近年来,以容器为代表的云原生得到了市场的高度认可,正逐步成为新一代主流IT基础设施。但由于容器以及容器应用环境引发的安全风险与安全事件不断爆出,容器的安全问题也随之浮出水面。
T Wiki 在 4 月 16 日上线,5 月份以来依然收到不少师傅的支持与反馈,此时正好到月末,特此整理下这段时间来 T Wiki 上所更新的内容,如果你还不知道 T Wiki 是什么,可以查看这篇文章 T Wiki 云安全知识文库上线,或者访问 T Wiki 地址:wiki.teamssix.com
📷 云原生安全 📷 1 专访腾讯安全副总裁董志强:我们该如何应对愈演愈烈的安全威胁? 腾讯在网络安全方面有二十多年积攒,同时在攻防主战场“云安全”上有着丰富的实践经验。面对网络安全不断变化的趋势,我们
浏览器输入https://146.56.225.44:30001/, 鼠标点击页面输入thisunsafe,让chrome信任,从而进入页面
云原生安全 1 如何在云原生中监控JVM指标 本文介绍了Java集成 Prometheus监控指标的两种实现方式 https://mp.weixin.qq.com/s/ik5cZ9I_E5QVExRaSvgmLA 2 Kubernetes中数据包的生命周期 本文将讨论Calico的安装、模块(Felix, BIRD, Confd)以及路由模式 https://mp.weixin.qq.com/s/NzpWsQXFAvwO7S1-cYRWrg 3 腾讯云百万容器镜像安全治理运营实践 本文将结合容器基础镜像方
云原生安全 1 公有云漏洞相关的资料整理 本项目提供公有云提供商的所有公开披露的漏洞列表 https://github.com/hashishrajan/cloud-security-vulnerabilities 2 2022云原生安全发展24个洞见 在长期跟踪容器安全的研究之后,本文基于各类材料,重点对容器发展、容器镜像安全、K8S发展的技术趋势进行整理分析 https://mp.weixin.qq.com/s/IHKgW-fj0C-ohlXCPlW_KQ 3 Cilium 开源 Tetragon –
随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比存在一定的差距。在应用容器和K8S过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器安全,已成为企业最关心的问题。
云原生安全 1 K8s污点容忍度横向主节点 本文讲述了K8s在进行节点横向移动过程涉及到的污点与容忍问题以及横向技巧 https://zone.huoxian.cn/d/1251-k8s 2 Cloud I Hack into Google Cloud 在本月初,Google宣布了去年2021的Google Cloud Platform的六个VRP漏洞( GCP VRP 奖旨在鼓励安全研究人员关注 GCP 的安全性,从而帮助我们为我们的用户、客户和整个互联网提高 GCP 的安全性),希望鼓励更多的安全研究
云原生安全 1 云安全书籍推荐必读榜 本文整理云安全领域推荐必读书籍,技术人通过相关专业知识的累积,可以实现自我提升与突破 https://mp.weixin.qq.com/s/D6Z-x9nTlnnsEQpQQ3NTrw 2 浅析K8S各种未授权攻击方法 本文为读者带来多个关于K8S的实验,并通过实验讲解K8S的未授权的利用方法 https://mp.weixin.qq.com/s/98s22bRsmEo_X1ahwG7Xww 3 一个容易犯的错误配置:云控制平面中的隐患 云开发的最大风险是没有认识到云
T Wiki 云安全知识库截止到今天 2022 年 11 月 6 日,共有 56 篇云安全文章、181 条云安全资源。
