого ресурса. Будь то удаленный сервер с белым ip адресом или сайт.
А
не работает, добавляю url а он его сразу удаляет
параметры ввода: www.site.ru
ML
я вводил без www
А
В каком кейсе это нужно? И откуда осуществляется проверка? Пока выглядит как спам)
Проверка с удаленного сервера, на котором развернут бот
ML
у меня его нет
ML
без www не вводится, вы же в курсе что есть сайты без www ?
А
у меня его нет
в каком формате вводил?
ML
site.ruА
добавь www.
ML
у меня нет www