В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Istio_ru

353 membersпожаловаться на группу
2021 July 16

n

nothing nickname in Istio_ru
ну условно я придумал такие вектора атак:

можно своровать токен пода и заказывать сертификаты от лица пода (прикидываться этим подом)

можно похакать api k8s и нафармить себе сколько угодно токенов от какого угодно пода

самое примитивное: украсть корневой сертификат control plane
источник
17:54пожаловаться#1

n

nothing nickname in Istio_ru
в плане обойти его ограничения
источник
17:57пожаловаться#2

VA

Vladimir Andryushin in Istio_ru
И толку от этого токена? Он в апи даже не сходит, прав то фиг, если спецом не дать
источник
17:57пожаловаться#3

VA

Vladimir Andryushin in Istio_ru
А толку от корневого? Если нету приватного
источник
17:58пожаловаться#4

VA

Vladimir Andryushin in Istio_ru
Корневой и так паблик и это норм
источник
17:58пожаловаться#5

n

nothing nickname in Istio_ru
условно если атакующий попадет в такой удачный под где токену будут выданы такие привилегии
источник
18:03пожаловаться#6

VA

Vladimir Andryushin in Istio_ru
Не монтируй токен в под. Опция в деплойменте
источник
18:03пожаловаться#7

SV

Sergey Volchkov in Istio_ru
Похоже на шоу экстрасенсов ))
источник
19:43пожаловаться#8

tE

t E in Istio_ru
если злоумышленник попал в кубер — это же уже проблема не Istio))
источник
19:45пожаловаться#9

tE

t E in Istio_ru
ну имеется ввиду скорее всего абузить будут не аписервер куба, а продуктовую апишку внутри кластера на вызов DELETE, PUT операций)
источник
19:47пожаловаться#10

tE

t E in Istio_ru
если ты в под попадешь и напишешь env — в подарок еще весь сервис дискавери как на ладони увидишь)

в данном случае, немного поофтоплю, можно брать distroless контейнеры
источник
19:48пожаловаться#11

tE

t E in Istio_ru
тоже задумываюсь о подобном ресерче безопасности для себя, но вектор (точку входа) рассматриваю только loadbalancer

но допустим находишься в поде, если безопасность продумана, там будет не правило:
svcA.default.svc.cluster.local can interract with svcB.default.svc.cluster.local
скорее всего тебя будет редиректить на сервер авторизации :)
и все равно DELETE апишки не заэкзекьютишь
источник
19:51пожаловаться#12

tE

t E in Istio_ru
но так в России наверное только процентов 5-10% делают)))
всмысле AuthorizationPolicy для апишек
источник
19:55пожаловаться#13

VA

Vladimir Andryushin in Istio_ru
Env отрубается в плане дискаверинга через опцию депломента
источник
20:07пожаловаться#14
2021 July 17

n

nothing nickname in Istio_ru
ну а так может у кого есть идеи векторов атак на истио?
источник
16:59пожаловаться#15

n

nothing nickname in Istio_ru
меня конкретно интересует безопасность истио, потому что про куб довольно много материалов и идей
источник
17:00пожаловаться#16

n

nothing nickname in Istio_ru
https://doc.crds.dev/github.com/istio/istio

и что скажете про Custom Resources?
doc.crds.dev
istio/istio
Automatic documentation for your CustomResourceDefinitions.
источник
17:04пожаловаться#17

n

nothing nickname in Istio_ru
исходное состояние: мы попали в под , который контролируется истио и можем запускать там свой код
источник
17:05пожаловаться#18
2021 July 18

n

nothing nickname in Istio_ru
а как
источник
14:30пожаловаться#19

VA

Vladimir Andryushin in Istio_ru
гугли по enableServiceLinks
источник
14:36пожаловаться#20