Pull to refresh
  • by relevance
  • by date
  • by rating

Вышел релиз GitLab 13.4 с поддержкой HashiCorp Vault для переменных CI и Kubernetes Agent

GitLabOpen sourceIT InfrastructureGitDevOps


Вышел релиз 13.4 с поддержкой HashiCorp Vault для переменных CI, Kubernetes Agent и центром безопасности, а также переключаемыми фичами в Starter

Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views2.8K
Comments 12

Российские протезы пальцев созданные с помощью 3D-печати

Autodesk


В России стоит очень острая проблема — отсутствие функциональных протезов пальцев рук. Существующие доступные решения нефункциональны и носят сугубо косметический характер. Но почти год назад команда компании Can-Touch.ru (специалисты в области промышленной 3D-печати) вдохновилась идеей создания функционального детского протеза. К проекту вскоре присоединились инженеры компании W.E.A.S. Robotics (специалисты в области робототехники), и началась серьезная работа.

Под катом история о том, как разрабатывается этот протез. Приводим текст, написанный от первого лица непосредственно членами команды проекта.
Читать дальше →
Total votes 121: ↑120 and ↓1 +119
Views55K
Comments 40

Как я не опубликовал приложение в Autodesk Apps Exchange

CAD/CAM
Sandbox
Исторически так сложилось, что я довольно давно являюсь администратором PDM системы Autodesk Vault. Кроме того, регулярно провожу обучение по использованию и администрированию этого программного продукта.

Ввиду описанных выше причин приходилось осуществлять довольно много установок «с нуля». В предыдущих версиях (2010-2014) даже для опытного пользователя задача, скажем честно, муторная. Так как в базовой комплектации система базируется минимум на MS SQL Server и IIS: необходимо учитывать и нейтрализовывать разного рода особенности, которые могут возникнуть при установке.

После примерно десятой итерации установки уже можешь вслепую пробежаться по настройкам Windows, IIS и SQL. Сразу обмолвлюсь, что использование виртуальной машины не подходило по причине того, что каждый раз установку приходилось осуществлять на новом железе, которым располагал заказчик. Итак, графический интерфейс – это хорошо, но метод явно не наш, так как сложно обеспечить должную скорость, повторяемость и автоматизацию.
Что было дальше
Total votes 10: ↑7 and ↓3 +4
Views3.2K
Comments 2

Знакомимся с Otto, наследником Vagrant

Website developmentProgramming
Otto — это новый продукт от Hashicorp, логический наследник Vagrant, призванный упростить процесс разработки и деплоя программ в современном мире облачных технологий. Концептуально новый подход к проблеме, проверенные технологии под капотом и открытый исходный код. Персональный DevOps ассистент разработчика.


Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views32K
Comments 9

Интересные международные мероприятия апреля

Conferences
Каждый месяц по всему миру происходят десятки, если не сотни, IT-ориентированных конференций, выставок и других мероприятий.

В очередной раз мы собираем все наиболее интересные международные даты этого месяца для того, чтобы представить читателям «Мегамозга» в одном месте.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views1.9K
Comments 0

Как не хранить секреты где придётся, или зачем нам Hashicorp Vault

System administrationIT Infrastructure*nixCloud computingDevOps
Tutorial

Vault header 


Задайте себе вопрос — как правильно хранить пароль от базы данных, которая используется вашим сервисом? В отдельном репозитории с секретами? В репозитории приложения? В системе деплоя (Jenkins, Teamcity, etc)? В системе управления конфигурациями? Только на личном компьютере? Только на серверах, на которых работает ваш сервис? В некоем хранилище секретов?
Зачем об этом думать? Чтобы минимизировать риски безопасности вашей инфраструктуры.
Начнём исследование вопроса с определения требований к хранению секретов.


Читать дальше →
Total votes 42: ↑42 and ↓0 +42
Views63.1K
Comments 14

Hack The Box — прохождение Craft. Копаемся в Git, эксплуатируем уязвимости в API, разбираемся с Vault

Information SecurityPythonGitAPICTF
Tutorial
image

Данной статьей я начну публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. Мы рассмотрим, как можно проэксплуатировать RCE в API, покопаемся в репозиториях Gogs, поработаем с базами данных и разберемся c системой хранения и управления секретами Vault.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

  • PWN;
  • криптография (Crypto);
  • cетевые технологии (Network);
  • реверс (Reverse Engineering);
  • стеганография (Stegano);
  • поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views8.1K
Comments 0

Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI

NixysInformation SecurityIT InfrastructureGitDevOps
Translation
Tutorial

Доброго времени суток, читатель!


22 апреля в GitLab выпустили релиз 12.10 и сообщили о том, что теперь CI-процесс может авторизовываться в Hashicorp's Vault через JSON Web Token (JWT), и для авторизации нет необходимости хранить токен для доступа к нужным policy в переменных окружения (или где-либо ещё).



