● 55 entries

Облачная безопасность

Атака на кластер KubernetesВторжение в кластер Kubernetes (K8s) с использованием открытых API, слабого RBAC или уязвимых нагрузок для захвата контроля над control plane или рабочими узлами.
Атака на AWS IMDSv1Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
Безопасность как кодПрактика описания контролей, тестов и инфраструктуры безопасности в исходном коде, чтобы они версионировались, проходили ревью, автоматизировались и доставлялись вместе с приложениями.
Безопасность контейнеровПрактика защиты образов контейнеров, реестров, оркестраторов и среды выполнения, в которой контейнеры исполняются.
Безопасность IstioНабор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
Безопасность KubernetesЗащита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
Безопасность serverlessПрактика защиты событийно-ориентированных функциональных нагрузок (AWS Lambda, Azure Functions, Google Cloud Functions), где базовые серверы управляются провайдером.
Безопасность service meshНабор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
Доверенная среда исполнения (TEE)Безопасный изолированный контекст выполнения внутри процессора, где код и данные защищены по конфиденциальности и целостности даже от ОС хоста и гипервизора.
Защищённый анклавАппаратно изолированная и защищённая по целостности область процессора или SoC, в которой выполняется чувствительный код и хранятся ключи вне доступа основной ОС.
Идентичность нагрузкиКриптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
Изоляция арендаторовНабор мер, гарантирующий, что в общей облачной или SaaS-платформе данные, учётные записи и нагрузки одного клиента недоступны и неуязвимы для действий другого.
Инфраструктура как услуга (IaaS)Модель облачного сервиса, в которой провайдер предоставляет виртуализированные вычисления, хранилище и сеть, а клиент управляет ОС, middleware и приложениями поверх.
Конфиденциальные вычисленияЗащита данных во время обработки за счёт исполнения нагрузок в аппаратных доверенных средах исполнения, изолированных от хоста и оператора облака.
Кража облачных токеновХищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
Модель разделённой ответственностиБазовая концепция облачной безопасности, разделяющая обязанности между провайдером (безопасность самой облачной платформы) и клиентом (безопасность того, что в ней размещено).
Находка CSPMОповещение, формируемое инструментом Cloud Security Posture Management при нарушении облачным ресурсом бенчмарка безопасности, политики или требований комплаенса.
Неправильная настройка облакаБрешь в безопасности из-за некорректных или небезопасных настроек облачных сервисов: открытое хранилище, слабые IAM-политики, доступные порты управления и т. п.
Неправильная настройка IAM (облако)Небезопасные или избыточно разрешающие настройки облачного IAM, позволяющие пользователям, ролям или сервисам выполнять действия за пределами реальных потребностей.
Неправильная настройка S3-бакетаОшибка конфигурации бакета Amazon S3 (или аналогичного объектного хранилища), приводящая к публикации объектов, нежелательной записи или слишком широкому межаккаунтному доступу.
Облачная безопасностьСовокупность политик, средств контроля и технологий, защищающих данные, приложения и инфраструктуру, размещённые в публичных, частных или гибридных облаках.
Облачный криптоджекингНесанкционированное использование облачных вычислительных ресурсов жертвы для майнинга криптовалюты, создающее высокие счета, тогда как вознаграждение получает злоумышленник.
Платформа как услуга (PaaS)Облачная модель, в которой провайдер управляет средой выполнения, middleware, ОС и инфраструктурой, а клиент сосредоточен на коде приложения и данных.
Повышение привилегий IAMЗлоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
Политики как кодПрактика описания правил безопасности, комплаенса и управления в виде машиночитаемого кода, чтобы их можно было версионировать, тестировать, ревьюить и автоматически применять.
Программное обеспечение как услуга (SaaS)Модель облачной поставки, при которой поставщик размещает и эксплуатирует приложение, доступное клиентам через Интернет по подписке.
Токен ServiceAccount (Kubernetes)JWT-учётка, монтируемая в под Kubernetes, которая аутентифицирует нагрузку перед API-сервером и сторонними сервисами, доверяющими identity provider кластера.
Утечка данных из облакаНесанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.
Утечка облачных ключейСлучайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
Функции как услуга (FaaS)Бессерверная облачная модель, при которой короткоживущие функции запускаются по требованию в ответ на события, а серверы, масштабирование и среда исполнения управляются провайдером.
Шифрование в облакеПрактика шифрования данных, хранящихся, обрабатываемых или передаваемых в облачных сервисах, чтобы их могли читать только владельцы соответствующих ключей.
Admission Controller KubernetesAdmission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
Bring Your Own Key (BYOK)Модель управления ключами, при которой клиент сам генерирует или импортирует собственные ключи шифрования в KMS облачного провайдера, не используя его сгенерированные ключи.
CASB (брокер безопасности облачного доступа)Точка применения политик между пользователями и облачными/SaaS-приложениями, обеспечивающая видимость, защиту данных и противодействие угрозам.
CIEM (управление полномочиями в облачной инфраструктуре)Дисциплина и класс инструментов, выявляющих, анализирующих и оптимизирующих идентификаторы и привилегии в облачных средах.
CiliumCNI на базе eBPF, обеспечивающий сеть, наблюдаемость и безопасность Kubernetes-нагрузок на скорости ядра.
CNAPP (платформа защиты cloud-native приложений)Интегрированная платформа безопасности, объединяющая CSPM, CWPP, CIEM, сканирование IaC и runtime-детектирование для защиты cloud-native приложений от сборки до выполнения.
Container EscapeЭксплойт, нарушающий границу изоляции между контейнером и хостом и позволяющий атакующему выполнять код на нижележащем узле или в ядре.
CSPM (управление облачной постурой безопасности)Класс инструментов, непрерывно сверяющих облачные аккаунты с лучшими практиками и нормативными базисами для обнаружения и устранения некорректных конфигураций.
CWPP (платформа защиты облачных рабочих нагрузок)Платформа, защищающая облачные рабочие нагрузки — виртуальные машины, контейнеры и serverless-функции — на всём жизненном цикле, от сборки до выполнения.
gVisorgVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.
Hold Your Own Key (HYOK)Модель управления ключами, при которой ключи шифрования никогда не покидают HSM или хранилище клиента; облачный провайдер обращается к нему для использования ключа.
Kata ContainersKata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
kube-benchОткрытый инструмент от Aqua Security, автоматически проверяющий конфигурацию кластера Kubernetes на соответствие CIS Kubernetes Benchmark.
Kubernetes NetworkPolicyKubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
KubescapeОткрытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик.
KyvernoKyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
OPA (Open Policy Agent)Универсальный движок политик уровня CNCF Graduated, отделяющий решения по авторизации и admission Kubernetes от приложений с помощью языка Rego.
OPA GatekeeperOPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
Pod Security StandardsPod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
SPIFFEОткрытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
SPIRE RuntimeЭталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID.
SSPM (управление постурой безопасности SaaS)Класс инструментов, непрерывно отслеживающих настройки, идентификаторы и интеграции SaaS-приложений и выявляющих ошибки конфигурации и рискованное поведение.
SSRF к облачным метаданнымАтака подделки серверных запросов, при которой через уязвимое приложение виртуальная машина обращается к сервису метаданных облачного провайдера и крадет временные учетные данные.
TetragonИнструмент runtime-безопасности Kubernetes на базе eBPF из проекта Cilium: синхронно наблюдает и применяет политики к процессам, файлам и сети.