Introdução à Segurança de Containers

•Transferir como PPTX, PDF•

0 gostou•97 visualizações

O documento discute introdução à segurança de containers, abordando tópicos como Dockerfile, imagens, variáveis de ambiente, escolha de imagens base seguras, soluções de varredura de vulnerabilidades, orquestradores como Kubernetes e suas configurações padrão inseguras, e opções para melhorar a segurança de ambientes containerizados.

Tecnologia

Alexandre Sieira
• Empreendedor em segurança de informação
• Fundador da Tenchi Security
• Gerente do time de Product Management de
todos os serviços de detecção do MSS da
Verizon
• Co-Fundador e CTO da Niddel
• Co-Fundador e Principal do MLSec Project
• Co-Fundador e CTO da CIPHER

• Dockerfile é parte do código;
• Imagem base especificada no FROM
que vem de um registry;
• Especificação de pacotes e
configuração do “sistema
operacional”;
• Cópia de arquivos de código,
configuração e ou dados;
• Segredos e configurações em
variáveis de environment;
• Roda como root por default
(https://engineering.bitnami.com/articles/why-non-root-
containers-are-important-for-security.html)

https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/

https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability
https://docs.docker.com/engine/security/https/

https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Soluções de CI/CD e
repositórios de imagens
são concentradores de
risco!

https://www.kennasecurity.com/blog/one-fifth-of-the-most-used-docker-containers-have-at-least-one-critical-vulnerability/

https://vulnerablecontainers.org/
Escolher boas imagens como base faz muita diferença…

Trivy: (https://github.com/aquasecurity/trivy)

https://github.com/mlsecproject/gglsbl-rest

https://aws.amazon.com/about-aws/whats-new/2019/10/announcing-image-scanning-for-amazon-ecr/

https://cloud.google.com/container-registry/pricing

https://docs.microsoft.com/en-us/azure/security-center/container-security

• Kubernetes é o padrão de
mercado.
• Especificação em arquivos
YAML.
• Inseguro por default, segurança
vêm melhorando aos poucos.
• Complexo de operar.

https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
Orquestradores
representam
uma superfície
de ataque
bastante
importante.

A Pod Security Policy is a
cluster-level resource that
controls security sensitive
aspects of the pod
specification.
The PodSecurityPolicy objects
define a set of conditions
that a pod must run with in
order to be accepted into the
system, as well as defaults for
the related fields. They allow
an administrator to control
the following:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/

https://github.com/aquasecurity/kube-bench
Variedade de soluções open
source e comerciais (CWPP)
disponíveis para implementar
segurança para ambientes
containerizados.

The Path Less Traveled: Abusing Kubernetes Defaults
Black Hat 2019
https://youtu.be/HmoVSmTIOxM
Ian Coldwater (@IanColdwater) e Duffie Cooley (@mauilion)

Mais conteúdo relacionado

Semelhante a Introdução à Segurança de Containers

Nesta apresentação são abordados cenários comuns em que a utilização de containers Docker pode expor novos tipos de problemas de segurança, que talvez você não tenha considerado, algumas ferramentas de análise e hacking, assim como dicas que você pode usar para garantir que não deixe as portas abertas quando você implantar em produção. Palestra de Fernando Silva, apresentada no Tchelinux Bento Gonçalves 2017. * Link original do autor: https://speakerdeck.com/fernandodebrando/analise-de-seguranca-e-hacking-de-containers-docker * Link do perfil do autor no Speaker Deck: https://speakerdeck.com/fernandodebrando/ Fernando Silva é Analista de Desenvolvimento na KingHost, graduado em Análise e Desenvolvimento de Sistemas (ADS) pela Faculdade Senac Porto Alegre, onde ganhou o Prêmio Keller de melhor trajetória acadêmica. Atualmente faz pós-graduação em Segurança Cibernética pela UFRGS, além disso, é um dos coordenadores da comunidade PHP-RS, é entusiasta Open Source e Software Livre.

Análise de segurança e hacking de containers Docker - Fernando Silva - Tcheli...

Tchelinux

Por muito tempo desenvolvedores e administradores de infraestrutura tentam fazer integrações para que a implantação (deployment) seja mais efetiva, com menos sofrimento ao portar do ambiente de desenvolvimento para homologação/produção. Essa apresentação introduz ao movimento DevOps, que aproxima desenvolvedores e administradores de sistema (sysadmin), para que trabalhem em maior sinergia. A proposta é ilustrar os pilares da cultura DevOps, bem como os softwares que a permeia, focada em ferramentas e práticas reais, com exemplos do ecossistema PHP.

