k8s (in)security

PII-Shield — open-source инструмент для защиты логов и данных от утечки персональной информации прямо в Kubernetes . Он работает как sidecar контейнер, перехватывает stdout/stderr, находит секреты и чувствительные данные до того, как они попадут в лог-системы.Сочетание Shannon Entropy для поиска неи...

Isopolicy — CLI инструмент от разработчиков Cilium для упрощения управления, проверки и тестирования Network Policy от Cilium в Kubernetes.Основные функции:- Статический анализ и проверка синтаксиса: Выполняет статический анализ политик для выявления распространенных ошибок конфигурации, таких как о...

KubeUser — это Kubernetes оператор для управления пользователями, доступами и kubeconfig без Keycloak, Dex и других тяжёлых IAM решений. Вместо ручной выдачи сертификатов и RBAC всё описывается декларативно через User CRD, а оператор сам создаёт доступы и готовый kubeconfig.Проект может быть полезен...

На прошлой неделе вышла новая версия Kubernetes 1.36 и в официальном блоге K8s сразу, друг за другом вышло 3 заметки посвящённые новым security улучшениям. Два из которых в данной версии и еще одно для предстоящей:- "SELinux Volume Label Changes goes GA (and likely implications in v1.37)"- "Kubernet...

Вышел Kubernetes 1.36 под кодовым названием Haru. И как обычно, мы рассказываем про улучшения и обновления с точки зрения security.Главное «ломающее» изменение — постепенный отказ от externalIPs, так как механизм позволял перехватывать трафик и создавать MITM-атаки. Также усиливается валидация IP/CI...

Недавно наткнулись на интересный доклад "Lateral Movements in Kubernetes" от исследователя из Microsoft c RSA Conference 2023.Доклад будет полезен как пентестерам, так и специалистам SOC, да и вообще всем кто защищает кластера Kubernetes.Речь в докладе заходит и про Threat Matrix for Kubernetes от M...

Unpatchable Vulnerabilities of Kubernetes: CVE-2020-8562 – очередная статья про unpatchable CVE в Kubernetes. Речь о баге в API server proxy, который позволяет обойти защитные фильтры и обращаться к внутренним сервисам кластера через SSRF подобную атаку.Kubernetes дважды резолвит DNS (для проверки и...

RootlessKit — инструмент, который позволяет запускать контейнеры без прав суперпользователя (root). Он создает изоляцию и видимость "мнимого root" (fakeroot), защищая основную операционную систему хоста от потенциальных угроз и атак через контейнеры.Основные функции:- Пространства имен (Namespaces):...

k8scout — это экспериментальный open source инструмент для offensive security в Kubernetes, который строит граф атак и помогает понять возможные пути эскалации после первоначального доступа.Проект фокусируется именно на пост-эксплуатации: анализирует права, роли и связи (pod → service account → role...

21 марта 2026 года в Амстердаме прошла конференция Cloud Native Rejekts EU 2026 (запись 1 зала, 2 зала) и естественно были доклады и по информационной безопасности, касающиеся контейнеров и Kubernetes. Мы для вас выделили наиболее интересные:- "Hardening Kubernetes: Our Journey to FIPS Compliance" -...

Заключительная статья "Seccomp in K8s 3/3: Measuring, Scoring, and Scaling with Seccompute" о Seccomp в контексте цикла статей от Mark Manning.Автор поднимает главный вопрос: как вообще понять, что ваш seccomp профиль «хороший», а не просто кажется таким. Он показывает, что без метрик и объективной ...

Мало кто знает, но группировка TeamPCP, через скомпрометированный сканер безопасности trivy не только похищала пароли или устанавливала бэкдоры, но наносила прямой ущерб, уничтожая Kubernetes кластера.Для этого они через модуль в CanisterWorm, названного "host-provisioner-iran", который был разработ...