Lmst

Токены доступа и API Gateway: как обеспечить безопасность запросов

Распределенные системы (aka микросервисы) набрали популярность и применяются все шире в современных реалиях. Сервисов становится больше, привычные задачи для них решаются сложнее, усложнились и вопросы аутентификации и контроля доступа. В статье рассмотрим различные подходы использования API Gateway как части более общего API security-решения в контексте его работы с токенами доступа, выделяя преимущества, недостатки и связанные с ними вопросы безопасности. Также разберем, почему нужно ограничивать область действия access token и может ли API Gateway помочь и в данном вопросе. Статья написана на основе материала, с которым выступал на PHDays 2025 и CodeFest 15 .

https://habr.com/ru/articles/872918/

#аутентификация #распределенные_системы #authentication #identity_propagation #distributed_systems #токен_доступа #access_token #oauth_20 #api_gateway #access_control

«Я не вижу эту кнопку!» — «Потому что ты не избранный, Нео»

Привет, Хабр! Писать статьи — дело приятное, но только если нет на плечах релиза. Релиз оказался марафоном на месяцы, где каждый день мы жили задачами и доработками. Мы делились на три фронта: кто-то закрывал критические баги («баг-фиксеры»), кто-то добивал бизнес-логику («бизнес-логеры»), а кто-то всерьез отрабатывал план «Б» — ставил свечи за успешный релиз («молитвенники за прод»). Играли мы на разных уровнях, но финальный босс у всех был один: система, которую мы героически толкали в ПРОД, как кота в переноску: и он не хочет, и нам страшно. Но как бы там ни было, сегодня на ПРОДе живет большая система. Прям такая, что, если бы она была организмом, у нее были бы печень, почки и амбулаторная карта в Сфере Знания. Пользователи — сотни сотрудников. Система — новая, кнопки — непонятные, интерфейс — как квартира после переезда: ты вроде дома, но даже чайник включить страшно. И вот представьте: в этой «квартире» все двери распахнуты настежь. Любой может зайти куда угодно, нажать любую кнопку, открыть любой экран. Кнопки, которые лучше не трогать, экраны, куда и разработчик-то без инструктажа не сунется… Получился цифровой «чулан Моники» — хаос, который мы срочно должны были привести в порядок. Решение было очевидным: нужна ролевая модель. По плану ролевую модель — разграничение видимости интерфейсов и данных на стороне БД — мы должны были выкатить через пару недель после запуска. Но в мире, где перечень техдолгов меняется быстрее, чем погода в Калининграде, пришлось действовать иначе. В итоге, бочком-бочком, мы затолкали ее в боевой релиз буквально на финишной прямой.

https://habr.com/ru/articles/944870/

#ролевая_модель #rbac #разграничение_доступа #системный_анализ #права_доступа #permission #sql #api #access_control #корпоративные_системы

📢 Vulnérabilité de contournement des contrôles d'accès dans le serveur MCP d'Anthropic
📝 L'article publié sur le blog 'Embrace the Red' le 3 août 2025, met en lumière une **vulnérabilité** découverte...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-03-vulnerabilite-de-contournement-des-controles-d-acces-dans-le-serveur-mcp-d-anthropic/
🌐 source : https://embracethered.com/blog/posts/2025/anthropic-filesystem-mcp-server-bypass/
#access_control #ai_security #Cyberveille

Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации). Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.

https://habr.com/ru/companies/sravni/articles/924308/

#pam #кибербезопасность #иб #контроль_доступа #аудит #privileged_access_management #управление_доступом_к_данным #access_control #бастион

Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году

Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных платформ являются DDoS‑атаки, — но на самом деле всё гораздо интереснее. Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud и в этой статье поделюсь нашей внутренней облачной кухней. Расскажу, с какими интересными задачами сталкиваются команды безопасности облачных платформ сегодня, и разберу кейсы с наиболее запоминающимися решениями.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/862320/

#soc #форензика #форенсика #статистика_атак #supply_chain_attack #access_control #access_management #secretsmanagement #расследование_инцидентов