Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код
Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на диске, конфигурация в etcd, бинарники рантайма — каждый участок требует своей защиты. Рассказываем, как мы реализовали сквозной контроль целостности...
Best Practices по Dockerfile: от базового образа и кеша до SBOM, Cosign и CI/CD
Статья получилась большой: практик много, и каждая из них важна по-своему. Я собрал её как набор best practices: не все пункты нужны каждому проекту, но почти каждый пункт однажды всплывает на ревью, в CI или после неприятного инцидента. Я старался писать для разных грейдов: от базовых ошибок вроде...
Root в контейнере — это root на хосте? Разбираю важные особенности прав доступов в контейнерах Docker/Podman
Если назначить файлу владельца root на хосте — будет ли это тот же самый root внутри контейнера? Если на хосте существует пользователь gtosss — можно ли переключиться на него внутри контейнера и получить доступ к файлу? Если создать пользователя gtosss внутри контейнера и выдать ему права на файл —...
SELinux — Быстрый онбординг: типы, атрибуты, домены, политики и утилиты на практике
В статье пойдет речь о SELinux. Главная моя задача — провести быстрый онбординг о том, как работать с политиками доступов. Я хочу показать, что это вовсе не так сложно, как может показаться на первый взгляд. Буквально 15 минут ознакомления с базовыми понятиями дает 80% понимания как работать с...
Облачная безопасность в 2026 году: три критических направления, с которыми не справиться «вчерашними» инструментами
К 2026 году стало очевидно: классические подходы к защите информационных систем перестали работать не потому, что «появилось больше уязвимостей», а потому что изменилась сама природа инфраструктуры и атак. Руководитель информационной безопасности сегодня не «ставит продукты», а управляет риском в...
DevSecOps — от кода до контейнера
В выпуске CrossCheck обсуждали безопасную разработку, DevSecOps и то, почему внезапно все заговорили про контейнеры, секреты и «свои базовые образы». Читать далее...
Kubernetes с поддержкой confidential containers (CoCo). Хакеры и облачные провайдеры останутся ни с чем
Kubernetes, который нельзя взломать. Знакомьтесь с Confidential Containers - технология, которая скрывает ваши контейнеры ото всех. В посте мы разберем: 1. Секреты архитектуры невидимых подов 2. Волшебство аппаратного шифрования (TEE) на практике 3. Kata Containers как ключ к конфиденциальности 4....
gh0stEdit: как скрытно заразить Docker-образ, обходя его подпись и историю
Docker и контейнеризация давно стали стандартом. Мы подписываем образы, сканируем их на уязвимости, используем приватные реестры. Кажется, что цепочка поставки надёжно защищена. Но исследователи показали атаку gh0stEdit (arxiv.org, 2025), которая ломает привычные представления. Суть: можно внедрить...
Атаки на контейнерные системы и композиция данных для их обнаружения
Введение В последние годы контейнеризация и контейнерные системы стали конкурентной альтернативой виртуализации и виртуальным операционным системам, поскольку контейнерные системы предлагают более рациональный подход к использованию вычислительных ресурсов. Это достигается за счёт упаковки в образ...
С чего стоит начать защиту кластера Kubernetes. Какие индикаторы помогут обнаружить злоумышленника
С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа незащищенных (или неправильно сконфигурированных) кластеров, имеющих прямой доступ в интернет. Это создает...
Безопасность Kubernetes-кластеров: вредные советы или bullshit bingo
Как погубить кластер, действуя во благо? Подборка вредных советов из реальных кейсов и опыта от специалиста по безопасности контейнеров и Kubernetes. Вместе установим антивирус на ноды, просканируем хостовую ОС и заблокируем выкатки образов с чувствительной информацией. Привет, Хабр! Меня зовут...
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...
Подмания: запускаем графические приложения в контейнерах. Часть 2
Привет, Хабр! Это вторая статья о контейнеризации как стиле повседневного использования графических приложений в ОС Линукс. Здесь мы научимся безопасно запускать браузер и менеджер паролей, так как это близкие потребности. Здесь не будут повторяться инструкции, данные в первой статье, так как...
Обзор способов защиты контейнеров Docker: от простого к сложному
Безопасность Docker — один из главных вопросов, занимающих умы DevOps‑инженеров и аналитиков безопасности. Согласно последним отчетам Snyk и Red Hat более 44% всех контейнеров, которые находится в коммерческой эксплуатации, содержат уязвимости, даже несмотря на доступность обновления базовых...
Безопасность контейнеров на новом уровне: Погружение в Trivy
С ростом популярности контейнеров появилось множество преимуществ. Контейнеры являются основой архитектуры микросервисов, которые позволяют создавать облачные приложения любого размера. Однако из-за своей популярности контейнеры также являются главной мишенью для программ-вымогателей, хакеров и...
Как хакеры ломают облачную инфраструктуру хостинг-провайдера: кейс Standoff
В марте мы рассказывали, как хакеры ломают банки (за 48 часов!) и какие ИБ-продукты их защищают. Standoff 13 принес нам новые кейсы. Начнем с разбора взлома облачной инфраструктуры хостинг-провайдера Nodenest, который работал в вымышленном Государстве F. Вас ждет история о том, как продукт для...
Безопасность в Docker: от правильной настройки хоста до демона
Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Помогаю клиентам обеспечивать защиту инфраструктуры и участвую в разработке новых решений компании в сфере ИБ. И сейчас я начала больше погружаться в тему разработки и изучать лучшие практики по обеспечению...
Как получить лицензию ФСТЭК России. Опыт «Фланта»: процесс, сложности, советы
В России на разные виды деятельности нужны лицензии. Например, чтобы производить и продавать алкоголь и табачные изделия, требуется разрешение. Это касается и защиты конфиденциальной информации, разрешение на работу с которой выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК...
Назад