Introdução à Segurança de Containers e Kubernetes

•Télécharger en tant que PPTX, PDF•

1 j'aime•3,803 vues

Apresentação de Alexandre Sieira na edição online do evento Mind The Sec Rio de Janeiro de 2020. Oferece uma introdução a conceitos básicos de segurança de containers e do orquestrador Kubernetes.

Technologie

Alexandre Sieira
• Empreendedor em segurança de informação
• Fundador da Tenchi Security
• Gerente do time de Product Management de
todos os serviços de detecção do MSS da
Verizon
• Co-Fundador e CTO da Niddel
• Co-Fundador e Principal do MLSec Project
• Co-Fundador e CTO da CIPHER

• Dockerfile é parte do código;
• Imagem base especificada no FROM
que vem de um registry;
• Especificação de pacotes e
configuração do “sistema
operacional”;
• Cópia de arquivos de código,
configuração e ou dados;
• Segredos e configurações em
variáveis de environment;
• Roda como root por default
(https://engineering.bitnami.com/articles/why-non-root-
containers-are-important-for-security.html)

https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/

https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability
https://docs.docker.com/engine/security/https/

https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/
Soluções de CI/CD e
repositórios de imagens
são concentradores de
risco!

https://www.kennasecurity.com/blog/one-fifth-of-the-most-used-docker-containers-have-at-least-one-critical-vulnerability/

https://vulnerablecontainers.org/
Escolher boas imagens como base faz muita diferença…

Trivy: (https://github.com/aquasecurity/trivy)

https://github.com/mlsecproject/gglsbl-rest

https://aws.amazon.com/about-aws/whats-new/2019/10/announcing-image-scanning-for-amazon-ecr/

https://cloud.google.com/container-registry/pricing

https://docs.microsoft.com/en-us/azure/security-center/container-security

• Kubernetes é o padrão de
mercado.
• Especificação em arquivos
YAML.
• Inseguro por default, segurança
vêm melhorando aos poucos.
• Complexo de operar.

https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
Orquestradores
representam
uma superfície
de ataque
bastante
importante.

A Pod Security Policy is a
cluster-level resource that
controls security sensitive
aspects of the pod
specification.
The PodSecurityPolicy objects
define a set of conditions
that a pod must run with in
order to be accepted into the
system, as well as defaults for
the related fields. They allow
an administrator to control
the following:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/

https://github.com/aquasecurity/kube-bench
Variedade de soluções open
source e comerciais (CWPP)
disponíveis para implementar
segurança para ambientes
containerizados.

The Path Less Traveled: Abusing Kubernetes Defaults
Black Hat 2019
https://youtu.be/HmoVSmTIOxM
Ian Coldwater (@IanColdwater) e Duffie Cooley (@mauilion)

Contenu connexe

Tendances

DevSecOps

Eleriane Cristina Costa

Apresentação da Empresa - Jan/2014

GVTech

Introducao WAF Tchelinux 2012

Jeronimo Zucco

Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...

Jeronimo Zucco

Cisco lança primeiro firewall com detecção avançada de violação e remediação em único dispositivo A nova solução prevê que a defesa integrada contra ameaças ajude as empresas a lidarem com seus maiores riscos, as ameaças avançadas e de dia-zero. A Cisco está mudando a maneira como as organizações se protegem contra ameaças à segurança cada vez mais sofisticadas, com o lançamento mundial, hoje, do Cisco ASA com FirePOWER Services, que oferece proteção contínua e integrada antes, durante e depois de um ataque. A solução oferece a identificação contextual completa e os controles dinâmicos necessários para avaliação das ameaças automaticamente, além de correlacionar a inteligência e otimizar as defesas para a segurança de todas as redes. Este é o primeiro produto a integrar o firewall Cisco ASA 5500 Series com controle de aplicações e o líder da próxima geração de sistemas de prevenção de intrusão (Next-Generation Intrusion Prevention Systems, NGIPS) com a proteção avançada contra malware (Advanced Malware Protection, AMP) da Sourcefire®.

Conteúdo Técnico Cisco ASA com FirePOWER

Cisco do Brasil

Bruno Medico CV 2018

Bruno Del Medico

Be Aware Webinar - Clique aqui, é seguro!

