Kaspersky Container Security
Kaspersky Container Security (далее — KCS) — это программное решение, предназначенное для обеспечения безопасности контейнеров и элементов их инфраструктуры на всех этапах жизненного цикла. Также оно позволяет интегрироваться в инфраструктуру и жизненный цикл безопасной разработки.
Структура Kaspersky Container Security
Решение состоит из управляющего сервера KCS, сканера KCS и агента KCS.
Сервер KCS
Отвечает за:
- управление продуктом,
- создание политик информационной защиты,
- поступление данных из других компонентов,
- организацию бизнес-логики,
- отображение результатов работы.
Сканер KCS
Его основной задачей является сканирование образов и файлов конфигураций. Поскольку продукт интегрируется с реестрами образов и платформами CI/CD («непрерывное развёртывание»), то сканируются образы в реестрах, а также те, которые поступают через платформы CI/CD. В них обнаруживаются всевозможные уязвимости, вредоносные объекты, секретная информация в открытом доступе и ошибки конфигураций. Для каждой проблемы формируется рейтинг опасности, отображается суммарный рейтинг, а также рекомендации по его снижению.
Агент KCS
Запускается в виде сервиса контейнеризации на каждой рабочей ноде. Он ответственен за контейнерную безопасность на стадии запуска. Одна из его основных функций заключается в контроле запуска контейнеров из доверенных образов.
Например, если образ не соответствует политикам безопасности, можно при попытке его запуска (или при уже работающем образе) отправить нотификацию в центральную консоль и различные интегрированные сервисы. Кроме того, этот компонент анализирует поведение контейнеров, контролирует запуск приложений и сервисов внутри контейнеров. Также он встраивается в платформу оркестрации и обеспечивает поток данных, необходимых для проведения аналитики конфигураций оркестратора и его компонентов.
Таким образом, благодаря архитектуре и использованию этого набора компонентов, можно обеспечить безопасность каждого элемента контейнерной среды и работы с ними в процессе всего жизненного цикла.
Интеграция в процесс разработки
Внедрение в процесс разработки проходит в несколько этапов:
- На этапе исследования осуществляется сканирование образов контейнеров для обнаружения всех имеющихся в них проблем, включая уязвимости. Продукт позволяет обнаружить уязвимость не только по общедоступным базам, но и по базам ФСТЭК России.
- На этапе создания и тестирования осуществляется проверка образов, с которыми работают разработчики, на предмет существующих проблем. Если образ не соответствует политикам безопасности, то его дальнейшая сборка может быть заблокирована.
- На следующем этапе осуществляется контроль доставки и развёртывания только тех образов, которые соответствуют политикам безопасности.
- На стадии выполнения осуществляется защита уже рабочих контейнеров и сервисов от дискредитации и возможных атак.
Возможности решения
С целью снижения рисков безопасности основных компонентов контейнерных сред Kaspersky Container Security предоставляет различные возможности.
Для образов
Используется сканер по обнаружению в них имеющихся проблем. Он также оценивает риски и предлагает инструмент работы с ними.
Для реестров образов
За счёт интеграции продукт позволяет просканировать либо какие-то отдельные области реестра, либо целиком весь реестр. Он обеспечивает нахождение в реестре только безопасных и актуальных образов.
Для оркестратора
Проводится анализ конфигураций оркестратора, и обнаруживаются проблемы, связанные с ними. Осуществляется мониторинг трафика, и визуализация всех ресурсов, которые находятся в кластере. Выявляются и сканируются те образы, которые не находятся в реестре, но каким-либо иным путём попадают в среду исполнения и запускаются. Эти образы тоже проверяются на соответствие политикам безопасности. Можно либо вообще заблокировать запуск образов, которые не нашлись в реестре, либо разрешить только в том случае, если по результатам проверки они соответствуют политикам безопасности.
Для контейнеров
Обеспечивается продвинутая защита контейнеров runtime, которая позволяет осуществлять:
- контроль запуска и работы только доверенных контейнеров;
- мониторинг передачи данных между контейнерами, а также между компонентами контейнерной инфраструктуры и внешними сервисами;
- контроль целостности контейнеров;
- защиту от файловых угроз;
- поведенческий анализ;
- контроль работы приложений и сервисов внутри контейнеров.
Для операционной системы хоста
Осуществляется проверка версий компонентов основной операционной системы, выявление ошибок конфигураций и предоставление рекомендаций по их исправлению. За счёт контроля работы и безопасности контейнеров значительно уменьшаются риски дискредитации хоста.
Сценарии применения Kaspersky Container Security
Продукт используется в следующих случаях:
- При разработке приложений на микросервисной архитектуре. Решение позволяет обеспечить безопасность приложений и сервисов на всех этапах их жизненного цикла.
- При выстраивании процессов DevSecOps. Для обеспечения контроля и безопасности на этапе разработки, при необходимости соблюдения требований регуляторов, продукт проводит анализ конфигураций и анализ на соответствие требованиям регуляторов.
- Для инвентаризации и визуализации ресурсов. Продукт позволяет получить полную картину того, какие ресурсы используются в контейнерной среде.
- Для решения проблем в разрезе информационной безопасности. Продукт обеспечивает наглядность. Отсутствует необходимость использования различных утилит Open Source, написания множества скриптов для них. Решение предоставляет полный обзор того, что происходит в инфраструктуре, какие есть риски и помогает их контролировать. С точки зрения информационной безопасности Kaspersky Container Security проводит оценку и контроль рисков во время работы с контейнерными средами. Осуществляет контроль обеспечения безопасной конфигурации инфраструктуры, обнаруживает неактуальные компоненты, защищает работающие приложения в контейнерах, а также обеспечивает соответствие требованиям регуляторов. Решение оптимизирует использование ресурсов, повышает производительность и надёжность сервисов и приложений, контролируемо внедряет контейнеризацию и значительного уменьшает количество ИТ-инцидентов.
«Лаборатория Касперского» выкупила компанию-разработчика специализированных решений для обеспечения защиты контейнерных сред Ximi Pro. Это позволило значительно ускорить разработку продукта Kaspersky Container Security, который вышел на рынок под брендом «Лаборатории Касперского».
Обзор и демонстрация решения
Получить консультацию
Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.