Search
【9月9日至9月15日重點新聞】
除了自我要求較高的企業設置資安長,今年我國金融監理主管機關金管會研議修法,強制符合條件的金融機關必須設置,相關法令修訂將在9月陸續生效。
而本周受關注的威脅方面,微軟CVE-2021-40444漏洞與全新殭屍網路Mēris的DDoS攻擊趨勢備受關注。
還有一種釣魚威脅也值得注意,過去幾年已經發生,近一年來變得嚴重。簡單來說,現在許多網路服務會串接其他大型服務帳號,透過ID Federation的方式,簡化用戶在註冊帳號時的過程,但近年一直傳出攻擊者利用應用程式,以OAuth身分驗證誘騙使用者的方式,欺騙使用者授予權限,如此一來,攻擊者若取得Token,就能在不知道密碼的情況下,竊取該帳號的機密資料。此外,OpenSSL 3.0在本周釋出也成焦點
【9月9日至9月15日重點新聞】
除了自我要求較高的企業設置資安長,今年我國金融監理主管機關金管會研議修法,強制符合條件的金融機關必須設置,相關法令修訂將在9月陸續生效。
而本周受關注的威脅方面,微軟CVE-2021-40444漏洞與全新殭屍網路Mēris的DDoS攻擊全球趨勢備受關注。
還有一種釣魚威脅也值得注意,過去幾年已經發生,近一年來變得嚴重。簡單來說,現在許多網路服務會串接其他大型服務帳號,透過ID Federation的方式,簡化用戶在註冊帳號時的過程,但近年一直傳出攻擊者利用應用程式,以OAuth身分驗證誘騙使用者的方式,欺騙使用者授予權限,如此一來,攻擊者若取得Token,就能在不知道密碼的情況下,竊取該帳號的機密資料。此外,OpenSSL 3.0在本周釋出也成焦點
ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
【 as seen on me 】
綠色羅紋背心 ZARA https://go.zara/3sa45Du
白色褲子 Corban https://bit.ly/3vMrxt4
白色靴子 Afad https://bit.ly/3c48oL3
耳環 Ana Luisa https://www.analuisa.com/collections/earrings/products/gold-kinoko-marble-earrings-blue
米色包包 Chanel Top Handel Flap Bag Code: AS1174 Season: FW2019 類似款 https://bit.ly/3tJncoB
棕色包包 Polène number one nano https://bit.ly/3r6tddb
綠色長裙 https://petitestudionyc.com/collections/new-arrivals/products/birkin-dress-green-print?rfsn=1293829.4cf5c&utm_source=refersion&utm_medium=affiliate&utm_campaign=1293829.4cf5c&token=ZVPZI
白色針織上衣 https://petitestudionyc.com/collections/new-arrivals/products/juliet-top-white?rfsn=1293829.4cf5c&utm_source=refersion&utm_medium=affiliate&utm_campaign=1293829.4cf5c&token=ZVPZI
棕色裙子 https://petitestudionyc.com/collections/new-arrivals/products/patti-skirt-beige?rfsn=1293829.4cf5c&utm_source=refersion&utm_medium=affiliate&utm_campaign=1293829.4cf5c&token=ZVPZI
[ 八折碼 20% off code: jcnana20 或是使用連結]
Top ZARA https://www.zara.com/tw/zt/%E7%9F%AD%E7%89%88%E7%B9%9E%E9%A0%B8%E5%90%8A%E5%B8%B6%E4%B8%8A%E8%A1%A3-p04174180.html?v1=87924169
褲子 @ZaZa_twentyone
外套 @ZaZa_twentyone
絲巾 Dior https://bit.ly/3bTMCJU
藍色襯衫 @ZaZa_twentyone
牛仔褲 @ZaZa_twentyone
杏色涼鞋 中正台某條街
藍色上衣 https://petitestudionyc.com/collections/new-arrivals/products/juliet-top-light-blue-1?rfsn=1293829.4cf5c&utm_source=refersion&utm_medium=affiliate&utm_campaign=1293829.4cf5c&token=ZVPZI
黑色落地褲 不記得了,在台灣買的
黑短靴 https://bit.ly/3vJFibG 黑色好像賣完了,可以去店裡問問 :(( 但是這雙很像 https://bit.ly/3bZvNNI
159cm 47kg 腰24" 臀34"
【 來找我玩! 】
IG: https://www.instagram.com/itsjcnana/
FB: https://www.facebook.com/itsjcnana/
B站:ItsJcnana
Weibo: Jcnana蒨蒨
【 字幕 】讓更多有需要的人看到影片!
如果你們想要幫忙一起上中/英字幕的話:
https://www.youtube.com/timedtext_cs_panel?c=UCve95LeIMcvUNOGaFiAMwWg&tab=2
非常感謝你
【 BGM 】
Dancing It Off by Elin Sandberg feat. Christine Smit
We Don't Listen by Mindme feat. Le June
【 filming equipment 】
vlogging 相機 http://amzn.to/2AjqK8N
主相機 https://amzn.to/3egmFCM
腳架 https://amzn.to/3ed6Uwc
小腳架 https://amzn.to/3gkmZSM
剪輯影片程式 https://apple.co/1rqrte5
燈光 http://amzn.to/2BwQlsE
世界不斷數位化,藝術品卻還在牆上。數位藝術品受限於網路「無限複製」的特性,缺乏稀缺。「非同質化代幣」(Non-Fungible Token, NFT)能製作獨一無二的數位代表物。因此近來不論是數位藝術品、籃球影片、球鞋、遊戲,甚至是電子報都嘗試用 NFT 開發新產品。NFT 很可能是泡沫,但泡沫卻會吹大產業的想像力。最值得投資的不是 NFT,而是理解數位經濟的新玩法。
特別感謝《寶博朋友說》podcast 主持人葛如鈞參與對談。葛如鈞為台北科技大學互動系助理教授,矽谷奇點大學(Singular Uniuveristy)學程第一屆學生。他曾開發摩斯漢堡行動點餐程式 MOS ORDER、穿戴式相機 LUNA,以及協助開發加密貨幣 SELF Token。
聽眾優惠:point_right:http://bit.ly/2DE3GBE
(在優惠碼欄位填寫 podcast ,用 199 元收看全部科技島讀內容)
----------
YouTube 更新比較慢,歡迎你到這裡看最新的科技島讀 Podcast: http://bit.ly/31Gjmis
#區塊鏈#NFT#數位藝術品
選項3:企業管理平台中的發佈商步驟:. 步驟1:建立新的應用程式編號(僅用於存取權杖). 步驟2:在企業管理平台上 ... ... <看更多>
本篇範例為取得用戶管理的粉絲專頁永久存取權杖( Access Token ),進而用來開發粉絲按讚數顯示器。 建立Facebook for Developers 應用程式. 開啟Facebook ... ... <看更多>
token程式 在 TDX運輸資料流通服務API介接範例程式碼說明 - GitHub 的推薦與評價
API認證機制. TDX API皆使用OIDC Client Credentials流程進行身份認證,認證完成後即取得Access Token,將Access Token帶入即可存 ... ... <看更多>