Посмотрел вебинар по mTLS для Java сервисов в Kubernetes. Настроил себе подобное в небольшом кластере — заметил, что конфигурация сертификатов и sidecar-ов занимает больше времени, чем сам деплой. В прод такие штуки катать нужно аккуратно, особенно на легаси-стеке. Бездумно накручивать mTLS на каждый сервис — это я, конечно, понимаю, но часто это просто замена нормальной архитектуры на «безопасность ради безопасности». Мой опыт подска...

#mTLS #Kubernetes #Java #DevOps #ServiceMesh #Сертификаты

Вебинар «mTLS для Java сервисов в Kubernetes»

Приглашаем на

https://habr.com/ru/companies/axiomjdk/articles/1051482/

#java #axiomjdk #криптография #kubernetes #mtls #криптопро #гост #разработка #ключи #сертификаты

Learn how to secure Kubernetes microservices with mTLS (mutual TLS) — enable Istio STRICT mode, automate certificate rotation with cert-manager, implement SPIFFE/SPIRE workload identity, and debug CERTIFICATE_VERIFY_FAILED errors with practical kubectl and istioctl commands.

https://iamdevbox.com/posts/mtls-certificate-authentication-microservices-kubernetes/?utm_source=mastodon&utm_medium=social&utm_campaign=blog_post

#Kubernetes #mTLS #ZeroTrust #ServiceMesh #Istio

mTLS на практике: от модели угроз до реальных атак на сервер

Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

https://habr.com/ru/companies/ruvds/articles/1031920/

#сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи

Вход по УКЭП в корпоративных системах: практическая архитектура

Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.

https://habr.com/ru/articles/1028582/

#укэп #mtls #pki #oidc #аутентификация #криптография_гост

mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

https://habr.com/ru/articles/1025856/

#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

Holy crap! This is not a drill!

Mutual TLS now available on HA for macOS.

Now just need Jellyfin and Finamp and everything else to follow suit.

#HomeAssistant #mTLS

Tinkering with #mTLS today.

I was able to use it to secure #wavelog and it seems to work as expected, but trying to do the same with #homeassistant , on the other hand, broke access entirely.

What's frustrating is that there seems to be very little feedback when it doesn't work. Server logs didn't show any unauthorized access attempts, the browser just kept timing out.

I was initially hoping that I could use mTLS to securely access some of my private services without my VPN, but I'm also finding that many applications (like #symfonium) don't support mTLS, anyway.  Is it worth continuing to try to make it work?   I haven't decided.

Гайд по быстрому мониторингу Linux-хостов в Grafana без Zabbix

Всем привет! Меня зовут Анатолий Зотов, я системный архитектор SOC в RED Security. Как центр мониторинга и реагирования на кибератаки, мы должны быстро и внятно видеть, что происходит с железом и ОС на хостах: не кончается ли место на диске, не улетела ли память и не уперся ли CPU в потолок. Как это реализовать, да еще и безопасно? Когда мы только приступали к задаче, первой мыслью, конечно, был Zabbix, как и у половины планеты. Но у нас никто не горел желанием поднимать еще одну систему, раскатывать агенты, подбирать шаблоны и разбираться с нюансами. Времени, как обычно, не завезли. А вот Grafana у нас уже была, поэтому я подумал — а что, если просто использовать то, что уже есть? Так я и наткнулся на связку «node_exporter → Prometheus → Grafana». Эта статья для тех, кто хочет быстро начать мониторить хосты и не готов тратить вечность на внедрение тяжелой системы, особенно если Grafana уже живет в вашей инфраструктуре. Если Grafana и Prometheus у вас еще нет, то дополнительно расскажу быстрый старт через Docker Compose.

https://habr.com/ru/companies/ru_mts/articles/1008244/

#Prometheus #Grafana #Node_Exporter #мониторинг #Linux #системный_мониторинг #TLS #mTLS #Docker_Compose #observability