Symantec Brasil

Automatizando seu hardening com o Ansible - Matheus Guizolfi

Tchelinux

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Alcyon Ferreira de Souza Junior, MSc

Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Alcyon Ferreira de Souza Junior, MSc

Usando Ansible para Orquestração de Segurança e Conformidade

Alexandro Silva

Práticas de DevOps e Entrega Contínua ajudam a aumentar a frequência de deploys na sua empresa, ao mesmo tempo aumentando a estabilidade e robustez do sistema em produção. Com o foco em automação, é possível realizar diversos deploys por dia, porém é comum encontrar resistência do time de operações quando você tenta colocar isso em prática. Nesta palestra iremos apresentar alguns padrões de deploy que irão te ajudar a diminuir o risco ao implantar novas versões de seus sistemas e aplicativos em produção e discutiremos como estreitar a colaboração entre as equipes de desenvolvimento e de operações para implantar DevOps na sua empresa.

Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato

Thoughtworks

Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...

Symantec Brasil

See Project - Segurança em Cloud Computing FLISOL GO 2010

Marcelo Fleury

O que há de Interop no Windows Server 2012 R2 [MVP ShowCast 2013 - IT - Inter...

MVP ShowCast

Palestra GlobalSign

Clavis Segurança da Informação

Owasp Chapter Cuiabá

OWASP_cuiaba

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação

Implementando APIs REST mais seguras - TDC 2019 - Porto Alegre

Renato Groff

Como se tornar um especialista em Desenvolvimento Seguro de Software

Alcyon Ferreira de Souza Junior, MSc

Tendances (20)

DevSecOps

Apresentação da Empresa - Jan/2014

Introducao WAF Tchelinux 2012

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...

Conteúdo Técnico Cisco ASA com FirePOWER

Bruno Medico CV 2018

Be Aware Webinar - Clique aqui, é seguro!

Automatizando seu hardening com o Ansible - Matheus Guizolfi

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Usando Ansible para Orquestração de Segurança e Conformidade

Padrões de deploy para DevOps e Entrega Contínua, por Danilo Sato

Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...

See Project - Segurança em Cloud Computing FLISOL GO 2010

O que há de Interop no Windows Server 2012 R2 [MVP ShowCast 2013 - IT - Inter...

Palestra GlobalSign

Owasp Chapter Cuiabá

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação

Implementando APIs REST mais seguras - TDC 2019 - Porto Alegre

Como se tornar um especialista em Desenvolvimento Seguro de Software

Similaire à Introdução à Segurança de Containers e Kubernetes

Nesta apresentação são abordados cenários comuns em que a utilização de containers Docker pode expor novos tipos de problemas de segurança, que talvez você não tenha considerado, algumas ferramentas de análise e hacking, assim como dicas que você pode usar para garantir que não deixe as portas abertas quando você implantar em produção. Palestra de Fernando Silva, apresentada no Tchelinux Bento Gonçalves 2017. * Link original do autor: https://speakerdeck.com/fernandodebrando/analise-de-seguranca-e-hacking-de-containers-docker * Link do perfil do autor no Speaker Deck: https://speakerdeck.com/fernandodebrando/ Fernando Silva é Analista de Desenvolvimento na KingHost, graduado em Análise e Desenvolvimento de Sistemas (ADS) pela Faculdade Senac Porto Alegre, onde ganhou o Prêmio Keller de melhor trajetória acadêmica. Atualmente faz pós-graduação em Segurança Cibernética pela UFRGS, além disso, é um dos coordenadores da comunidade PHP-RS, é entusiasta Open Source e Software Livre.

Análise de segurança e hacking de containers Docker - Fernando Silva - Tcheli...

Tchelinux

Por muito tempo desenvolvedores e administradores de infraestrutura tentam fazer integrações para que a implantação (deployment) seja mais efetiva, com menos sofrimento ao portar do ambiente de desenvolvimento para homologação/produção. Essa apresentação introduz ao movimento DevOps, que aproxima desenvolvedores e administradores de sistema (sysadmin), para que trabalhem em maior sinergia. A proposta é ilustrar os pilares da cultura DevOps, bem como os softwares que a permeia, focada em ferramentas e práticas reais, com exemplos do ecossistema PHP.