DevOps: desenvolvedores e sysadmins cooperando na prática

Ari Stopassola Junior

ORACLE ADVANCED SECURITY

Washington Luiz Vaz

IBTA - Oracle Database Security

Rodrigo Almeida

Pervasive Encryption é uma funcionalidade do zOS 2.2 e 2.3, popularizada pela nova z14. Vamos abordar: . Introdução à Pervasive Encryption . Políticas Regulamentórias e necessidades de negócio . O que deve ser criptografado? De quem é a responsabilidade? . Características básicas e suporte . Segregação de papeis . Arquivos Suportados. Métodos de acesso suportados, exceções e requisitos mínimos . Implementação de z/OS Data Set Encryption . Implementação básica de Pervasive Encryption

Pervasive Encryption por Eugênio Fernandes (IBM)

Joao Galdino Mello de Souza

Azure Sphere: a evolução da plataforma de IoT concebida com princípios de seg...

Walter Coan

2019 - GUOB MeetUp - Journey to Cloud and DBA Career

Marcus Vinicius Miguel Pedro

2019 - Natura MeetUp - Journey to Cloud and Relational Databases

Marcus Vinicius Miguel Pedro

Microservices tornaram-se o tema mais quente na arquitetura de software durante o ano passado, e muito pode ser dito sobre os seus benefícios. Mas, existem inúmeros desafios relacionados a implementação e propagação de segurança no contexto destes componentes. Esta palestra abordará como realizar os cenários de autenticação e autorização com microservices, cobrindo tecnologias como OAuth2, JSON Web Token, utilizando a plataforma do Spring Cloud Security afim de integrar-se com aplicações Spring e/ou Java EE.

GUJavaSC - Protegendo Microservices em Java

Rodrigo Cândido da Silva

Em uma visão macro, o que tiveram destaque para uma filtragem mais especificas foram o ZEND2 devido a robustez e grande credibilidade de mercado, CodeIgniter devido a grande parte do que saim do desenvolvimento "comum" e passam a ter um primeiro contado com algum tipo de framework, e suas comunidades bastante ativas, e Yii a mais jovens desse framework, porém com um grande crescimento nos últimos anos no meio do desenvolvimento PHP. Obtive um resultado positivo, pois aderir por uma escolhe bastante objetiva e que hoje tem me dado resultado de usabilidade e tempo.

Analise frameworks php

Igor Moura

Dicas de como entrar no mundo do DevSecOps

GDGFoz

TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...

tdc-globalcode

Protegendo Docker

guilhermeoki

Embarcadero Conference 2018 - Primeiros passos com o framework Sencha Ext JS (Começe a desenvolver aplicações ricas para web universais, desktop ou mobile com o mais completo framework JavaScript. Sencha Ext JS é um framework completo tornando o desenvolvimento de "Single Page Application" altamente produtiva com um enorme conjunto de componentes, temas visuais modernos, estrutura MVVM/MVC, diversas ferramentas auxliares além de possuir uma excelente documentação.)

Primeiros passos com o framework Sencha Ext JS

Wemerson Januario

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

Rodrigo Marques Teixeira

Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil

Renato Groff

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...

Walter Coan

Muitas vezes quando desenvolvemos aplicações de escaláveis hoje em dia, acabamos atrelando parte deles a uma nuvem especifica. Porém isso traz problemas para como vendor lock-in, dificuldade de rodar em ambiente local, falta de portabilidade e entre outros problemas. E existem serviços em comum que são acessados em nuvem como Banco de Dados, Filas de Mensageria, Armazenamento de arquivo, logs, tracing e que poderiam ser abstraídos e preferencialmente intercambiáveis entre nuvens. Nessa palestra quero mostrar como desenvolver apps mais portáveis e ainda assim mantendo as vantagem de se rodar em nuvem.

Construindo aplicações Cloud Native em Go

Alvaro Viebrantz

Keynote nuvem estaleiro_ics

Horacio Ibrahim

TDC2016SP - Trilha DevOps Java

tdc-globalcode

Semelhante a Introdução à Segurança de Containers (20)

Análise de segurança e hacking de containers Docker - Fernando Silva - Tcheli...

DevOps: desenvolvedores e sysadmins cooperando na prática

ORACLE ADVANCED SECURITY

IBTA - Oracle Database Security

Pervasive Encryption por Eugênio Fernandes (IBM)

Azure Sphere: a evolução da plataforma de IoT concebida com princípios de seg...

2019 - GUOB MeetUp - Journey to Cloud and DBA Career

2019 - Natura MeetUp - Journey to Cloud and Relational Databases

GUJavaSC - Protegendo Microservices em Java

Analise frameworks php

Dicas de como entrar no mundo do DevSecOps

TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...

Protegendo Docker

Primeiros passos com o framework Sencha Ext JS

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...

