Kaspersky Container Security

Kaspersky Container Security (далее — KCS) — это программное решение, предназначенное для обеспечения безопасности контейнеров и элементов их инфраструктуры на всех этапах жизненного цикла. Также оно позволяет интегрироваться в инфраструктуру и жизненный цикл безопасной разработки.

Структура Kaspersky Container Security

Структура Kaspersky Container Security

Решение состоит из управляющего сервера KCS, сканера KCS и агента KCS.

Сервер KCS

Отвечает за:

  • управление продуктом,
  • создание политик информационной защиты,
  • поступление данных из других компонентов,
  • организацию бизнес-логики,
  • отображение результатов работы.

Сканер KCS

Его основной задачей является сканирование образов и файлов конфигураций. Поскольку продукт интегрируется с реестрами образов и платформами CI/CD («непрерывное развёртывание»), то сканируются образы в реестрах, а также те, которые поступают через платформы CI/CD. В них обнаруживаются всевозможные уязвимости, вредоносные объекты, секретная информация в открытом доступе и ошибки конфигураций. Для каждой проблемы формируется рейтинг опасности, отображается суммарный рейтинг, а также рекомендации по его снижению.

Агент KCS

Запускается в виде сервиса контейнеризации на каждой рабочей ноде. Он ответственен за контейнерную безопасность на стадии запуска. Одна из его основных функций заключается в контроле запуска контейнеров из доверенных образов.

Например, если образ не соответствует политикам безопасности, можно при попытке его запуска (или при уже работающем образе) отправить нотификацию в центральную консоль и различные интегрированные сервисы. Кроме того, этот компонент анализирует поведение контейнеров, контролирует запуск приложений и сервисов внутри контейнеров. Также он встраивается в платформу оркестрации и обеспечивает поток данных, необходимых для проведения аналитики конфигураций оркестратора и его компонентов.

Таким образом, благодаря архитектуре и использованию этого набора компонентов, можно обеспечить безопасность каждого элемента контейнерной среды и работы с ними в процессе всего жизненного цикла.

Интеграция в процесс разработки

Интеграция Kaspersky Container Security в процесс разработки

Внедрение в процесс разработки проходит в несколько этапов:

  • На этапе исследования осуществляется сканирование образов контейнеров для обнаружения всех имеющихся в них проблем, включая уязвимости. Продукт позволяет обнаружить уязвимость не только по общедоступным базам, но и по базам ФСТЭК России.
  • На этапе создания и тестирования осуществляется проверка образов, с которыми работают разработчики, на предмет существующих проблем. Если образ не соответствует политикам безопасности, то его дальнейшая сборка может быть заблокирована.
  • На следующем этапе осуществляется контроль доставки и развёртывания только тех образов, которые соответствуют политикам безопасности.
  • На стадии выполнения осуществляется защита уже рабочих контейнеров и сервисов от дискредитации и возможных атак.

Возможности решения

С целью снижения рисков безопасности основных компонентов контейнерных сред Kaspersky Container Security предоставляет различные возможности.

Для образов

Используется сканер по обнаружению в них имеющихся проблем. Он также оценивает риски и предлагает инструмент работы с ними.

Для реестров образов

За счёт интеграции продукт позволяет просканировать либо какие-то отдельные области реестра, либо целиком весь реестр. Он обеспечивает нахождение в реестре только безопасных и актуальных образов.

Для оркестратора

Проводится анализ конфигураций оркестратора, и обнаруживаются проблемы, связанные с ними. Осуществляется мониторинг трафика, и визуализация всех ресурсов, которые находятся в кластере. Выявляются и сканируются те образы, которые не находятся в реестре, но каким-либо иным путём попадают в среду исполнения и запускаются. Эти образы тоже проверяются на соответствие политикам безопасности. Можно либо вообще заблокировать запуск образов, которые не нашлись в реестре, либо разрешить только в том случае, если по результатам проверки они соответствуют политикам безопасности.

Для контейнеров

Обеспечивается продвинутая защита контейнеров runtime, которая позволяет осуществлять:

  • контроль запуска и работы только доверенных контейнеров;
  • мониторинг передачи данных между контейнерами, а также между компонентами контейнерной инфраструктуры и внешними сервисами;
  • контроль целостности контейнеров;
  • защиту от файловых угроз;
  • поведенческий анализ;
  • контроль работы приложений и сервисов внутри контейнеров.

Для операционной системы хоста

Осуществляется проверка версий компонентов основной операционной системы, выявление ошибок конфигураций и предоставление рекомендаций по их исправлению. За счёт контроля работы и безопасности контейнеров значительно уменьшаются риски дискредитации хоста.

Сценарии применения Kaspersky Container Security

Продукт используется в следующих случаях:

  • При разработке приложений на микросервисной архитектуре. Решение позволяет обеспечить безопасность приложений и сервисов на всех этапах их жизненного цикла.
  • При выстраивании процессов DevSecOps. Для обеспечения контроля и безопасности на этапе разработки, при необходимости соблюдения требований регуляторов, продукт проводит анализ конфигураций и анализ на соответствие требованиям регуляторов.
  • Для инвентаризации и визуализации ресурсов. Продукт позволяет получить полную картину того, какие ресурсы используются в контейнерной среде.
  • Для решения проблем в разрезе информационной безопасности. Продукт обеспечивает наглядность. Отсутствует необходимость использования различных утилит Open Source, написания множества скриптов для них. Решение предоставляет полный обзор того, что происходит в инфраструктуре, какие есть риски и помогает их контролировать. С точки зрения информационной безопасности Kaspersky Container Security проводит оценку и контроль рисков во время работы с контейнерными средами. Осуществляет контроль обеспечения безопасной конфигурации инфраструктуры, обнаруживает неактуальные компоненты, защищает работающие приложения в контейнерах, а также обеспечивает соответствие требованиям регуляторов. Решение оптимизирует использование ресурсов, повышает производительность и надёжность сервисов и приложений, контролируемо внедряет контейнеризацию и значительного уменьшает количество ИТ-инцидентов.

«Лаборатория Касперского» выкупила компанию-разработчика специализированных решений для обеспечения защиты контейнерных сред Ximi Pro. Это позволило значительно ускорить разработку продукта Kaspersky Container Security, который вышел на рынок под брендом «Лаборатории Касперского».


Обзор и демонстрация решения


Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.