DevOps: desenvolvedores e sysadmins cooperando na prática

Ari Stopassola Junior

ORACLE ADVANCED SECURITY

Washington Luiz Vaz

IBTA - Oracle Database Security

Rodrigo Almeida

Pervasive Encryption é uma funcionalidade do zOS 2.2 e 2.3, popularizada pela nova z14. Vamos abordar: . Introdução à Pervasive Encryption . Políticas Regulamentórias e necessidades de negócio . O que deve ser criptografado? De quem é a responsabilidade? . Características básicas e suporte . Segregação de papeis . Arquivos Suportados. Métodos de acesso suportados, exceções e requisitos mínimos . Implementação de z/OS Data Set Encryption . Implementação básica de Pervasive Encryption

Pervasive Encryption por Eugênio Fernandes (IBM)

Joao Galdino Mello de Souza

Azure Sphere: a evolução da plataforma de IoT concebida com princípios de seg...

Walter Coan

2019 - GUOB MeetUp - Journey to Cloud and DBA Career

Marcus Vinicius Miguel Pedro

2019 - Natura MeetUp - Journey to Cloud and Relational Databases

Marcus Vinicius Miguel Pedro

Microservices tornaram-se o tema mais quente na arquitetura de software durante o ano passado, e muito pode ser dito sobre os seus benefícios. Mas, existem inúmeros desafios relacionados a implementação e propagação de segurança no contexto destes componentes. Esta palestra abordará como realizar os cenários de autenticação e autorização com microservices, cobrindo tecnologias como OAuth2, JSON Web Token, utilizando a plataforma do Spring Cloud Security afim de integrar-se com aplicações Spring e/ou Java EE.

GUJavaSC - Protegendo Microservices em Java

Rodrigo Cândido da Silva

Em uma visão macro, o que tiveram destaque para uma filtragem mais especificas foram o ZEND2 devido a robustez e grande credibilidade de mercado, CodeIgniter devido a grande parte do que saim do desenvolvimento "comum" e passam a ter um primeiro contado com algum tipo de framework, e suas comunidades bastante ativas, e Yii a mais jovens desse framework, porém com um grande crescimento nos últimos anos no meio do desenvolvimento PHP. Obtive um resultado positivo, pois aderir por uma escolhe bastante objetiva e que hoje tem me dado resultado de usabilidade e tempo.

Analise frameworks php

Igor Moura

Dicas de como entrar no mundo do DevSecOps

GDGFoz

TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...

tdc-globalcode

Protegendo Docker

guilhermeoki

Embarcadero Conference 2018 - Primeiros passos com o framework Sencha Ext JS (Começe a desenvolver aplicações ricas para web universais, desktop ou mobile com o mais completo framework JavaScript. Sencha Ext JS é um framework completo tornando o desenvolvimento de "Single Page Application" altamente produtiva com um enorme conjunto de componentes, temas visuais modernos, estrutura MVVM/MVC, diversas ferramentas auxliares além de possuir uma excelente documentação.)

Primeiros passos com o framework Sencha Ext JS

Wemerson Januario

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

Rodrigo Marques Teixeira

Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil

Renato Groff

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...

Walter Coan

Muitas vezes quando desenvolvemos aplicações de escaláveis hoje em dia, acabamos atrelando parte deles a uma nuvem especifica. Porém isso traz problemas para como vendor lock-in, dificuldade de rodar em ambiente local, falta de portabilidade e entre outros problemas. E existem serviços em comum que são acessados em nuvem como Banco de Dados, Filas de Mensageria, Armazenamento de arquivo, logs, tracing e que poderiam ser abstraídos e preferencialmente intercambiáveis entre nuvens. Nessa palestra quero mostrar como desenvolver apps mais portáveis e ainda assim mantendo as vantagem de se rodar em nuvem.

