По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Не секрет, что на сегодняшний день Kubernetes стал одной из лучших оркестраторов контейнерных платформ. Более 80% организаций сегодня используют Kubernetes в тех или иных целях. Он просто автоматизирует конфигурирование и управление контейнерами.
Но помимо простоты, безопасность также является одной из наиболее важных частей любого контейнерного приложения. Вы должны знать, как обеспечить надежную безопасность приложений, работающих в кластере Kubernetes. Вопросы безопасности в последние несколько лет экспоненциально возрастают, поэтому каждая организация сосредотачивает внимание на этой области.
Если вы знакомы с Kubernetes, то вы знаете, что, по умолчанию, Kubernetes назначает IP-адрес каждому порту в кластере и обеспечивает безопасность на основе IP. Но он предоставляет только основные меры безопасности. Когда речь заходит о расширенном мониторинге безопасности и обеспечении соответствия нормативным требованиям, к сожалению, Kubernetes не обеспечивает нужного уровня безопасности. Но, к счастью, есть сторонние сканеры Kubernetes с открытым исходным кодом, которые могут помочь вам защитить ваши кластеры Kubernetes.
Вот несколько преимуществ использования сканеров Kubernetes:
Определение неправильных настроек и уязвимостей в кластере, контейнерах, модулях
Предоставляет решения для исправления неправильных настроек и устранения уязвимостей
Дает представление о состоянии кластера в реальном времени.
Дает больше уверенности команде DevOps в необходимости разработки и развертывания приложений в кластере Kubernetes
Помогает избежать сбоя кластера, выявляя проблему на ранней стадии.
Рассмотрим следующие инструменты, которые помогут найти уязвимость и неправильную конфигурацию системы безопасности для обеспечения безопасности контейнерных приложений.
1. Kube Hunter
Kube Hunter - это средство поиска уязвимостей от Aqua Security. Этот инструмент очень полезен для повышения уровня безопасности кластеров Kubernetes. Этот инструмент для выявления уязвимостей предлагает несколько стандартных вариантов сканирования, таких как удаленный, чересстрочный, сетевой.
Он содержит список активных и пассивных тестов, которые могут идентифицировать большинство уязвимостей, присутствующих в кластере Kubernetes.
Существует несколько различных вариантов использования этого инструмента.
Можно загрузить архив, извлечь его или использовать pip для непосредственной установки Kube Hunter на машину с сетевым доступом к кластеру Kubernetes. После установки можно начать сканирование кластера на наличие уязвимостей.
Второй способ использования Kube Hunter - в качестве контейнера Docker. Вы можете непосредственно установить Kube Hunter на машину в кластере, а затем проверить локальные сети для сканирования кластеров.
И третий способ - запустить Kube Hunter как под внутри Kubernetes кластера. Это помогает находить уязвимости в любых модулях приложений.
2. KubeBench
Kube Bench является одним из инструментов обеспечения безопасности с открытым исходным кодом, которые проверяют соответствие ваших приложений эталонному стандарту безопасности CIS (Center for Internet Security).
Он поддерживает тесты для нескольких версий Kubernetes. Кроме того, он также указывает на ошибки и помогает в их исправлении. Этот инструмент также проверяет настройки авторизации и аутентификации пользователей, а также уровень шифрования данных. Это гарантирует, что приложение соответствует требованиям CIS.
Возможности KubeBench:
Написано как приложение Go
Тест для мастеров и узлов Kubernetes
Доступно как контейнер
Тесты определены в YAML, что упрощает расширение и обновление
Поддержка выходных данных формата JSON
3. Checkov
Checkov - это средство безопасности, используемое для предотвращения неправильных настроек облака во время сборки Kubernetes, Terraform, Cloudformation, Serverless фреймворков и других сервисов типа Infrastructure-as-code-language. Он написан на языке Python и направлен на повышение эффективности внедрения безопасности и соответствия передовым практикам.