Construindo aplicações Cloud Native em Go

Keynote nuvem estaleiro_ics

TDC2016SP - Trilha DevOps Java

Mais de Alexandre Sieira

Slides of the talk presented at DEF CON Cloud Village on August 12th, 2022 by Alexandre Sieira. Contains research content from Glaysson Tomaz and Marcelo Lima as well. Recently the Conti ransomware group internal chat leaks was fascinating reading. Among other things, it reminded us that both well-intentioned and malicious actors are constantly trying to find ways to find vulnerabilities and develop exploits to widely used IT products. This is particularly true those that are externally exposed firewalls, VPNs and load balancers, or security products that might thwart their techniques and tools. The timeline from the chats seems to show a gap of several months between Conti members trying to procure either appliances or commercial software that they were trying to get for these purposes. This got us thinking about how the major cloud service providers these days have marketplaces where you can easily buy virtual appliances or SaaS licenses for lots of widely used IT and security products with little more than a valid credit card, in minutes. And we decided to check how feasible it is to use this to conduct vulnerability research. In this presentation we will show what kind of access one can get to the internals of IT and security products using these marketplaces, particularly in the case of products only typically offered in hardware appliances. Which cloud providers try to prevent this sort of activity, how they do it, which ones simply don't care, and what techniques we were able to use to access these appliance's internals. The objective here is threefold: 1) help well intentioned vulnerability researchers find an easier avenue to do their work; 2) allow cloud providers to get a better understanding of how their marketplaces can be abused and which controls they could implement to mitigate that risk, and 3) let IT and security vendors realize the added exposure of publishing their products on these marketplaces.

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

Alexandre Sieira

Slide deck for talk presented at DEF CON 28 "Safe Mode" Cloud Village. AWS is a very complex and ever-changing platform, which presents a challenge to defenders and an opportunity for attackers. Among some of the most complex and powerful features of AWS is its IAM functionality, which allows for very granular control but is famously complex to learn and set up. One the features of access control in AWS is that AWS accounts are a self-contained unit of processing, storage and access control. Given how AWS itself recommends segregation across accounts as a best practice, and the fact that many SaaS vendors request access to their customers' accounts in order to perform their services, this presents a challenge. In this talk we will present in detail the policy-fu needed in order to securely allow principals from one account to perform actions on another, both inside different accounts in an organization but especially from the perspective of a SaaS provider that needs to access hundreds or thousands of customer accounts. Existing research on defenses and possible attacks will be presented and demonstrated to illustrate the concepts. SaaS vendors like ""single pane of glass"" offerings, multi-cloud solutions and CSPM offerings are huge concentrators of risk since they have access to potentially thousands of customer AWS accounts. By exploring how this access can be uniquely secured due to capabilities only AWS provides and how vendors can fail at this we hope to allow attendees to better understand the risks of using these services, and also help service providers mitigate them.

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Alexandre Sieira

Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...

Alexandre Sieira

O compartilhamento de threat intelligence está subindo na lista de prioridades da maioria das grandes organizações. Muitas áreas de segurança estão sendo cobradas para consumir estas informações sem necessariamente ter processos implementados para usá-las. Junte-se a nós nesta apresentação para uma exploração baseada em dados quantitativos sobre práticas e comunidades de compartilhamento de threat intelligence. Nosso objetivo é demonstrar o que deve ser feito para que o compartilhamento de threat intelligence possa escalar além das barreiras técnicas e de confiança que atualmente atuam como fortes limitadores. Esta é mais uma apresentação da série Data-Driven Threat Intelligence. Na Mind The Sec do ano passado, apresentamos ferramentas e metodologias que permitiam a análise quantitativa de fontes individuais de threat intelligence, em especial feeds abertos e pagos, além de uma análise crítica em cima dos resultados baseados em um grande conjunto de indicadores coletados por nós. Este ano, o objetivo é estender estas ferramentas e metodologias para medir e analisar a eficácia, benefícios e barreiras associadas ao uso de comunidades de compartilhamento de threat intelligence, que estão proliferando mundialmente em diversas verticais do mercado.

Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...

Alexandre Sieira

The human mind evolved to draw quick conclusions for survival. Behavioral economists, like Daniel Kahneman and Dan Ariely, are publishing research on when, why and how decision making can be consistently and predictably irrational. You could say these researchers are reverse engineering the wetware, finding bugs and race conditions and disclosing them.People are key to an organization’s information security, even if you believe in the “people, processes and technology” tripod. People define and execute processes. People decide funding for, implement, operate and/or monitor the technology. Your adversaries are people. At least until we reach the AI singularity, that is.Until then, the aim of this talk is to present some of the counter-intuitive findings of behavioral economics research and their implications for how information security is handled at the organizational and market levels. Our hope is that the audience will find they could benefit from changing established, seemingly sensible and logical actions we all do to better match how the wetware actually works. Presented at BSides SF on Feb. 28th, 2016.

Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...

