По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Основной причиной серьезных атак является предоставление доступа к таким активам, которые не должен быть открыты для всех.
Одной из цифровых инфраструктур, где часто встречаются проблемы с безопасностью является Kubernetes. "Облачное" программное обеспечение, развернутое на устаревших центрах обработки данных, требует от конечных пользователей и администраторов своевременного обнаружения и устранения некорректных настроек, в виде предоставление привилегий высокого уровня программам и людям, которым они вовсе не нужны.
IBM Study пришла к выводу, что в 95% случаям нарушения безопасности, которые они исследовали, содействовали или были вызваны человеческими ошибками, в том числе и разработчиками программного обеспечения. Остальные же были, главным образом, из-за технической оплошности.
В последующих исследованиях, касающихся нарушений безопасности, также приводились аналогичные выводы с цифровыми инструментами всех видов.
В Kubernetes привилегии часто предоставляются с помощью ролевых средств управления доступом. Он может ошибочно разрешить административные разрешения для всего кластера, даже если это не требуется. Тот факт, что Kubernetes может включать крупномасштабные и автоматизированные разрешения на инфраструктуру, также создает почву для атаки на контейнеры, приложения и злоупотребления разрешениями.
Проблемы также включают множество встроенных функций безопасности, но не все они включены в инструменте по умолчанию. Поскольку Kubernetes способствует быстрому развертыванию и разработке приложений, управление может помешать быстрому развертыванию инфраструктуры.
После окончательного развертывания приложений, делая их доступными для пользователей, неверно сделанные конфигурации безопасности увеличивают возможные риски.
Стратегии безопасности для облачных инструментов
Для защиты облачных средств с помощью контейнеров необходима другая стратегия, отличная от стратегии, используемой для устаревших инфраструктурных систем. С ростом внедрения облачных инструментов существуют два подхода к обеспечению безопасности, главным образом, Kubernetes-ориентированный и контейнерный.
В ориентированном на контейнеры подходе к обеспечению безопасности основное внимание уделяется обеспечению безопасности среды выполнения контейнеров и образов. Для управления связью между контейнерами используются такие методы управления, как shim специально написанный интерфейс и встроенные прокси-серверы.
С другой стороны, подход, ориентированный на Kubernetes, использует встроенную масштабируемость и гибкость Kubernetes. Она работает на уровнях Kubernetes и продвигает свои принудительные политики. Следовательно, вы должны позволить ему контролировать как вашу инфраструктуру, так и безопасность.
Что делает встроенное средство безопасности Kubernetes?
Характеристики, которые делают средство безопасности Kubernetes-ориентированным или Kubernetes-native, представляют собой сочетание того, что они выполняют и как. Во-первых, необходимо интегрировать инфраструктуру и рабочие нагрузки с API Kubernetes и оценить уязвимости.
Убедитесь, что функции безопасности основаны на ресурсах Kubernetes, включая службы, развертывания, модули и пространства имен. Также необходимо использовать встроенные функции безопасности Kubernetes. Такая глубокая интеграция охватывает все аспекты среды Kubernetes, включая управление уязвимостями, управление конфигурацией, сегментацию сети, реагирование на инциденты, соответствие нормативным требованиям и обнаружение угроз.
Почему инструменты, ориентированные на Kubernetes, превосходят контейнеры?
Платформы безопасности, ориентированные на Kubernetes, считаются превосходными, если вы работаете с контейнерами. Причину можно сформулировать тремя способами.
Во-первых, они обеспечивают лучшую защиту с помощью богатого понимания принципов работы контейнеров и самого Kubernetes. Они также используют декларативные данные для контекстуализации рисков и информирования о них.
Во-вторых, платформы безопасности Kubernetes обеспечивают повышенную операционную эффективность, что позволяет быстро обнаруживать угрозы, а также оценивать риски на приоритетном уровне. Он позволяет всем членам вашей команды находиться на одной странице для устранения неполадок и более быстрой работы.
В-третьих, ваш операционный риск может быть снижен с помощью встроенных средств управления Kubernetes, облегчающих масштабируемость и адаптируемость. Кроме того, между оркестратором и внешними элементами управления не может возникнуть никакого конфликта.
Таким образом, собственные возможности Kubernetes в области безопасности могут лучше защитить контейнерные экосистемы. Если вашим специалистам по безопасности инфраструктуры и DevOps удается использовать весь потенциал этих инструментов, вы можете продолжать обнаруживать угрозы и останавливать их, когда у вас есть время.
Самые фундаментальные навыки, которые нужно освоить инженеру, работающему с Linux - это перемещение по файловой системе и понимание того, что вас окружает.
В этом разделе мы обсудим инструменты, которые позволят вам это сделать. Разберем базовые команды с примерами.
pwd
Когда вы входите на свой сервер, вы обычно попадаете в домашний каталог своей учетной записи. Домашний каталог - это каталог, предназначенный для хранения файлов и создания каталогов вашим пользователем.