Можно выполнить сканирование с помощью Checkov для анализа сервисов типа Infrastructure-as-code-language
Функции Checkov:
Открытый и простой в использовании
Более 500 встроенных политики безопасности
Передовые практики обеспечения соответствия для AWS, Azure и Google Cloud
Поддержка нескольких форматов вывода - CLI, JUnit XML, JSON
Интеграция сканирований в конвейеры ci/cd
Выполняет сканирование входной папки, содержащей файлы Terraform & Cloudformation
4. MKIT
MKIT означает управляемый инструмент проверки Kubernetes. Этот инструмент помогает быстро выявлять ключевые угрозы безопасности кластеров Kubernetes и их ресурсов. Он имеет быстрые и простые методы для оценки неправильных настроек в кластере и рабочих нагрузках.
Инструмент поставляется с интерфейсом, который по умолчанию работает на http://localhost:8000. Инструмент дает представление о неуспешных и успешных проверках. В разделе «Затронутые ресурсы» вы получите подробные сведения о затронутых и не затронутых ресурсах.
Функции MKIT:
Создана с использованием всех библиотек и инструментов с открытым исходным кодом
Простота установки и использования
Поддержка нескольких поставщиков Kubernetes - AKS, EKS и GKE
Хранение конфиденциальных данных внутри контейнера
Предоставляет веб-интерфейс
5. Kubei
Kubei используется для оценки непосредственных рисков в кластере Kubernetes. Большая часть Kubei написана на языке программирования Go. Он охватывает все эталонные тесты CIS для Docker.
Он сканирует все образы, используемые кластером Kubernetes, прикладные и системные модули и т.д. Вы получаете несколько вариантов настройки сканирования с точки зрения уровня уязвимости, скорости сканирования, области сканирования и т.д. С помощью графического интерфейса можно просмотреть все уязвимости, обнаруженные в кластере, и способы их устранения.
Основные характеристики Kubei:
Сканер уязвимостей среды выполнения Kubernetes с открытым исходным кодом
Проверяет общедоступные образы, размещенные в реестре
Предоставляет состояние работоспособности кластера в режиме реального времени
Веб-интерфейс пользователя для визуализации сканирований
Предоставляет несколько пользовательских параметров для сканирования
6. Kube Scan
Kube Scan - это сканер контейнера, который сам поставляется как контейнер. Вы устанавливаете его в новый кластер, после чего он сканирует рабочие нагрузки, выполняющиеся в данный момент в кластере, и показывает оценку риска и сведения о рисках в удобном веб-интерфейсе. Риск оценивается от 0 до 10, 0 означает отсутствие риска, а 10 - высокий риск.
Формула и правила оценки, используемые Kube scan, основаны на KCCSS, общей системе оценки конфигурации Kubernetes, которая является фреймворком с открытым исходным кодом. Он аналогичен CVSS (Common Vulnerability Scoring System). Он использует более 30 параметров настройки безопасности, таких как политики, возможности Kubernetes, уровни привилегий и создает базовый уровень риска для оценки риска. Оценка риска также основана на простоте эксплуатации или уровне воздействия и масштабах эксплуатации.
Функции KubeScan:
Инструмент оценки рисков с открытым исходным кодом
Веб-интерфейс пользователя с оценкой рисков и подробностями оценки рисков
Выполняется как контейнер в кластере.
Регулярные сканирование кластера каждые 24 часа
7. Kubeaudit
Kubeaudit, как предполагает название, является инструментом кластерного аудита Kubernetes с открытым исходным кодом. Он находит неправильные настройки безопасности в ресурсах Kubernetes и подсказывает, как их устранить. Он написан на языке Go, что позволяет использовать его как пакет Go или средство командной строки. Его можно установить на компьютер с помощью команды brew.
Он предлагает различные решения вроде запуск приложений от имени пользователя без рут прав, предоставление доступа только для чтения к корневой файловой системе, избегание предоставления дополнительных привилегий приложениям в кластере для предотвращения общих проблем безопасности. Он содержит обширный список аудиторов, используемых для проверки проблем безопасности кластера Kubernetes, таких как SecurityContext модулей.