1 重新审视 Lambda 持久性攻击 与传统的基于服务器的环境相比,无服务器环境是一个非常不同的目标。本文将介绍如何在AWS的Lambda 中进行攻击持久化操作。。 https://frichetten.com/blog/revisiting_lambda_persistence/ 2 攻击者视角详谈K8S集群安全 本文将介绍集群中的横向攻击、K8S管理平台攻击、镜像仓库攻击、第三方组件攻击等攻击点。 https://tutorialboy24.blogspot.com/2022/09/a-detaile
AWS Systems Manager 代理工具可用作远程监控受感染的 SSM 代理,这是管理员用来管理其实例的合法工具,攻击者可以利用它来执行持久性的恶意活动。
前言 本文仅代表作者魏新宇的个人观点;在书写过程中,笔者与同事郭跃军进行了技术讨论,大有裨益,在此表示感谢! 一、K8S vs OCP, 网络端口访问方式 我在上一篇文章《深度理解:Openshif
云原生安全 1 云安全评估:渗透测试与入侵和攻击模拟 正如 DevOps 使基础架构成为一种代码形式一样,BAS 正在使云安全可编程、可测试且更可靠 https://www.safebreach.com/resources/cloud-security-assessment-pen-testing-vs-breach-and-attack-simulation/ 2 新型勒索软件Cheers正攻击VMware ESXi 服务器 据Bleeping Computer网站5月25日消息,一种名为“Cheers
云原生安全 1 如何使用RAUDI定期自动更新你的Docker镜像 RAUDI可以帮助我们避免通过手动的方式创建和管理大量Docker镜像 https://c1n.cn/qjVdm 2 Dockershim 即将被移除,你准备好了么 本次直播将带大家了解 K8s 弃用 dockershim 的前因后果及企业用户的应对法则 https://c1n.cn/FlLvi 3 云计算巨头迎战服务器芯片市场 云厂商为何纷纷自研芯片? https://c1n.cn/oEDN2 4 退烧的云游戏还需“添柴加火” 对于积极
T Wiki 是一个面向云安全方向的知识库,这一点是和其他文库最大的不同,也许这是国内第一个云安全知识文库?
1 VMware 系列产品之身份验证绕过和JDBC注入漏洞分析 VMware Workspace ONE Access 在 OAuth2 ACS 框架中有两个身份验证绕过漏洞,CVE-2022-22955就是其中一个,攻击者可通过获取OAuth2客户端的激活码,激活OAuth2客户端以此绕过身份验证;而CVE-2022-22957属于JDBC注入导致的远程代码执行,具有管理访问权限的攻击者通过可控参数构造恶意JDBC URL触发反序列化,从而执行任意命令获取系统权限。 https://www.anquank
本文介绍了Linux内核中的一处提权漏洞(CVE-2024-0193),此漏洞导致权限提升与任意代码执行风险。
云原生安全 1 ServerLess Aws Lambda攻击与横向方法研究 本文围绕lambda攻击场景、env利用以及移动移动进行了讲解与演示 https://mp.weixin.qq.com/s/iHA20KTzvzoDeqw2bAoTxA 2 前沿研究 | 云原生服务风险测绘分析(五):Etcd 本篇为云原生服务测绘系列的第五篇,主要从资产发现、资产漏洞、资产脆弱性发现三个维度对国内暴露的Etcd进行了测绘分析,最后笔者针对Etcd提供了一些安全建议,希望各位读者通过阅读此文可对Etcd服务风险暴
随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s和容器技术正逐步取代传统的物理机和虚拟机。
1 容器云安全的现状评估和未来发展趋势研判 容器云作为软件基础设施的引入和应用微服务容器化的改造,由于技术架构的改变势必伴生出了新的安全问题,广义上可分为应用安全和业务安全。本文重点关注前者,主要围绕三个方面介绍:容器云当前面临哪些安全威胁、容器云安全体系的建设思路、以及容器云安全的发展趋势。 https://mp.weixin.qq.com/s/ZZxd0sYmMljHeWX1_O13tw 2 微软:Kinsing 通过容器、PostgreSQL 瞄准 Kubernetes 微软发现一种针对 Linux
