Что такое безопасность контейнеров

Контейнерные технологии, такие как Docker и Kubernetes, — это основа современных процессов DevOps. Безопасность контейнеров подразумевает защиту самих контейнеров, инфраструктуры, в которой они работают, и приложений, работающих в них, во время сборки, развертывания и выполнения. Также важна защита контейнеров на уровне кластера и оркестратора.

Обеспечение безопасности контейнеров — сложная задача, поскольку традиционные средства защиты часто несовместимы с контейнерными средами. С появлением концепции DevSecOps организации осознают важность интеграции безопасности контейнеров на всех этапах жизненного цикла разработки. Кроме того, безопасность контейнеров должна соответствовать существующим в организации политикам и процессам.

Почему безопасность контейнерных сред важна

Повсеместное внедрение контейнерных технологий, быстрая цифровая трансформация, растущая сложность, изощренность киберугроз, обширные исследования и разработки (НИОКР) стимулируют компании внедрять инструменты безопасности контейнерных сред.

90%
IT-специалистов столкнулись хотя бы с одним инцидентом безопасности, связанным с контейнерами или Kubernetes1.
67%
компаний откладывают внедрение таких облачных технологий как Kubernetes и микросервисы, из-за проблем с безопасностью2.
81%
уровень внедрения контейнеров в организациях3.

Учитывая потребности российских компаний в повышении эффективности процессов разработки ПО, в цифровой трансформации, а также в усилении информационной безопасности, эксперты компании Positive Technologies разработали PT Container Security. Этот продукт предназначен для защиты IT-инфраструктуры компаний, которые используют технологии контейнерной виртуализации. Он предоставляет набор инструментов для защиты на различных этапах жизненного цикла программных продуктов и дает всем пользователям доступ к экспертизе по информационной безопасности, обеспечивающей лучшие отраслевые стандарты и практики по безопасности контейнеров.

  1. Согласно исследованию State of Kubernetes security report, проведенному компанией RedHat в 2023 году.
  2. Согласно исследованию, проведенному Cloud Native Computing Foundation и Linux Foundation Research в 2022 году. Ссылка: CNCF Annual Survey 2022 | Cloud Native Computing Foundation.
  3. Согласно исследованию State of Kubernetes security report, проведенному компанией RedHat в 2023 году.

Сценарии использования

  • Защита runtime-контейнеров в приватных и публичных облаках, on-premise и локальных инфраструктурах на базе Kubernetes.
  • Возможность интеграции с текущими инструментами безопасной разработки (DevSecOps), инструментами управления уязвимостями (vulnerability management), а также с системой управления событиями безопасности (SIEM) в центрах оперативного управления безопасностью (SOC).
  • Защита артефактов безопасной разработки, связанных с контейнерами, таких как helm-чарты, Kustomize-шаблоны конфигураций, манифесты (YAML), докер-файлы.
  • Защита runtime-контейнеров в Docker и Podman, а также защита технологии бессерверных вычислений (serverless).
  • Защита артефактов безопасной разработки, связанных с контейнерами, таких как скрипты Terraform (формат представления и управления конфигурациями, разработанный HashiCorp) и скрипты Ansible.
  • Настройка контента под собственную инфраструктуру, а также создание пакетов экспертизы.

Преимущества

  • База уязвимостей

    Собственная база уязвимостей ПО, которую собирают и регулярно обновляют эксперты Positive Technologies. Позволяет с высокой точностью выявлять уязвимости ALT Linux, Astra Linux, Oracle, Red Hat, Ubuntu, «РЕД ОС», уязвимости из базы NVD и БДУ ФСТЭК.

  • Экспертиза

    Собственная экспертиза по безопасности конфигураций (Kubernetes, Docker, Helm), соответствующая требованиям мировых и российских стандартов информационной безопасности (в частности, CIS Benchmarks).

  • Управление рисками

    Унифицированный подход к управлению рисками контейнерной инфраструктуры. Инструменты для оценки рисков для образов, конфигураций, контейнеров и кластеров. А также инструменты управления состоянием облачной безопасности (CSPM), которые помогают повысить защищенность, поскольку выполняют постоянные проверки соответствия и выявляют риски, связанные с разрабатываемыми рабочими нагрузками.

  • Security as code

    Практическая реализация подхода security as code, который позволяет кодифицировать политики безопасности в начале проекта, в том числе в формате кода на языках программирования общего назначения с использованием технологии WebAssembly, которая подразумевает, что проверки безопасности, тесты и шлюзы могут быть включены в инструменты и процессы DevOps без дополнительных затрат или задержек в процессе внесения изменений в код и инфраструктуру.

  • Динамический анализ

    Динамический анализ вредоносного ПО в контейнерной песочнице с использованием технологий PT Sandbox и PT Multiscanner.

  • Безопасность облаков

    Продукт также обеспечивает информационную безопасность гибридного облака как часть PaaS-платформы.

  • Источники данных

    Интеграция с собственными источниками данных компании Positive Technologies о киберугрозах (с платформой анализа угроз, Threat Intelligence Platform). Источники включают данные репутации IP-адресов, сведения об индикаторах угроз (хеш-суммах файлов, сигнатурах и пр.).

    Интеграция

    Интеграция с PT Application Inspector, PT BlackBox, PT Application Firewall, MaxPatrol 10 (MaxPatrol SIEM, MaxPatrol VM).

  • Политики

    Политики PT Container Security можно гибко конфигурировать и включать туда проверки различных типов, таких как:

    • — Admission controlling. Это процесс автоматической проверки ресурсов, генерируемых в Kubernetes, перед их созданием. Он позволяет администраторам контролировать доступ к кластеру и управлять им до того, как приложения начнут работу на узлах. Администраторы могут использовать admission controllers для определения правил доступа к кластеру, например проверять наличие необходимых метаданных или сертификатов, ограничивать доступ по IP-адресу, предотвращать создание объектов с незаданными параметрами.
    • — Runtime security. Безопасность во время выполнения обеспечивает активную защиту ваших контейнеров при их работе. Идея состоит в том, чтобы обнаружить и предотвратить вредоносную активность в контейнерах. Осуществляется на базе технологии Extended Berkeley Packet Filter (eBPF), позволяющей запускать программный код в изолированной виртуальной машине внутри ядра Linux.
    • — Проверки образов и конфигураций.

Какие задачи клиентов решает PT Container Security

Автоматизация управления уязвимостями и дефектами в конфигурации образов и контейнеров на этапе сборки, развертывания и промышленной эксплуатации.

Автоматизация управления уязвимостями

Автоматизация управления безопасностью конфигурации кластера Kubernetes.

Автоматизация управления безопасностью

Автоматизация мониторинга и реагирования на инциденты ИБ в рантайме контейнеров.

Автоматизация мониторинга

Как измерить эффективность

Если вы еще не приняли решение об инвестициях в средство по обеспечению безопасности контейнерных сред, то вам стоит учесть следующие метрики:

  • Сокращение времени устранения дефектов (time to patch).
  • Снижение количества обращений с ошибками (количество заявок о дефектах или количество уязвимостей), которое позволяет снизить количество ресурсов, затрачиваемых на техническую поддержку.
  • Снижение количества уязвимостей в рантайме (промышленная среда), которое позволяет минимизировать риски, связанные с тем, что ошибки, внесенные в инфраструктуру, не были исправлены вовремя.
  • Минимизация числа неуспешных сборок проектов при continuous integration.
  • Снижение ошибок приоритизации уязвимостей или дефектов.

Материалы

Выписка из единого реестра российского ПО

Условия приобретения

Права на использование программного изделия Positive Technologies Container Security предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