В начале 2023 года «Лаборатория Касперского»  совершила уверенный шаг в безопасность контейнерных сред и вывела на рынок продукт Kaspersky Container Security.

Появление специализированного ИБ-решения для контейнерных сред неслучайно. Рост популярности микросервисных архитектур вызвал интерес к контейнеризации – логическому продолжению технологий виртуализации. Классическая схема использования – развертывание отдельного контейнера для каждого микросервиса в приложении (например, сервис доставки в интернет-магазине или функция воспроизведения видео на сайте).

Сегодня контейнеры широко применяются в разработке, поскольку они отвечают подходам непрерывной разработки и наиболее эффективно встраиваются в подход Ci/CD . Более того, контейнеризация позволяет не просто ускорить разработку, но и эффективно использовать инфраструктур, которая необходима разработчикам: сократить потребности в мощностях и масштабировать их в случае необходимости.

Из чего состоят контейнеры

Среда контейнеризации делится на три части. Первая – хранилище реестров, в котором находятся образы контейнеров. Это могут быть публичные реестры, такие как Docker, или реестры, развернутые внутри периметра организации. Вторая часть среды – платформа сборки и запуска приложений, которая осуществляется на базе существующих контейнеров (например, TeamCity, Jenkins, Gitlab). Третья составляющая – оркестратор (наиболее популярный и, по сути, стандарт – Kubernetes), при помощи которого осуществляются выделение ресурсов, физических или виртуальных, и эксплуатация контейнеров .

Риски контейнеризации

По данным экспертов аналитического агентства CNews Analitycs, более половины всех крупных организаций в России сегодня используют технологии контейнеризации. По сути, они становятся стандартом для разработки продуктов и сервисов. Но только 27 % компаний интегрировали в свои среды разработки компоненты безопасности. Между тем, с применением контейнеров связано несколько серьезных рисков безопасности.

Прежде всего они связаны с уязвимостью образов контейнеров, которые широко доступны в публичных реестрах, а значит могут иметь не только уязвимости, но и внедренные вредоносные объекты. Рискам подвержены и реестры образов, которые могут быть неправильно сконфигурированы, иметь недостаточно защищенный доступ или содержать устаревшие образы контейнеров с внедренным зловредным кодом.

Риски, связанные с оркестраторами, касаются ошибок, связанных с администрированием, слабым разделением трафика между контейнерами, ошибками в конфигурации. Сами контейнеры, помимо рисков, связанных с недостаточной защитой администрирования могут иметь уязвимую среду выполнения и уязвимости в приложениях, которые в них размещены.  Наконец, угрозам подвергается и операционная система хоста, на котором размещены контейнеры.

Как обеспечить безопасность контейнеров

Проблема безопасности контейнеров усугубляется тем, что средства безопасности виртуальных сред для них малоэффективны. Дело – в отличии архитектуры контейнерных сред, в частности – отсутствия операционной системы в каждом контейнере. Поэтому организациям, которые используют контейнеризацию, необходимо специализированное ИБ-решение, Kaspersky Container Security. 

Kaspersky Container Security

Kaspersky Container Security обеспечивает безопасность всех ключевых компонентов контейнерных сред на всех этапах их использования. Решение защищает образы, реестры образов, оркестраторы, контейнеры, операционную систему хоста. А еще – встраивается в процессы безопасной разработки и позволяет реализовать подход DevSecOps, который обеспечивает соблюдение интересов всех участников создания приложений, – разработчиков, администраторов и безопасников.

Состоит Kaspersky Container Security из трех ключевых компонентов. Центральный компонент решения – сервер, который отвечает за управление системой, создание политик безопасности, управление его логикой и управление другими компонентами. Вторая составная часть Kaspersky Container Security – сканер. Несложно догадаться по названию, что он ведет сканирование образов, как в реестрах, так и в CI-платформе.

Сканер может обнаружить в образах большинство основных проблем безопасности: вредоносные объекты, уязвимости, ошибки конфигурации и т.д. Каждой проблеме присваивается рейтинг, и в результате рейтинг безопасности позволяет оценить уровень рисков для каждого образа. Третий компонент - агент - запускается на каждой рабочей ноде и отвечает за безопасность каждого контейнера на стадии запуска и во время работы.

К примеру, он следит, чтобы контейнеры запускались только из доверенных образов. Кроме того, контролируется поведение контейнеров, запуск и поведение приложений внутри них. В результате обеспечивается безопасность всего жизненного цикла контейнеров.

DevSecOps

О том, как Kaspersky Container Security встраивается в процесс разработки, стоит упомянуть отдельно. На первом этапе применения решение сканирует и проверяет все образы из реестра, в частности сканируются конфигурационные файлы на наличие ошибок в конфигурации и секретов. В CI/CD среде решение работает как на этапе создания и тестирования контейнеров, проверяя образы на уязвимости и наличие вредоносного ПО, так и во время доставки и развертывания контейнеров, контролируя соблюдение политик безопасности. Кроме того, ведется поведенческий анализ контейнеров.

Каким компаниям предназначается решение

Возможности Kaspersky Container Security достаточно обширны для того, чтобы его можно было считать универсальным решением для любых компаний, использующих или разрабатывающих контейнерные приложения. Такие организации как правило используют публичные или гибридные облака, активно проводят цифровизацию и развивают свои инфраструктуры, а если ведут собственную разработку, то стремятся использовать методологию DevSecOps.

Узнали в этом «портрете» свою компанию? Обратитесь к менеджерам «Системного софта». Они подробно расскажут о Kaspersky Container Security и порекомендуют наиболее оптимальные способы его приобретения и использования.