云原生安全 1 ECapture:无需CA证书抓https网络明文通讯 ECapture是一款基于eBPF技术实现的用户态数据捕获工具,无需要CA证书,即可捕获https/tls的通讯明文 https://mp.weixin.qq.com/s/DvTClH3JmncpkaEfnTQsRg 2 Docker和Containerd 全版本漏洞公布,请及时处理 近期在 Docker 中发现了一个影响所有版本的安全漏洞 CVE-2022-24769,该漏洞已经在 Docker 最新的版本v20.10.14中修复
随着万物网联和企业上云成为了主流趋势,对于正在数字化转型的企业而言,主机作为承载数据资产和业务管理的基础设施,其安全防护重要性日益凸显;与此同时,虚拟机、云主机、容器等技术的落地,也在打破虚拟和现实的安全边界,使主机面临的风险和挑战更加多元化。
在传统的做事方式中,服务器被视为捧在手心的宠物。例如,邮件服务器挂了,那所有基于其上的应用都玩完了,CEO无法收到邮件,供应商与公司失去了联系,好像来到了世界末日。
1 钓鱼网站“潜伏”谷歌广告,窃取亚马逊用户账密 Bleeping Computer 网站披露,一个新的网络犯罪活动将钓鱼网站隐藏在谷歌搜索结果中,以窃取亚马逊网络服务(AWS)用户的登录凭据。 https://mp.weixin.qq.com/s/HgWZ9WOZbtZ3IjX-8G42ng 2 利用Azure AD Kerberos票据,实现到云端的横向移动 在渗透测试过程中,如果获取域管理员权限并且当前存在一个云环境,那么整个 Azure 云仍然可能受到损害。在这篇博客中,将带您了解这个场景,并向您展
1 GCP 渗透测试笔记(译文) 本文对GCP渗透测试中应用到的基础知识与渗透测试技术点进行介绍。 https://zone.huoxian.cn/d/2661-gcp 2 2023年高级威胁攻击趋势预测 本文介绍了巴斯基公司的安全研究与分析团队GReAT对2023年高级威胁(APT)攻击的发展趋势进行的展望和预测。 https://www.aqniu.com/hometop/91104.html 3 使用 Cloud Shell 在 Google Cloud Platform (GCP) 中权限维持 IB
你好,这是 JavaGuide 的「优质 Java 开源项目推荐」第 13 期,每月一期,每一期我都会精选 5 个高质量的 Java 开源项目。
K8S,是Kubernetes(舵手)的简称,是Google在2014年6月开源的一个基于容器技术的分布式集群管理系统。后google捐赠给Cloud Native Computing Foundation(现属Linux基金会)来使用。
Terraform 是一种安全有效地构建、更改和版本控制基础设施的工具(基础架构自动化的编排工具)。
大家好,我是徐越,今天分享云原生安全这个话题,云原生安全这个话题其实太大了,我之前所做的一些研究成果,主要是在应用层,所以我们今天讨论的重点就围绕着云原生的应用安全。
徐蓓,腾讯云专家工程师,深耕云计算、K8s、离在线混部领域,K8s 社区贡献者,Memory QoS with cgroups v2 KEP 作者。 李波,腾讯云后台研发工程师,负责 TKE 版本发布及k8s技术支持。 背景 TKE 发行版(TKE Kubernetes Distro)是由腾讯云 TKE 发布的 K8s 发行版本,用于帮助用户创建安全可靠的 K8s 集群。用户可依托 TKE 发行版在自建或者托管机房、物理机或者虚机上,运行与 TKE 完全一致的 K8s 服务。TKE 发行版集群可无缝与腾