Construindo aplicações Cloud Native em Go

Alvaro Viebrantz

Keynote nuvem estaleiro_ics

Horacio Ibrahim

TDC2016SP - Trilha DevOps Java

tdc-globalcode

Similaire à Introdução à Segurança de Containers e Kubernetes (20)

Análise de segurança e hacking de containers Docker - Fernando Silva - Tcheli...

DevOps: desenvolvedores e sysadmins cooperando na prática

ORACLE ADVANCED SECURITY

IBTA - Oracle Database Security

Pervasive Encryption por Eugênio Fernandes (IBM)

Azure Sphere: a evolução da plataforma de IoT concebida com princípios de seg...

2019 - GUOB MeetUp - Journey to Cloud and DBA Career

2019 - Natura MeetUp - Journey to Cloud and Relational Databases

GUJavaSC - Protegendo Microservices em Java

Analise frameworks php

Dicas de como entrar no mundo do DevSecOps

TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...

Protegendo Docker

Primeiros passos com o framework Sencha Ext JS

Azure Bootcamp 2018 - DevOps para profissionais de Infra - Infomach / Goiânia

Implementando APIs seguras na nuvem - Outubro-2018 - Azure Brasil

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...

Construindo aplicações Cloud Native em Go

Keynote nuvem estaleiro_ics

TDC2016SP - Trilha DevOps Java

Plus de Tenchi Security

Attackers do not always land close to their objectives (data to steal). Consequently, they often need to move laterally to accomplish their goals. That is also the case in cloud environments, where most organizations are increasingly storing their most valuable data. So as a defender, understanding the possibilities of lateral movements in the cloud is a must. Because the control plane APIs are exposed and well documented, attackers can move between networks and AWS accounts by assuming roles, pivoting, and escalating privileges. It is also possible for attackers to move relatively easily from the data plane to the control plane and vice-versa. In this talk, we are going to explore how attackers can leverage AWS Control and Data Planes to move laterally and achieve their objectives. We will explore some scenarios that we discovered with our clients and how we approached the problem. We will also share a tool we created to help us visualize and understand those paths.

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...

Tenchi Security

Slides of the talk presented at DEF CON Cloud Village on August 12th, 2022 by Alexandre Sieira. Contains research content from Glaysson Tomaz and Marcelo Lima as well. Recently the Conti ransomware group internal chat leaks was fascinating reading. Among other things, it reminded us that both well-intentioned and malicious actors are constantly trying to find ways to find vulnerabilities and develop exploits to widely used IT products. This is particularly true those that are externally exposed firewalls, VPNs and load balancers, or security products that might thwart their techniques and tools. The timeline from the chats seems to show a gap of several months between Conti members trying to procure either appliances or commercial software that they were trying to get for these purposes. This got us thinking about how the major cloud service providers these days have marketplaces where you can easily buy virtual appliances or SaaS licenses for lots of widely used IT and security products with little more than a valid credit card, in minutes. And we decided to check how feasible it is to use this to conduct vulnerability research. In this presentation we will show what kind of access one can get to the internals of IT and security products using these marketplaces, particularly in the case of products only typically offered in hardware appliances. Which cloud providers try to prevent this sort of activity, how they do it, which ones simply don't care, and what techniques we were able to use to access these appliance's internals. The objective here is threefold: 1) help well intentioned vulnerability researchers find an easier avenue to do their work; 2) allow cloud providers to get a better understanding of how their marketplaces can be abused and which controls they could implement to mitigate that risk, and 3) let IT and security vendors realize the added exposure of publishing their products on these marketplaces.

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

Tenchi Security

Like all major public cloud providers, AWS allows users to expose managed resources like S3 buckets, SQS queues, RDS databases, and others publicly on the Internet. There are legitimate uses for making resources public, such as publishing non-sensitive data. However, we often find that this functionality is mistakenly used, often due to a lack of cloud security expertise, to erroneously expose sensitive data. News of exposed S3 buckets are sadly very frequent in the specialized media. It is important to note, however, that there are many other relevant kinds of AWS resources that can be equally dangerous when publicly exposed but that doesn't get nearly as much scrutiny as S3 buckets. In this talk we are going to describe some of the methods that researchers and attackers use to discover and exploit these publicly exposed resources, and how cloud providers and defenders can have taken action to monitor, prevent and respond to these activities. Presented at DEF CON 29 Cloud Village.

