소개 직전 Dependency-track 구축 이후, 본격적으로 SBOM 수집을 해보려합니다. 먼저 kubernetes 에 구동되고 있는 Application 들에 대한 SBOM 을 주기적으로 수집하여 Dependency-track 에서 통합 관리 가능하도록 구축하려 합니다. 이를 위해 sbom-operator 를 활용할 것이며, Github repository 와 Dependency-track 을 아래와 같이 연동하여 SBOM 을 통합관리합니다. sbom-operator 란? sbom-operator 는 Kubernetes Cluster 의 모든 Image 에 […]
SCA – OWASP Dependency-track 구축
소개 Open Source 의 활용이 증가 함에따라 보안적으로 SCA(Security Composition Analysis) 의 중요성이 커지고 있습니다. SCA 를 이용하면 Open Source 라이브러리와 같은 어플리케이션 구성요소에서 발생할 수 있는 취약점들을 식별하고 관리하여 보안적으로 강화된 어플리케이션 배포를 가능하게 해줍니다. SCA 를 위한 오픈소스나 상용 제품들이 많이 존재하는데 그 중 OWASP 에서 만든 Dependency-track 을 구축하여 활용해보고자 합니다. OWASP […]
CSI Linux – 침해 사고 조사 및 분석을 위한 플랫폼(efficient digital investigation)
소개 Pentest 에 특화된 OS 인 Kali linux 는 많은 분들이 이용을 하고 계실텐데요. 반대로 사고 대응 및 조사를 위한 OS 도 몇가지가 있습니다. 그 중 CSI Linux 를 한번 설치하여 간단히 둘러보았습니다. CSI Linux 란? CSI 는 Crime Scene Investigation 의 약어인데요. CSI Linux 는 말그대로 디지털 포렌식을 위해 디자인된 OS 입니다. OS 를 […]
Github Action 에서 Trivy 이용한 Image vulnerability scan 해보자 (CI/CD Image scanning)
소개 Kubernetes 환경에서 Microservice 는 모두 image 기반으로 배포되고 운영이 됩니다. 그런만큼 image 보안에 대해 신경을 많이 써야하는데요. image 보안을 위해서는 image 에 대한 보안 스캔을 통해 취약점을 최소화하고 안전한 이미지 기반으로 서비스를 배포 해야합니다. Image Vulnerability Scanner 를 위한 오픈소스들은 여러가지가 존재합니다. AWS 를 사용하는 환경이라면 ECR 에서 제공해주는 Image Scan 기능도 많이들 사용을 […]
Flowpipe 활용한 자동화 워크플로우 구현 (cloud workflow automation)
소개 AWS 인프라 리소스를 다양한 SQL 쿼리로 조회 할 수 있도록한 steampipe 오픈소스를 평소에 많이 사용하고 있습니다. steampipe 는 Turbot 에서 만든 오픈소스인데요. Turbot 에서 만든 또 다른 유용한 오픈소스가 몇가지 더 있습니다. 다른 오픈소스도 있지만 위 3가지가 서로간에 연계되어 사용할 수 있도록 설계되어있습니다. 이 중에서 flowpipe 에 대해 알아보고 간단히 사용해보려 합니다. Flowpipe 란? […]
JWT Security – JWT Sidejacking (hijacking) 보안 방안
소개 JWT 는 stateless 성격을 가지고 있습니다. 그래서 별도의 세션 관리를 위한 DB가 필요없어 Microservice 환경에서도 많이 사용이 되고 있는데요. 하지만 이로인해 정해진 만료시간(expire) 시간 전에는 토큰이 유출되었다고 하더라도 유출된 토큰만 서버에서 파기할 방안이 없습니다. 그래서 짧은 만료시간을 설정하기를 권고하곤 하는데요. 공격자가 JWT 토큰을 가로채 정상 사용자로 가장하는 공격인 JWT sidejacking 공격에 취약할 수 있는데 […]
K8SLANPARTY – Challenge 5 Lateral Movement 풀이
소개 앞서 소개한 K8SLANPARTY 4 – Bypassing Boundaries 풀이에 이어 마지막 문제 5 – Lateral Movement 풀이를 공유해보려 합니다. 이번 문제는 Kyverno 와 관련된 문제입니다. 5 – Lateral Movement 문제 아래 사항들을 제공해주고 있습니다. 사전 필요 지식 풀이 1. env 확인 먼저 어김없이 env 를 한번 확인해봅니다. 특별한 건 보이지 않습니다. kubernetes service host 만 […]
Kubernetes Goat – K8S Security learning playground (k8s 보안 학습 놀이터)
소개 K8SLANPARTY 풀이를 통해서 k8s 환경에서 발생할 수 있는 보안 문제를 CTF 형식으로 풀어보았는데요. 이와는 다르게 k8s 환경에서 발생할 수 있는 다양한 보안 문제를 시나리오 기반으로 배우면서 학습할 수 있는 사이트가 있어 공유해보려합니다. Kubernetes Goat Kubernetes Goat 는 현재 약 20개의 시나리오를 기반으로 취약한 보안 문제를 가지고 있는 kubernetes 환경을 제공해 줍니다. 이 취약한 k8s […]
K8SLANPARTY – Challenge 4 Bypassing Boundaries 풀이
소개 앞서 소개한 K8SLANPARTY 3 – Data Leakage 풀이에 이어 4 – Bypassing Boundaries 풀이를 공유해보려 합니다. 이번 문제는 Service Mesh 인 istio 에서 istio-proxy 네트워킹과 관련된 문제입니다. 4 – Bypassing Boundaries 문제 문제에서 아래 정보들을 제공해주고 있습니다. Kubernetes 의 Service Mesh 와 관련된 문제인 것으로 보입니다. 필요 사전 지식 풀이 문제에서 Service Mesh 에 […]
K8SLANPARTY – Challenge 3 Data Leakage 풀이
소개 앞서 소개한 K8SLANPARTY 2 – Finding Neighbours 풀이에 이어 3 – Data Leakage 풀이를 공유해보려 합니다. 이번 문제는 NFS(Network File System) 프로토콜로 공유된 스토리지로부터의 데이터 유출을 확인해야하는 문제입니다. 3 – Data Leakage 문제 문제에서 아래와 같은 정보를 제공해주고 있습니다. Challenge 제목을 보아 데이터 유출 관련된 것이고 네트워크 기반의 접근제어만 적용되어있는 환경에서 flag 를 찾아야 […]