1 新的Linux 内核漏洞为攻击者提供了 root 权限 本文介绍了一个新的Linux NetFilter 内核漏洞,该漏洞允许无特权的本地用户将特权提升到root级别。 https://cloudsec.tencent.com/article/3HpkG6 2 严重的 RCE 漏洞导致数以千计的工业物联网设备遭受网络攻击 研究人员发现,即使平台没有主动配置云管理,三个工业蜂窝路由器供应商的云管理平台中的漏洞也会使网络面临远程代码执行的风险。 https://cloudsec.tencent.com/ar
近日,北京金融科技产业联盟发布《隐私计算技术金融应用研究报告》。该报告分析了隐私计算的关键技术,介绍了隐私计算相关的政策和法律法规,梳理了隐私计算技术在金融业应用情况及面临的问题,并从标准化建设、行业政策引导、技术发展等方面给出建议。
TKE(Tencent Kubernetes Engine) 是腾讯云提供的容器服务PAAS 平台,基于kubernetes, 集成了腾讯云vpc网络,负载均衡,存储等IAAS 资源,提供容器调度、日志、监控、镜像仓库,Helm编排,自动弹性伸缩,微服务治理,DevOps 等功能,为客户提供完整的企业级容器服务。
9 月 23 日,腾讯云宣布与业界领先的开源数据可视化公司 Grafana Labs 达成深度合作协议,共同开发和验证全新的 Grafana 托管服务,通过 Grafana Labs 开源软件与腾讯云的整合,帮助用户快速对云上负载及性能指标数据进行可视化监测。 据了解,Grafana Labs 基于领先的开源可视化及仪表板技术 Grafana 项目,为用户提供开放且灵活的数据可视化观测系统,目前其全球安装量已超过 750,000 次。腾讯云自今年 4 月开始就与 Grafana Labs 展开合作,通
1 Microsoft修补Azure云服务中的“危险”RCE漏洞 微软修补了云托管基础设施 Azure Service Fabric 组件中的一个“危险”的缺陷。如果被利用,将允许未经身份验证的攻击者在平台托管的容器中执行恶意代码。 https://cloudsec.tencent.com/article/1kYUYT 2 K8S攻击案例:内存泄漏导致集群接管 本案例通过heapdump泄露分析内存,发现了SA Token、API Server地址,并从API Server接口中获得了ConfigMaps凭
嘉为蓝鲸WeOps,国内首个支持国产化的一站式运维平台! - 腾讯云开发者社区-腾讯云 (tencent.com)
日常开发中,相信大家已经做了很多的自动化运维环境,用的最多的想必就是利用Jenkins实现代码提交到自动化测试再到自动化打包,部署全流水线 Jenkins在devops担任了很重要的角色,但是另一方面相信目前大家的代码版本管理大多都是交给git来管理,在企业私有部署的大背景下,Gitlab由于丰富的插件和细粒度更高的权限控制被大家所采用。 如果只是把Gitlab作为代码版本管理,那就大大浪费他的附加价值,在Gitlab中自带CICD功能,此功能就可完全代替Jenkins,这样一来,我们就不必维护多套系统,简化开发到运维的复杂度 实践 由于gitlab资源消耗严重,本地没有搭建,所以使用gitlab官方
陈 SuperEdge 开发者团队,腾讯云容器中心TKE Edge团队 摘要 SuperEdge 是基于原生 Kubernetes 的分布式边缘云容器管理系统,由腾讯云牵头,联合英特尔、VMware 威睿、虎牙、寒武纪、美团、首都在线等多家厂商在2020年12月共同发起的边缘计算开源项目,旨在将把 Kubernetes 强大的容器管理能力无缝的扩展到边缘计算和分布式资源管理的场景中,为边缘 IoT,边缘 AI,边缘智慧行业等赋能,推动物联网和数字化的落地。目前已成为 CNCF Sandbox 项目,由 C
如果一个集群中部署了多个应用,所有应用都在一起,就不太好管理,也可以导致名字冲突等。