Данная фича показалась нам полезной, поэтому предлагаем перевод соотвествующего туториала из официальной документации GitLab:

Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views5.6K
Comments 19

Vault+Pydantic: конфигурация с четкой структурой и валидацией

PythonIT InfrastructureDatabase AdministrationDevOpsMicroservices

image


Предисловие


Продолжение саги. Сразу, на всякий случай


В данной статье я расскажу о конфигурации для вашей сервисов с помощью связки Vault (KV и пока только первой версии, т.е. без версионирования секретов) и Pydantic (Settings) под патронажем Sitri.

Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views3.5K
Comments 2

Vault+Pydantic: продолжение саги, локальная разработка

PythonIT InfrastructureDatabase AdministrationDevOpsMicroservices


Предыстория


Предыдущая статья


В предыдущей статье я писал о том, как сконфигурировать ваше приложение с помощью Sitri, однако, упустил момент с локальной разработкой, так как согласитесь, что не очень удобно разворачивать vault локально, да и хранить локальный конфиг в общем vault, особенно, если над проектом работают несколько человек — неудобнее вдвойне.


В Sitri данная проблема решается достаточно просто — с помощью локального режима для ваших классов настроек, то есть вам не придётся даже переписывать ничего или дублировать код, да и структура json файла для локального режима будет почти полностью повторять структуру секретов.


Итак, ну а теперь, давайте добавим в наш проектик буквально пару строк кода + я покажу, как со всем этим можно работать, если ваш проект локально запускается в docker-compose.

Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views1.6K
Comments 0

Безопасность конфиденциальных данных с Traefik Enterprise и Vault

Фактор групOpen sourceDevOpsKubernetes
Translation


У каждой компании есть свои секреты. Пожалуй, любое приложение и сервис владеет конфиденциальной информацией, такой как имена пользователей и пароли, лицензионные ключи, учетные данные для входа в базы данных и т.д. — которая должна быть скрыта от посторонних лиц.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views989
Comments 0

Сравниваем производительность HashiCorp Vault с разными бэкендами

ФлантSystem administrationDevOpsKubernetes

Vault — Open Source-решение от HashiCorp для управления секретами. Его изначальная ориентированность на модульность и масштабируемость позволяет запускать как небольшой dev-сервер Vault на своем ноутбуке, так и полноценный HA-кластер для production-сред.

Начиная работать с Vault, мы задались двумя вопросами:

1. Какой бэкенд (т.е. место, где физически хранятся секреты; им может быть локальная файловая система или решение на основе реляционных БД и других хранилищ) использовать и что по этому поводу говорят сами авторы?

2. Какую производительность и нагрузку может выдержать выбранная нами архитектура?

По первому вопросу все сначала кажется предельно простым: HashiCorp рекомендует единственный правильный вариант — Consul. Не сказать, что удивительно, если знать/посмотреть на авторов этого продукта. А вот со вторым вопросом все сложнее. Но почему в принципе нас это волновало?

Читать далее
Total votes 44: ↑43 and ↓1 +42
Views5.4K
Comments 11

Инъекция секретов из Vault в поды используя сайдкары Kubernetes

NixysIT InfrastructureDevOpsKubernetes
Translation
Tutorial

Мы рады объявить о новой интеграции Kubernetes, которая позволяет приложениям без встроенной в HashiCorp Vault нативной логики использовать статические и динамические секреты, получаемые из Vault. Она основана на новом инструменте под названием vault-k8s, который использует Kubernetes Mutating Admission Webhook для перехвата и дополнения специально аннотированной конфигурации подов для инъекции секретов с помощью Init и Sidecar контейнеров.

Приложениям нужно заботиться только о получении секрета по определённому пути в файловой системе, а не об управлении токенами, подключении к внешнему API или другим механизмам прямого взаимодействия с Vault.

Читать далее
Total votes 13: ↑13 and ↓0 +13
Views3.1K
Comments 4

Бэкапы для HashiCorp Vault с разными бэкендами

ФлантSystem administrationDevOps

Недавно мы публиковали статью про производительность Vault с разными бэкендами, а сегодня расскажем, как делать бэкапы — и снова на разных бэкендах: Consul, GCS (Google Cloud Storage), PostgreSQL и Raft.

Как известно, HashiCorp предоставляет нативный метод бэкапа только для одного бэкенда — Integrated Storage (Raft Cluster), представленного как GA в апреле прошлого года. В нем можно снять снапшот всего одним curl’ом и не беспокоиться о каких-либо нюансах.

В остальных же случаях придется выкручиваться самим, придумывая, как правильно реализовывать бэкап. Очевидно, что во время резервного копирования Vault часть данных может меняться, из-за чего мы рискуем получить некорректные данные. Поэтому важно искать пути для консистентного бэкапа.

Читать далее
Total votes 40: ↑40 and ↓0 +40
Views2.5K
Comments 6