基于iap 的安全控制
摘要:一篇来自Teleport 团队的安全实践,还是值得学习的,链接https://thenewstack.io/zero-trust-network-security-with-identity-aware-proxies/ 参考架构 说明 来自hashicorp 的Boundary 方案也是一个不错的
阅读全文
posted @ 2022-08-21 18:39
随笔分类 - 安全学习
pixie k8s 原生应用即时监控工具
摘要:pixie 使用了ebpf 进行k8s 服务的观测 支持的特性 自动遥测: Pixie 使用 eBPF 自动收集遥测数据,例如全身请求、资源和网络指标、应用程序配置文件等。在此处查看完整的数据源列表。 集群内边缘计算: Pixie 在集群本地收集、存储和查询所有遥测数据。Pixie 使用不到 5%
阅读全文
posted @ 2022-08-17 21:36
cossacklabs acra 开源数据库安全套件
摘要:acra是cossacklabs 开源的数据库安全工具,支持数据库的proxy,同时提供了安全处理能力(加密) 参考使用模式 说明 目前cossacklabs acra 支持mysql 以及pg,其他的暂时不支持(理论上可以自己扩展),cossacklabs acra 的源码也是值得学习参考的,尤其
阅读全文
posted @ 2022-07-03 20:38
apache directory-fortress 基于rbac 的模块
摘要:directory-fortress 属于apache directory 的子项目,实现了rbac 的能力 参考架构 说明 fortress 使用ldap 做为底层存储,实现了rbac 的能力,基于abac 可以更好的扩展 参考资料 https://github.com/apache/direct
阅读全文
posted @ 2022-06-26 22:30
openmetadata abac 实现简单说明
摘要:昨天简单说明了下,通过研究abac 发现abac 是比较强大的权限控制方案(相比常用的rbac 更加方便灵活) abac 参考落地方案 openmetadata 参考实体定义 openmetadata 的处理 pap, openmetadata 实现了admin api 以及ui,可以进行管理 pi
阅读全文
posted @ 2022-06-26 20:09
openmetadata 权限设计学习
摘要:openmetadata 早期版本权限是控制是比较弱的,0.8 之后提供了扩展能力,同时官方也提供了一篇文章介绍自己的实践以下是一些简单总结 openmetadata 的权限架构 参考图 知识点 参考了NIST 论文的内容 参考图 策略处理上先是基于casbin 搞了一个简单原型,然后基于了easy
阅读全文
posted @ 2022-06-26 00:52
数据应用访问控制的一些参考资料
摘要:我们如果需要开发一个数据的自助服务应用访问控制是比较复杂的,包含了多重因素 来自集成系统的 来自自身系统业务模型的 以上因素会加剧数据应用访问控制的复杂性,所以了解一些业界实践还是比较有用的,以下是一些参考资料值得学习下 参考资料 https://blog.satoricyber.com/askin
阅读全文
posted @ 2022-06-25 22:13
amass OWASP开源的深入的攻击面映射和资产发现工具
摘要:amass 从使用上来说属于一个安全工具,基于此工具我们可以发现一个潜在的安全问题 对于我们需要发现一些潜在安全隐患的时候是比较有用的,同时如果希望基于反向模式 的资产发现也是很有用的(比如cmdb) 参考使用 以下是被动发现一些owasp.org 的子域 amass enum -passive -
阅读全文
posted @ 2022-06-19 23:49
dev-sec devops+security 工具集
摘要:dev-sec 提供了分层的安全检查基线,同时基于不同的部署工具提供了方便的模块(ansible,chef,puppet) 分层提供的能力 说明 dev-sec 提供的主机基线工具是一个很不错的东西,ansible是一个不错的东西,其中ansible-collection-hardening是很值得
阅读全文
posted @ 2022-05-25 17:41
nginx 安全请求头
摘要:一些关于 nginx 配置以及安全头的链接,值得参考,可以保障我们系统的安全 参考资料 https://geekflare.com/tools/tests/rj6uevqzwhttps://github.com/GetPageSpeed/ngx_security_headershttps://dev
阅读全文
posted @ 2022-05-20 12:28
supertokens autho firebase auth aws cognito 开源替换方案
摘要:supertokens autho firebase auth aws cognito 开源替换方案 自托管参考架构 从架构可以看出具体如何使用 用户登录流程 用户登出流程 参考资料 https://github.com/supertokens/supertokens-corehttps://sup
阅读全文
posted @ 2022-03-27 23:18
几个不错的java otp 包
摘要:个人比较推荐使用BastiaanJansen/otp-java,使用简单,而且包含了生成以及校验 参考代码 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0
阅读全文
posted @ 2022-02-11 19:29
使用jsch 实现ssh tunnel
摘要:主要目的是解决比如访问敏感信息,我们通过加密隧道实现数据访问,而且对于数据进行加密 参考图 参考代码 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" x
阅读全文
posted @ 2022-01-26 00:34
基于squid 暴露k8s 服务
摘要:实际上与我去年基于golang编写的一个特别简单的功能是类似的,知识基于squid 解决 原有方案 基于squid 的方案 技术上是一样的都是正向代理,强大的地方在于利用了squid 强大的控制能力,同时可以直接使用squid 的认证,增强系统的安全 说明 技术上没啥核心与基于golang 的模式是
阅读全文
posted @ 2022-01-01 23:43
Macaroons 101: Contextual Confinement
摘要:转自:https://evancordell.com/posts/macaroons-101-contextual-confinement/ 主要是关于Macaroons的介绍使用 Macaroons, like Fezzes, are cool. If you find yourself disa
阅读全文
posted @ 2021-08-01 13:25
几种基于token 认证的标准
摘要:整理几个关于token 的协议 jwt 这个大家日常使用就比较多了,资料也比较多问题:选项比较多(主要还是协议相关的的定义太多了) paseto 类似jwt,简化了处理问题:不是很活跃 macaroon 这个目前也是在学习的时候发现的,来源与google search 的论文,与通常的有点差异,从官
阅读全文
posted @ 2021-08-01 12:12
jcasbin redis watcher 一些修改
摘要:具体变动可以参考源码,也是基于官方的redis watcher 进行的修改 具体变动 支持redis 包含密码的链接(很简单暴露jedispool就可以了) 支持redis channel 回调channel 名称暴露(方便控制不同租户以及多实例的处理,但是还是有写缺陷的,应该提供一个独立通知暴露点
阅读全文
posted @ 2021-06-11 22:54
新版本浏览器跨站cookie 获取问题
摘要:基于react 单页面开发的系统,嵌入到一个iframe 系统中(不同域名)出现了cookie 无法写入的问题 实际上这个是新版本chrome 以及浏览器厂商协定的,核心就是cookie 不安全,我们要限制不安全的 访问,解决方法就是有一套新的规则,参考规则修改系统就好了 跨站cookie 获取问题
阅读全文
posted @ 2021-05-19 12:41
authelia web sso 解决方案
摘要:参考架构 参考资料 https://github.com/authelia/autheliahttps://www.authelia.com/
阅读全文
posted @ 2021-03-26 19:33
securecodebox开箱即用的持续安全工具
摘要:securecodebox 是基于k8s的模块化的工具集,可以用来进行软件的安全扫描 参考架构 https://docs.securecodebox.io/ https://github.com/secureCodeBox/secureCodeBox
阅读全文
posted @ 2020-12-08 10:33