Hunting for AWS Exposed Resources

Tenchi Security

Serverless applications are a really interesting new trend that promises benefits such as increased scalability and reduced cost. Frameworks like Serverless Application Model (SAM) and Serverless Framework are increasingly used to build them. APIs are a natural part of serverless applications, and in AWS that typically is implemented using the AWS API Gateway backed by Lambdas that implement the actual API endpoint logic. Our research focused on API Gateway Lambda Authorizers. This is a feature that allows developers to use a custom authentication and authorization scheme that uses a bearer token authentication strategy (like JWTs, OAuth or SAML), or that uses request parameters to determine the caller's identity and enforce which API endpoints they are allowed to access. We will present (AFAIK novel) techniques to attack the authentication and authorization of APIs that use Lambda Authorizers. We show how IAM policy injection is possible in theory but highly unlikely in practice due to some good decisions by AWS. We also show a class of problems based on incorrect security assumptions baked into AWS' own documentation and Lambda Authorizer open source code templates. Sample source code will be provided to demonstrate all techniques. Presented at DEF CON 29 Cloud Village.

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...

Tenchi Security

Monitoring events will always be a big challenge for defensive teams. Now, with the increasing adoption of cloud by enterprises, new data sources are needed to monitor these services and detect security incidents. In the AWS Cloud ecosystem, the primary source of visibility of the control plane activities is called CloudTrail. Leveraging CloudTrail allows you to observe any action that happens in AWS services you use, with a small set of exceptions. The AWS service APIs provide around 7,000 different actions (and growing!) that, when logged, give a lot of extra info that can be correlated and used to find malicious activities. However, as with most data sources, it is very noisy. Plus, it fails to include in its events critical contextual information that threat hunters need. Security analysts and incident responders need to triage and act upon suspected incidents quickly. Additionally, since it is focused on logging API calls on a very complicated kind of environment, there is a big learning curve for traditional security staff without extensive cloud expertise. In this talk, we will present a proposed methodology to perform security incident detection using CloudTrail logs. We will cover event enrichment, simple alerts, and how to use Sigma rules, Jupyter, TheHive, and the Elastic Stack to perform more in-depth detection, exploration, and visualization of the data. This work we are developing is a project called Det{R}ails, which will become open-sourced shortly. Det{R}ails can operate in real-time or used to investigate some incident standalone. All it requires is necessary access to the S3 bucket where you are saving your Cloudtrail events. Besides that, we have some schemas to enrich data with your company context, which makes your visualization much more accurate, and as the first goal makes prioritization better.

Detecting AWS control plane abuse in an actionable way using Det{R}ails

Tenchi Security

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)

Tenchi Security

Slide deck of the presentation at DEF CON 28 "Safe Mode" Cloud Village by Alexandre Sieira. In this talk we will present in detail the policy-fu needed in order to securely allow principals from one account to perform actions on another, both inside different accounts in an organization but especially from the perspective of a SaaS provider that needs to access hundreds or thousands of customer accounts. Existing research on defenses and possible attacks will be presented and demonstrated to illustrate the concepts. SaaS vendors like ""single pane of glass"" offerings, multi-cloud solutions and CSPM offerings are huge concentrators of risk since they have access to potentially thousands of customer AWS accounts. By exploring how this access can be uniquely secured due to capabilities only AWS provides and how vendors can fail at this we hope to allow attendees to better understand the risks of using these services, and also help service providers mitigate them.

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Tenchi Security

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)

Tenchi Security

O princípio básico para se detectar é ter visibilidade. Muitas empresas investem em produtos caros mas dificilmente possuem um processo para aferir a qualidade das informações, se elas realmente estão chegando onde deveriam e por final, se a mesma geram alertas de detecção. A idéia da palestra é demonstrar como ATT&CK juntamente com o projeto DeTT&CT podem te ajudar nessa validação. Além de validar como estão as fontes de dados, qualidade dos eventos, superfície coberta da empresa, essa combinação proporciona que os time defensivos ou Blue Team, consigam rapidamente analisar qual o risco de uma nova ameaça, grupo de APT, nova ferramenta maliciosa, gerar KPI para demonstrar evolução e ajudar na escolha de novas ferramentas necessárias.

Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT

Tenchi Security

Latinoware 2019 - Securing Clouds Wide Open

Tenchi Security

Plus de Tenchi Security (10)

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...

Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...

Hunting for AWS Exposed Resources

The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...

Detecting AWS control plane abuse in an actionable way using Det{R}ails

Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)

SaaSpocalypse - The Complexity and Power of AWS Cross Account Access

Novos Paradigmas de Segurança com adoção de Nuvem (AWS)

Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT

Latinoware 2019 - Securing Clouds Wide Open

Dernier

No mundo digital atual, a informação é considerada uma das principais matérias-primas para o desenvolvimento econômico e social. Com a evolução tecnológica e a disseminação da internet, a quantidade de dados gerados e disponíveis diariamente cresce de forma exponencial. Nesse contexto, a gestão da informação assume um papel fundamental para as organizações, uma vez que permite a captação, armazenamento, processamento, análise e disseminação dos dados de forma estruturada e eficiente. Saes, Danillo Xavier. Gestão da Informação. Maringá-Pr.: UniCesumar, 2019. [Unidade I, p. 16 a 28] Para que possamos construir uma reflexão significativa sobre a gestão da informação no mundo organizacional, vamos realizar a presente atividade em 2 momentos. 1. Defina e diferencie: DADO, INFORMAÇÃO e CONHECIMENTO. 2. Faça uma reflexão sobre o uso da informação no contexto organizacional que está inserido na sociedade do conhecimento, destacando qual a relevância do uso das tecnologias digitais como apoio para a gestão da informação.

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

2m Assessoria

Padrões de Projeto: Proxy e Command com exemplo

Danilo Pinotti

Programação Orientada a Objetos - 4 Pilares.pdf

SamaraLunas

Boas práticas de programação com Object Calisthenics

Danilo Pinotti

LOGÍSTICA EMPRESARIAL — ATIVIDADE DE ESTUDO 1 Olá, estudante! Iniciamos, agora, a Atividade 1. Prepare-se para colocar em prática os conceitos estudados durante a disciplina! Caso surjam dúvidas, não hesite em contatar os professores da disciplina. Desejamos sucesso na sua atividade! "A gestão da cadeia de abastecimento, também conhecida como Supply Chain Management, envolve as práticas gerenciais necessárias para que todas as empresas agreguem valor ao cliente ao longo de todo o processo, desde a fabricação dos materiais até a distribuição e entrega final dos bens e serviços (MARTINS; LAUGENI, 2015, p. 189). Essa abordagem busca integrar os diversos atores da cadeia, proporcionando uma visão abrangente e contínua de todo o processo produtivo, desde a aquisição da matéria-prima até a entrega ao cliente final. A evolução do supply chain culminou na concepção da cadeia logística integrada. a) Relacione as fases de evolução do Supply Chain Management, apresentando suas principais características. b) Descreva, de forma detalhada, o fluxo de informação da Logística Integrada. c) Quais estratégias as empresas podem adotar para integrar de forma eficaz a tecnologia da informação na cadeia logística?

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

2m Assessoria

Luís Kitota AWS Discovery Day Ka Solution.pdf

LuisKitota

A margem de contribuição é uma medida fundamental para entender a lucratividade de um produto, serviço, departamento ou da empresa como um todo. Ela representa o valor que sobra da receita depois de subtrair os custos e despesas variáveis associados à produção ou venda desse produto ou serviço. Essa quantia é chamada de "margem de contribuição" porque é a parte do dinheiro que efetivamente contribui para cobrir os custos fixos e gerar lucro. Fonte: FRAGALLI, Adriana Casavechia; CASTRO, Silvio Cesar de. Custos da Produção. Maringá - PR.: Unicesumar, 2022. Dado o contexto fornecido sobre os Margem de Contribuição dentro de uma empresa, é possível expandir a análise para que seja apurada de diferentes formas dentro de uma organizacional. Essas apurações podem ser (1) Global da Empresa, (2) Global de uma filial, (3) Divisão de Negócios, (4) Departamental, (5) Total por produto e (6) Unitário. Neste sentido, explique como cada uma dessas apurações consiste no contexto prático de margem de contribuição.