完整系列k8s系列(1)-腾讯云CVM手动部署K8S_Dashboard安装1k8s系列(1)-腾讯云CVM手动部署K8S_Dashboard安装2k8s系列(2)-Servicek8s系列(3)-StatefulSet的MongoDB实战k8s系列(4)-MongoDB数据持久化k8s系列(5)-Configmap和Secretk8s系列(6)-Helmk8s系列(7)-命名空间k8s系列(8)-Ingressk8s系列(9)-容忍、污点、亲和介绍在腾讯云上新建集群,以及负载均衡,并通过Ingress访问
今天我讲的主要是关于腾讯云最近新上的一款产品CIS。我自加入腾讯云以来就一直在负责CIS的开发工作。不多说,我们直接进入主题。
根据Trellix高级研究中心的最新发现:CyberPower的数据中心基础设施管理(DCIM)平台存在4个漏洞,Dataprobe的iBoot电源分配单元(PDU)中存在5个漏洞。这些漏洞有可能削弱云服务的安全性。
腾讯云主办首个云原生百科知识直播节目——《云原生正发声》,每周二晚19:30 开播。《云原生正发声》围绕云原生技术领域,覆盖实时的云原生技术实践、性能优化、前沿趋势、当前热点、案例分享、大咖分享、开发者成长路径、就业方向选择等等内容。 【云原生正发声】开播至今,已推出4期啦~第五期干货主题更精彩! 腾讯大数据,基于多年在混部技术积累的实践经验与基于 Kubernetes 的全场景在线离线混部解决方案,对 K8s 零入侵,兼容各种场景(容器化、非容器化等),已经在腾讯内部业务多方落地,节约了上亿成本。 这些
11月4日,为期2天的腾讯数字生态大会在湖北武汉落下帷幕。在大会的云原生专场上,腾讯云容器服务 TKE 联合腾讯安全云鼎实验室,联合发布了《腾讯云容器安全白皮书》(简称白皮书)。白皮书对腾讯云容器用户进行了深入的调研和走访,结合长期以来的容器安全运营实践,详细梳理并分析了容器环境所面临的安全挑战,介绍了腾讯云在云原生容器安全建设上的思路、方案以及实践。这是国内首次大规模的对容器环境的安全现状进行分析总结。 (图1 白皮书在数字生态大会的发布现场) 云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特
导语 | 本文推选自腾讯云开发者社区-【技思广益 · 腾讯技术人原创集】专栏。该专栏是腾讯云开发者社区为腾讯技术人与广泛开发者打造的分享交流窗口。栏目邀约腾讯技术人分享原创的技术积淀,与广泛开发者互启迪共成长。本文作者是腾讯云原生架构师imroc。 本文主要介绍在腾讯云容器服务上如何安装KubeSphere及其踩坑与注意事项,希望可以给对此方面感兴趣的开发者们一些经验和帮助。 安装步骤 具体安装步骤参考KubeSphere官方文档:在腾讯云TKE安装 KubeSphere。 链接: https://kub
目前各种教程大多使用阿里源镜像,虽然使用腾讯云服务器也可以正常拉取,但因为走公网流量,速度会受公网带宽限制,如果是按量计费的实例会产生流量费用。建议腾讯云服务器用户使用内网环境的镜像地址(mirrors.tencentyun.com),体验更佳
本文介绍了最近发现的一个尚未公开的容器逃逸方法,当一个容器共享宿主机 PID namespace、且以 uid 为 0 运行(没有启用 user namespace、没有添加任何额外的 capabilities)时,可以利用某些进程的 `/proc/[pid]/root` 符号链接实现容器逃逸。
云原生安全 1 Linux内核漏洞——CVE-2022-0185分析与思考 本文帮助云安全从业者理解该漏洞的原理,并做好针对性的检测和防御工作 https://mp.weixin.qq.com/s/fk1aMbsgLDlyXIhNgyONRg 2 什么是云计算?带你全方位走进“云”世界 本文从云计算基础知识,到IaaS和PaaS等,带你深入了解云计算 https://36kr.com/p/1644021188256640 3 The Route to Host:从内核提权到容器逃逸 从Linux内核漏洞的
领取专属 10元无门槛券
手把手带您无忧上云