Купол.Контейнеры: как создать безопасную контейнерную инфраструктуру
За последний год аналитики в сфере информационной безопасности зафиксировали рост кибератак на контейнерные среды, результатом которых стали утечки конфиденциальных данных, финансовые и репутационные потери, а также снижение доверия клиентов. Это, в свою очередь, увеличивает потребность в решениях для защиты от подобных угроз. В ответ на запрос рынка компания-разработчик НОТА Сервис создала решение Купол. Контейнеры. Основные возможности этого продукта — в обзоре TAdviser.
Содержание |
Контейнер как место уязвимости: потребность в защите
Контейнеризация — это способ «упаковать» в один контейнер все необходимое для создания работы программного приложения. Контейнер включает в себя код программы, библиотеки, все зависимости и инструменты, необходимые для работы. При этом он изолирует приложение от остальной системы, поэтому, даже если внутри него есть какие-то ошибки или уязвимости, это не повлияет на всю систему.
Сегодня контейнеры — неотъемлемая часть процесса разработки ПО: они изолируют приложение, позволяя локализовать ошибки, однако сами могут стать местом возникновения уязвимостей и нуждаются в защите. Поэтому важным шагом становится понимание потенциальных угроз на всех этапах разработки, интеграции и доставки контейнеризированного приложения. Первый шаг с точки зрения обеспечения безопасности — сканирование образов из репозиториев: необходимо гарантировать, что они проходят проверку на наличие уязвимостей, вредоносного ПО, паролей (и других секретов), ошибок конфигурации (например, избыточные привилегии) и т. д. — прежде чем попасть во внутренний контур клиента.
При этом, после запуска контейнера необходимо отслеживать и то, что происходит в кластере. Для этого можно, например, контролировать соответствие настроек кластера стандартам безопасности, таким как Kubernetes CIS, NIST.
Купол.Контейнеры: назначение и основные функции
Купол.Контейнеры — это программный продукт, обеспечивающий безопасность контейнерной инфраструктуры. Он помогает организациям повысить уровень защиты своей инфраструктуры, используя современные инструменты для обнаружения уязвимостей в образах на ранних этапах. Это позволяет не допустить запуск контейнеров с известными угрозами или заранее определить компенсирующие меры, чтобы избежать эксплуатации уязвимостей, повышая общую безопасность системы.
.png)
Купол.Контейнеры дает возможность оценить риски на всех этапах работы с контейнерами, повысить отказоустойчивость разрабатываемых приложений, оптимизировать использование ресурсов и выявить аномалии.
Продукт подходит для применения в организациях, использующих Docker, Kubernetes и другие современные платформы для оркестрации контейнеров, а также ориентированных на продолжающий набирать популярность DevSecOps-подход, где безопасность является неотъемлемой частью процесса разработки. Ниже приведены ключевые возможности
Купол.Контейнеры.
Управление политиками Kyverno:
- централизованное управление политиками Kyverno;
- создание и изменение собственных политик Kyverno;
- графический пользовательский интерфейс для управления политиками Kyverno.
Карта сети кластера и отчетность:
- построение карты компонентов кластера на основе данных встроенных агентов;
- визуализация ресурсов и трафика кластера.
Контроль целостности образов:
- проверка подписей образов;
- подпись образов;
- генерация и хранения пары ключей для подписания образов.
Проверка на наличие уязвимостей и вирусов:
- проверка образов на наличие уязвимостей по 17 зарубежным и отечественным базам данных;
- встроенный механизм согласования принятия рисков по каждой уязвимости;
- классификация уязвимостей по влиянию на образы;
- сканирование образов на наличие вирусов.
Существует три основных сценария использования Купол.Контейнеры:
- Интеграция в CI/CD-конвейер для проверки образов контейнеров.
- Проверка системы на предмет соответствия политикам безопасности.
- Анализ уязвимостей и проверка на соответствие стандартам безопасности.
Работа с продуктом
Стартовый экран Купол.Контейнеры — дашборды. Здесь отображаются уязвимости по критичности, соответствие образов международным и отечественным стандартам. У пользователя есть возможность создать свой дашборд и гибко настроить его, добавив или удалив виджеты на экране.
В самом начале работы с продуктом необходимо в настройках добавить реестры образов. Продукт поддерживает все реестры, которые взаимодействуют по протоколу Docker Registry. При добавлении автоматически отображается информация о количестве образов в реестре, если ранее выполнялось сканирование, пользователю будут показаны агрегированные результаты в разрезе критичности, соответствия стандартам и других параметрам.
В настройках можно задать расписание сканирования для конкретного репозитория. При этом на текущий момент Купол.Контейнеры поддерживает как международные, так и российские базы данных уязвимостей, в частности от «Астра», «Ред ОС» и ФСТЭК. Базы с уязвимостями и вирусными сигнатурами обновляются в фоновом режиме из единого доверенного источника.
Для проверки секретов в коде в Купол.Контейнеры есть большое количество предустановленных правил. Среди них можно осуществлять поиск по паттерну, а если какой-то паттерн не удалось найти, то можно создавать свои собственные правила.
Купол.Контейнеры также осуществляет классификацию выявленных уязвимостей по степени их влияния на образы, что помогает при приоритизации исправительных мер. Продукт дает возможность выгрузить отчеты как по всему выбранному реестру, так и по отдельным образам. Отчетность получается по всем уязвимостям или с деталями по отдельным найденным.
Всю информацию о сканировании можно посмотреть на главном экране продукта и при необходимости легко «провалиться» в детали. Например, посмотреть детальную информацию по пакетам, секретам, слоям и найденным в них уязвимостям.
Продукт содержит блок с функциональностью оценки комплаенса: можно провести проверку уровня соответствия стандарту Kubernetes CIS, лучшим практикам Docker, PCI DSS, NIST и задать пользовательские правила. Причем в каждое правило возможно перейти и посмотреть подробное описание.