Особенности Kubeaudit:
Инструмент аудита Kubernetes с открытым исходным кодом
Предоставляет три различных режима - манифест, локальный, кластер, для аудита кластера
Дает результат аудита на трех уровнях серьезности - ошибка, предупреждение, информация
Использует несколько встроенных аудиторов для аудита контейнеров, модулей, пространств имен
8. Kubesec
Kubesec - это инструмент анализа рисков безопасности с открытым исходным кодом для ресурсов Kubernetes. Он проверяет конфигурацию и файлы манифестов, используемые для развертывания и операций кластера Kubernetes. Вы можете установить его в свою систему с помощью образа контейнера, двоичного пакета, контроллера допуска в Kubernetes или плагина kubectl.
Особенности Kubesec:
Инструмент анализа рисков с открытым исходным кодом
Он поставляется с объединенным HTTP-сервером, который по умолчанию работает в фоновом режиме и слушает порт 8080.
Может запускаться как Kubesec-as-a-Service через HTTPS по адресу v2.kubesec.io/scan
Может сканировать несколько документов YAML в одном входном файле.
Заключение
Указанные средства предназначены для обеспечения безопасности кластера Kubernetes и его ресурсов и затрудняют взлом хакерами приложений, работающих внутри кластера. Сканеры помогут более уверенно развертывать приложения на кластере.
Привет, друг! Если ты читаешь эту статью, то скорее всего столкнулся с ошибкой VT-x/AMD-V hardware acceleration is not available on your system когда пробовал создать виртуальную машину в Virtual Box, или такой ошибкой при работе с VMWare: This host supports Intel VT-x, but Intel VT-x is disabled или чем-то похожим при работе с другой средой виртуализации. Продолжай читать и ты обязательно найдёшь причину!
Для начала, позволь вкратце объяснить, что такое VT-x и AMD-V.
VT-x – это технология, разработанная компанией Intel в 2005 году, которая позволила процеcсорам (CPU) данного производителя поддерживать аппаратную виртуализацию. Грубо говоря, появилась возможность имея один компьютер, создать другой внутри него и даже с другой операционной системой!
AMD-V - это технология аппаратной виртуализации от компании AMD. Первые процессоры от производителя AMD появились на рынке годом позже, в 2006 году.
Итак, теперь вот тебе топ 3 причин, по которым ты мог встретить вышеупомянутые ошибки:
Процессор твоего "комплюктера" попросту не поддерживает технологии виртуализации VT-x/AMD-V.
Возможно ты являешься обладателем очень старого или наоборот крайне специфичного девайса, CPU которого просто не умеет в виртуализацию. В таком случае, ты не сможешь устранить те ошибки и запустить виртуалку в любой среде виртуализации. Но не огорчайся, есть масса способов покрутить виртуалки, например, воспользоваться услугами VDS/VPS хостера!
VT-x/AMD-V отключила Hyper-V.
Hyper-V это проприетарная технология виртуализации от Microsoft, которая по умолчанию вырубает поддержку VT-x/AMD-V, чтобы избежать конфликтов. Короче придётся выбирать между Hyper-V и другой конфликтующей средой виртуализации.
Технология VT-x или AMD-V просто выключены и их нужно включить.
По умолчанию, поддержка виртуализации выключена в BIOS и чтобы победить ошибки из начала статьи и, наконец запустить заветную виртуалку, тебе нужно просто зайти в BIOS и включить VT-x/AMD-V!
В зависимости от производителя твоего компьютера, может быть несколько вариантов перехода в BIOS. Обычно, тебе нужно просто перезагрузить компьютер и дождаться на экране надписи: Press to enter BIOS, а вот какая-то кнопка может быть разной.