Чтобы узнать, где находится ваш домашний каталог по отношению к остальной файловой системе, вы можете использовать команду pwd. Эта команда отображает каталог, в котором мы сейчас находимся:
pwd
Вы должны получить обратно информацию, которая выглядит следующим образом:
/home/demo
Домашний каталог назван в честь учетной записи пользователя, поэтому в приведенном выше примере значение будет, если бы вы вошли на сервер с учетной записью под названием demo. Этот каталог находится в каталоге с именем /home, который сам находится в каталоге верхнего уровня, который называется root, но представлен одинарной косой чертой /.
ls
Теперь, когда вы знаете, как отображать каталог, в котором вы находитесь, мы можем просматривать содержимое каталога.
Пока в нашем каталоге ничего нет, поэтому мы перейдем в другой, более насыщенный каталог для изучения. Введите в терминале следующее, чтобы перейти в каталог /usr/share.
cd /usr/share
После этого используем pwd, чтобы проверить, что мы успешно переехали:
/usr/share
Теперь, когда мы находимся в новом каталоге, давайте посмотрим, что внутри. Для этого мы введем команду ls:
adduser groff pam-configs
applications grub perl
apport grub-gfxpayload-lists perl5
apps hal pixmaps
apt i18n pkgconfig
aptitude icons polkit-1
apt-xapian-index info popularity-contest
. . .
Как видите, в этом каталоге много элементов. Мы можем добавить в команду несколько необязательных флагов, чтобы изменить поведение. Например, чтобы перечислить все содержимое в расширенной форме, мы можем использовать флаг -l (для «длинного» вывода):
total 440
drwxr-xr-x 2 root root 4096 Apr 17 2021 adduser
drwxr-xr-x 2 root root 4096 Sep 24 19:11 applications
drwxr-xr-x 6 root root 4096 Oct 9 18:16 apport
drwxr-xr-x 3 root root 4096 Apr 17 2021 apps
drwxr-xr-x 2 root root 4096 Oct 9 18:15 apt
drwxr-xr-x 2 root root 4096 Apr 17 2021 aptitude
drwxr-xr-x 4 root root 4096 Apr 17 2021 apt-xapian-index
drwxr-xr-x 2 root root 4096 Apr 17 2021 awk
. . .
Этот вид дает нам много информации, большая часть которой выглядит довольно необычно. Первый блок описывает тип файла (если в первом столбце стоит d, это каталог, если -, это обычный файл) и разрешения. Каждый последующий столбец, разделенный пробелом, описывает количество жестких ссылок, владельца, владельца группы, размер элемента, время последнего изменения и имя элемента. Вы можете просмотреть эту информацию с помощью флага -l команды ls.
Чтобы получить список всех файлов, включая скрытые файлы и каталоги, вы можете добавить флаг -a. Поскольку в каталоге /usr/share нет настоящих скрытых файлов, давайте вернемся в наш домашний каталог и попробуем эту команду. Вернуться в домашний каталог можно набрав cd без аргументов. После этого выполним команду ls -a:
. .. .bash_logout .bashrc .profile
Как видите, в этом выводе есть три скрытых файла вместе с . и .., которые являются специальными индикаторами. Часто файлы конфигурации хранятся как скрытые файлы, как здесь.
Для записей с точками и двойными точками это не совсем каталоги, а встроенные методы обращения к связанным каталогам. Одиночная точка указывает текущий каталог, а двойная точка указывает родительский каталог этого каталога.
По умолчанию ls выводит список содержимого текущего каталога. Однако мы можем передать имя любого каталога, содержимое которого мы хотели бы видеть, в конце команды.
Например, мы можем просмотреть содержимое каталога с именем /etc, доступного во всех системах Linux, набрав:
ls /etc
Получим вывод:
acpi fstab magic rc.local
adduser.conf fstab.d magic.mime rc.local.orig
aliases fuse.conf mailcap rcS.d
aliases.db gai.conf mailcap.order reportbug.conf
alternatives groff mailname resolvconf
anacrontab group mail.rc resolv.conf
apm group- manpath.config rmt
. . .
cd
Мы уже сделали два перемещения каталога, чтобы продемонстрировать некоторые свойства ls. Давайте подробнее рассмотрим команду здесь.
Начните с возврата в каталог /usr/share, набрав следующее:
cd /usr/share
Это пример изменения каталога путем указания абсолютного пути. В Linux каждый файл и каталог находится в самом верхнем каталоге, который называется «корневым» (root), но обозначается одинарной косой чертой в начале пути /. Абсолютный путь указывает расположение каталога по отношению к этому каталогу верхнего уровня. Это позволяет нам однозначно обращаться к каталогам из любого места файловой системы. Каждый абсолютный путь должен начинаться с косой черты.
