Habr5d ago

[Перевод] От capabilities к AppArmor: что реально остановит атакующего в контейнере

Скомпрометированный контейнер — это момент истины для всех настроек безопасности: злоумышленник уже внутри, команды выполняются, и дальше важно понять, что действительно ограничит его действия. В этой статье на одной рабочей нагрузке разбирается, как capabilities, seccomp и AppArmor закрывают разные участки атаки в Kubernetes, где каждый механизм упирается в свои пределы и почему защита контейнеров работает только как набор слоёв. Разобрать защиту

https://habr.com/ru/companies/otus/articles/1039572/

#безопасность_Kubernetes #безопасность_контейнеров #container_security #capabilities #seccomp #LSM #AppArmor #securityContext #защита_кластера

От capabilities к AppArmor: что реально остановит атакующего в контейнере

Представьте себе обычный контейнер с веб-приложением. В нём есть уязвимость, злоумышленник получает возможность выполнять команды — и дальше начинается самое интересное: что именно его остановит? Не в...

Хабр
Robin OpletalJul 3, 2023
Is it possible to set #securitycontext limitations per namespace in #hashicorp #nomad?
Bilgin IbryamNov 29, 2022
10 Should Know Kubernetes #securityContext Settings
https://snyk.io/blog/10-kubernetes-security-context-settings-you-should-understand/
10 Kubernetes Security Context settings you should understand | Snyk

In this cheatsheet, we will take a look at the various securityContext settings, explore what they mean and how you should use them.

Snyk
Bilgin IbryamNov 23, 2022

Looking for a quick feedback:

Are you setting #securityContext on Kubernetes containers?

If YES, how do you find out which capabilities you container will need without using some SELinux tools?