Вот тебе несколько примеров для разных производителей:
Asus, Lenovo, DELL
Как правило просят нажать F2
Перейти на вкладку Advanced, выбрать Virtualization Technology и нажать Enter
Сменить состояние строки с Disabled на Enabled после чего нажать F10, чтобы сохранить изменения и перезагрузить компьютер
Acer, HP
Как правило просят нажать F2 ну или F1 или же CTRL+ALT+ESC или F10
Нажать на правую стрелку и перейти на вкладку System Configuration, выбрать Virtualization Technology и нажать Enter
Сменить состояние строки с Disabled на Enabled после чего нажать F10, чтобы сохранить изменения и перезагрузить компьютер
Компьютеры с процессорами AMD
Как правило просят нажать F2
Выбрать вкладку Advanced затем CPU Configuration, после чего выбрать SVM Mode и нажать Enter
Сменить состояние строки с Disabled на Enabled после чего нажать F10, чтобы сохранить изменения и перезагрузить компьютер
В сегодняшней статье расскажем, как организовать функцию прослушивания телефонных разговоров, как входящих, так и исходящих, которые проходят в реальном времени на нашем сервере IP-АТС Asterisk. Для этих целей будем использовать стандартное приложение Asterisk - ChanSpy(). Данная задача часто встречается при организации call-центров, когда есть группа агентов, принимающих или совершающих вызовы и группа супервайзеров, контролирующих их взаимодействие с клиентами КЦ. Для того, чтобы научить агентов грамотно общаться с клиентами, супервайзерам необходимо иметь доступ не только к записям разговоров агентов, но и к разговорам в реальном времени, в том числе, с возможностью прямо во время разговора подсказать агенту какую-либо информацию и не быть услышанным клиентом. Здесь то нам и приходит на помощь ChanSpy – своеобразный “шпионский” канал.
Работа в FreePBX
По умолчанию, данная функция доступна в графической оболочке FreePBX по средствам набора специального кода Feature Code Feature Code, а именно -комбинации цифр 555
То есть, мы можем, набрав 555, подключиться к случайному разговору, который в настоящий момент проходит на IP-АТС и прослушивать его. Если разговоров несколько, то переключаться между ними можно с помощью *. Согласитесь, это слегка неудобно. Вдруг нам нужен конкретный агент, который в настоящий момент разговаривает с конкретным клиентом? Не перебирать же все разговоры и пытаться по голосу определить нужного нам агента!
Работа в Asterisk CLI
Чтобы упростить задачу супервайзерам и расширить стандартный функционал ChanSpy на FreePBX, мы немного отредактируем конфигурационные файлы Asterisk.
Для начала давайте обратимся к синтаксису ChanSpy().
ChanSpy([chanprefix,[options]]), где:
chanprefix - специальный префикс канала. Например мы можем указать шаблон для внутренних номеров, разговоры которых мы хотим прослушивать;
options - буквенные обозначения опций с учётом регистра и параметров прослушивания канала. Рассмотрим наиболее полезные:
b – позволяет подключаться к каналам, задействованным в конференц-звонке;
d – позволяет вручную управлять режимом прослушивания канала: 4 – только прослушивание, 5 – только подсказки (шёпот), 6 – и подслушивание и подсказки;
E – отключается от прослушиваемого канала, когда тот кладёт трубку;
q – тихий режим. Не проигрывает никаких звуков, когда происходит подключение к прослушиваемому каналу;
v – позволяет настроить начальный уровень громкости от -4 до 4;
w – позволяет говорить в подслушиваемый канал. Функция подсказок или “шёпота”;
Все остальные опции, доступные в ChanSpy можно узнать из командной строки Asterisk, используя команду:
core show application chanspy
Для того, чтобы настроить новое правило ChanSpy, нужно открыть файл extension_custom.conf, который лежит в /etc/asterisk/ и открыть его любым удобным текстовым редактором, например nano:
nano /etc/asterisk/extension_custom.conf
И внесём туда следующий контекст:
[app-custom-chanspy]
exten => 555.,1,Authenticate(48151623) //48151623 – это пароль для доступа к функционалу прослушивания;
exten => 555.,n,Answer
exten => 555.,n,Wait(1)
exten => 555.,n,ChanSpy(SIP/${EXTEN:3},qw)
exten => 555.,n,Hangup
Давайте разберём что получилось: пользователь, например, супервайзер набирает комбинацию 555115, где 555 – доступ к ChanSpy, а 115 – внутренний номер агента, к разговору которого хочет подключиться супервайзер. При наборе “555” пользователя попросят ввести пароль (в нашем случае 48151623), это поможет ограничить доступ к функционалу прослушивания разговоров на нашей IP-АТС. После подтверждения пароля, пользователю будет доступен функционал прослушивания разговора и “шёпота”, причем при подключении к разговору никаких уведомлений проигрываться не будет, так как включен тихий режим.