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

2m Assessoria

Árvores binárias são uma das estruturas de dados mais fundamentais e poderosas na ciência da computação, essenciais para o entendimento e aplicação de algoritmos eficientes. Elas permitem operações de busca, inserção e remoção em tempos de execução competitivos, especialmente quando estão balanceadas. Uma árvore binária é uma estrutura de dados em que cada nó possui no máximo dois filhos, que são referenciados como subárvore esquerda e subárvore direita. Considerando os conceitos fundamentais de uma árvore binária, defina o conceito de PROFUNDIDADE de uma árvore binária e discuta como essa medida impacta as operações realizadas na estrutura.

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

2m Assessoria

Dernier (8)

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

Padrões de Projeto: Proxy e Command com exemplo

Programação Orientada a Objetos - 4 Pilares.pdf

Boas práticas de programação com Object Calisthenics

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

Luís Kitota AWS Discovery Day Ka Solution.pdf

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

Introdução à Segurança de Containers e Kubernetes

1. Introdução à Segurança de Containers

2. Alexandre Sieira • Empreendedor em segurança de informação • Fundador da Tenchi Security • Gerente do time de Product Management de todos os serviços de detecção do MSS da Verizon • Co-Fundador e CTO da Niddel • Co-Fundador e Principal do MLSec Project • Co-Fundador e CTO da CIPHER

6. • Dockerfile é parte do código; • Imagem base especificada no FROM que vem de um registry; • Especificação de pacotes e configuração do “sistema operacional”; • Cópia de arquivos de código, configuração e ou dados; • Segredos e configurações em variáveis de environment; • Roda como root por default (https://engineering.bitnami.com/articles/why-non-root- containers-are-important-for-security.html)

7. https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/

8. https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability https://docs.docker.com/engine/security/https/

9. https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users/ Soluções de CI/CD e repositórios de imagens são concentradores de risco!

10. https://www.kennasecurity.com/blog/one-fifth-of-the-most-used-docker-containers-have-at-least-one-critical-vulnerability/

11. https://vulnerablecontainers.org/

12. https://vulnerablecontainers.org/ Escolher boas imagens como base faz muita diferença…

13. Trivy: (https://github.com/aquasecurity/trivy)

14. https://github.com/mlsecproject/gglsbl-rest

15. https://aws.amazon.com/about-aws/whats-new/2019/10/announcing-image-scanning-for-amazon-ecr/

16. https://cloud.google.com/container-registry/pricing

17. https://docs.microsoft.com/en-us/azure/security-center/container-security

18. • Kubernetes é o padrão de mercado. • Especificação em arquivos YAML. • Inseguro por default, segurança vêm melhorando aos poucos. • Complexo de operar.

19. https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/ Orquestradores representam uma superfície de ataque bastante importante.

20.

21. A Pod Security Policy is a cluster-level resource that controls security sensitive aspects of the pod specification. The PodSecurityPolicy objects define a set of conditions that a pod must run with in order to be accepted into the system, as well as defaults for the related fields. They allow an administrator to control the following: https://kubernetes.io/docs/concepts/policy/pod-security-policy/

22. https://github.com/aquasecurity/kube-bench Variedade de soluções open source e comerciais (CWPP) disponíveis para implementar segurança para ambientes containerizados.

23.

24. The Path Less Traveled: Abusing Kubernetes Defaults Black Hat 2019 https://youtu.be/HmoVSmTIOxM Ian Coldwater (@IanColdwater) e Duffie Cooley (@mauilion)

25. 25

Notes de l'éditeur

Por default secrets salvos no etcd com base64 encoding apenas.

Introdução à Segurança de Containers e Kubernetes

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Introdução à Segurança de Containers e Kubernetes

Similaire à Introdução à Segurança de Containers e Kubernetes (20)

Plus de Tenchi Security

Plus de Tenchi Security (10)

Dernier

Dernier (8)

Introdução à Segurança de Containers e Kubernetes

Notes de l'éditeur