Alexandre Sieira

Sessão apresentada no Mind The Sec no dia 26 de Agosto de 2015. Esta sessão vai fazer uma exploração tecnológica bem-humorada de feeds de threat intelligence abertos e comerciais que têm sido tratados pelo mercado de segurança como a nova panacéia para resolver os desafios de monitoramento e resposta a incidentes. Mesmo que nem todo o mercado de threat intelligence possa ser reduzido a feeds de indicadores, eles têm atraído atenção suficiente do mercado para merecer uma análise científica e factual para que os tomadores de decisão possam maximizar os resultados obtidos com os dados disponíveis. Nos últimos 18 meses, a Niddel vem coletando indicadores de threat intelligence de múltiplas fontes, visando entender o ecossistema e desenvolver métricas de eficiência e qualidade para avaliar os diferentes feeds. Serão apresentadas análises factuais e baseadas em dados do viés estatístico, sobreposição, representatividade, idade de indicadores e unicidade entre diferentes feeds. Todos os dados utilizados será publicado e o código para geração dos gráficos está disponível em projetos open source chamados Combine e TIQ-Test. Estas são as mesmas técnicas e análises por trás da contribuição da Niddel no Verizon Data Breach Incident Report (DBIR) de 2015, um dos mais respeitados relatórios de segurança da informação do mundo. Esta apresentação também irá apresentar dados agregados de uso de comunidades de compartilhamento de threat intelligence, de forma a identificar os padrões reais de uso e as preocupações e benefícios que os gestores podem esperar deste tipo de iniciativa.

Threat Intelligence Baseada em Dados: Métricas de Disseminação e Compartilham...

Alexandre Sieira

BYOD: Bring Your Own... Disaster?

Alexandre Sieira

Mais de Alexandre Sieira (7)

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...

Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...

Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...

Threat Intelligence Baseada em Dados: Métricas de Disseminação e Compartilham...

BYOD: Bring Your Own... Disaster?

Introdução à Segurança de Containers

1. Introdução à Segurança de Containers

2. Alexandre Sieira • Empreendedor em segurança de informação • Fundador da Tenchi Security • Gerente do time de Product Management de todos os serviços de detecção do MSS da Verizon • Co-Fundador e CTO da Niddel • Co-Fundador e Principal do MLSec Project • Co-Fundador e CTO da CIPHER

6. • Dockerfile é parte do código; • Imagem base especificada no FROM que vem de um registry; • Especificação de pacotes e configuração do “sistema operacional”; • Cópia de arquivos de código, configuração e ou dados; • Segredos e configurações em variáveis de environment; • Roda como root por default (https://engineering.bitnami.com/articles/why-non-root- containers-are-important-for-security.html)

7. https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/

8. https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability https://docs.docker.com/engine/security/https/

9. https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/ Soluções de CI/CD e repositórios de imagens são concentradores de risco!

10. https://www.kennasecurity.com/blog/one-fifth-of-the-most-used-docker-containers-have-at-least-one-critical-vulnerability/

11. https://vulnerablecontainers.org/

12. https://vulnerablecontainers.org/ Escolher boas imagens como base faz muita diferença…

13. Trivy: (https://github.com/aquasecurity/trivy)

14. https://github.com/mlsecproject/gglsbl-rest

15. https://aws.amazon.com/about-aws/whats-new/2019/10/announcing-image-scanning-for-amazon-ecr/

16. https://cloud.google.com/container-registry/pricing

17. https://docs.microsoft.com/en-us/azure/security-center/container-security

18. • Kubernetes é o padrão de mercado. • Especificação em arquivos YAML. • Inseguro por default, segurança vêm melhorando aos poucos. • Complexo de operar.

19. https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/ Orquestradores representam uma superfície de ataque bastante importante.

20.

21. A Pod Security Policy is a cluster-level resource that controls security sensitive aspects of the pod specification. The PodSecurityPolicy objects define a set of conditions that a pod must run with in order to be accepted into the system, as well as defaults for the related fields. They allow an administrator to control the following: https://kubernetes.io/docs/concepts/policy/pod-security-policy/

22. https://github.com/aquasecurity/kube-bench Variedade de soluções open source e comerciais (CWPP) disponíveis para implementar segurança para ambientes containerizados.

23.

24. The Path Less Traveled: Abusing Kubernetes Defaults Black Hat 2019 https://youtu.be/HmoVSmTIOxM Ian Coldwater (@IanColdwater) e Duffie Cooley (@mauilion)

25. 25

Notas do Editor

Por default secrets salvos no etcd com base64 encoding apenas.

Introdução à Segurança de Containers

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Introdução à Segurança de Containers

Semelhante a Introdução à Segurança de Containers (20)

Mais de Alexandre Sieira

Mais de Alexandre Sieira (7)

Introdução à Segurança de Containers

Notas do Editor