Альтернативой является использование относительных путей. Относительные пути относятся к каталогам относительно текущего каталога. Для каталогов, близких к текущему каталогу в иерархии, это обычно проще и короче. На любой каталог в текущем каталоге можно ссылаться по имени без косой черты в начале. Мы можем перейти в каталог locale в /usr/share из нашего текущего местоположения, набрав:
cd locale
Мы также можем переместиться на несколько уровней каталогов с относительными путями, указав часть пути, которая идет после пути к текущему каталогу. Отсюда мы можем перейти в каталог LC_MESSAGES в каталоге en, набрав:
cd en/LC_MESSAGES
Для возврата к родительскому элементу текущего каталога мы используем специальный индикатор с двумя точками, о котором мы говорили ранее. Например, теперь мы находимся в каталоге /usr/share/locale/en/LC_MESSAGES. Чтобы подняться на один уровень вверх, мы можем ввести:
cd ..
Это приведет нас в каталог /usr/share/locale/en.
Мы можем вернуться в наш предыдущий каталог, набрав: cd -
Шорткат, который вы видели ранее, который всегда будет возвращать вас в ваш домашний каталог - это использовать cd без указания каталога:
cd
Настройка EIGRP сильно напоминает RIP и состоит из двух шагов:
включения протокола глобальной командой router eigrp ASN_NUMBER;
выбора сетей, которые протокол будет «вещать», для чего используется команда(ы) network;
Первая команда включения говорит сама за себя, но поясним про ASN_NUMBER – это номер автономной системы, и для установления сетевой связности между несколькими маршрутизаторами, использующими EIGRP, данный номер должен быть одинаковым. Вторая команда работает также, как и в RIP по умолчанию – то есть включение протокола на интерфейсе и указание классовых сетей.
Пример настройки EIGRP
В нашей топологии у маршрутизаторов R1 и R2 есть напрямую подключенные подсети.
Нам нужно включить данные подсети в процесс динамической маршрутизации EIGRP. Для этого нам сначала нужно включить EIGRP на обоих маршрутизаторах и затем «вещать» данные сети с помощью команды network. На маршрутизаторе R1 переходим в глобальный режим конфигурации и вводим следующие команды:
router eigrp 1
network 10.0.0.0
network 172.16.0.0
Немного пояснений – сначала мы включаем протокол динамической маршрутизации, затем меняем версию на вторую, затем используем команду network 10.0.0.0 для включения интерфейса Fa0/1 на маршрутизаторе R1. Как мы уже говорили, команда network берет классовую сеть, так что каждый интерфейс с подсетью, начинающейся на 10 будет добавлен в EIGRP процесс. Также нам необходимо получить маршрут между двумя роутерами через EIGRP, для этого добавляем еще одну команду network – с адресом 172.16.0.0.
IP-адреса начинающиеся на 10, по умолчанию принадлежат к классу «А» и и имеют стандартную маску подсети 255.0.0.0.
На R2 настройка выглядит похожей, только с другой подсетью – т.к к маршрутизатору R2 напрямую подключена подсеть 192.168.0.0.
router eigrp 1
network 192.168.0.0
network 172.16.0.0
Вот и все – также просто, как и настроить RIP: главное не забывать указывать одинаковый номер автономной системы. Для проверки работоспособности EIGRP введите команду show ip eigrp neighbors на обоих маршрутизаторах и убедитесь, что там указан адрес другого маршрутизатора. Данная команда показывает список всех EIGRP «соседей», с разнообразной информацией – номером локального интерфейса и т.д Также проверить сетевую связность можно с помощью команды вывода таблицы маршрутизации sh ip route. Маршруты, получаемые по EIGRP будут отмечены буквой «D».
Пример настройки EIGRP 2
Как мы уже говорили, по умолчанию команда network использует классовую сеть, т.е все интерфейсы внутри это классовой сети будут участвовать в процессе маршрутизации. Для включения EIGRP только на нужном вам интерфейсе, необходимо использование обратной маски. То есть команда будет выглядеть следующим образом: network ОБРАТНАЯ_МАСКА
В нашем примере у маршрутизатора R1 есть две напрямую подключенные подсети, 10.0.0.0/24 и 10.0.1.0/24. Наша цель – включить EIGRP только на подсети, подключенной к интерфейсу Fa0/0. Если просто использовать команду network – обе подсети будут добавлены в EIGRP процесс, т.к будет использоваться классовая сеть. Для настройки EIGRP только на интерфейсе Fa0/0, нужно использовать команду network 10.0.0.0 0.0.0.255. Она включит EIGRP только на интерфейсах 10.0.0.Х.
Проверить можно с помощью команды sh ip protocols, что только сеть 10.0.0.0/24 добавлена в EIGRP процесс.