Kaspersky Container Security

Структура Kaspersky Container Security

Kaspersky Container Security (далее — KCS) состоит из управляющего сервера, сканера и агента KCS.

Сервер KCS

Сервер KCS отвечает за:

• управление продуктом,
• создание политик информационной защиты,
• поступление данных из других компонентов,
• организацию бизнес-логики,
• отображение результатов работы.

Сканер KCS

Его основной задачей является сканирование образов и файлов конфигураций. Поскольку продукт интегрируется с реестрами образов и платформами CI/CD («непрерывное развёртывание»), то сканируются образы в реестрах, а также те, которые поступают через платформы CI/CD. В них обнаруживаются всевозможные уязвимости, вредоносные объекты, секретная информация в открытом доступе и ошибки конфигураций. Для каждой проблемы формируется рейтинг опасности, отображается суммарный рейтинг, а также рекомендации по его снижению.

Агент KCS

Запускается в виде сервиса контейнеризации на каждой рабочей ноде. Он ответственен за контейнерную безопасность на стадии запуска. Одна из его основных функций заключается в контроле запуска контейнеров из доверенных образов.

Например, если образ не соответствует политикам безопасности, можно при попытке его запуска (или при уже работающем образе) отправить нотификацию в центральную консоль и различные интегрированные сервисы. Кроме того, этот компонент анализирует поведение контейнеров, контролирует запуск приложений и сервисов внутри контейнеров. Также он встраивается в платформу оркестрации и обеспечивает поток данных, необходимых для проведения аналитики конфигураций оркестратора и его компонентов.

Таким образом, благодаря архитектуре и использованию этого набора компонентов, можно обеспечить безопасность каждого элемента контейнерной среды и работы с ними в процессе всего жизненного цикла.

Интеграция в процесс разработки

Внедрение в процесс разработки проходит в несколько этапов:

• На этапе исследования осуществляется сканирование образов контейнеров для обнаружения всех имеющихся в них проблем, включая уязвимости. Продукт позволяет обнаружить уязвимость не только по общедоступным базам, но и по базам ФСТЭК России.
• На этапе создания и тестирования осуществляется проверка образов, с которыми работают разработчики, на предмет существующих проблем. Если образ не соответствует политикам безопасности, то его дальнейшая сборка может быть заблокирована.
• На следующем этапе осуществляется контроль доставки и развёртывания только тех образов, которые соответствуют политикам безопасности.
• На стадии выполнения осуществляется защита уже рабочих контейнеров и сервисов от дискредитации и возможных атак.

Возможности решения

С целью снижения рисков безопасности основных компонентов контейнерных сред Kaspersky Container Security предоставляет различные возможности.

Для образов

Используется сканер по обнаружению в них имеющихся проблем. Он также оценивает риски и предлагает инструмент работы с ними.

Для реестров образов

За счёт интеграции продукт позволяет просканировать либо какие-то отдельные области реестра, либо целиком весь реестр. Он обеспечивает нахождение в реестре только безопасных и актуальных образов.

Для оркестратора

Проводится анализ конфигураций оркестратора, и обнаруживаются проблемы, связанные с ними. Осуществляется мониторинг трафика, и визуализация всех ресурсов, которые находятся в кластере. Выявляются и сканируются те образы, которые не находятся в реестре, но каким-либо иным путём попадают в среду исполнения и запускаются. Эти образы тоже проверяются на соответствие политикам безопасности. Можно либо вообще заблокировать запуск образов, которые не нашлись в реестре, либо разрешить только в том случае, если по результатам проверки они соответствуют политикам безопасности.

Для контейнеров

Обеспечивается продвинутая защита контейнеров runtime, которая позволяет осуществлять:

• контроль запуска и работы только доверенных контейнеров;
• мониторинг передачи данных между контейнерами, а также между компонентами контейнерной инфраструктуры и внешними сервисами;
• контроль целостности контейнеров;
• защиту от файловых угроз;
• поведенческий анализ;
• контроль работы приложений и сервисов внутри контейнеров.

Для операционной системы хоста

Осуществляется проверка версий компонентов основной операционной системы, выявление ошибок конфигураций и предоставление рекомендаций по их исправлению. За счёт контроля работы и безопасности контейнеров значительно уменьшаются риски дискредитации хоста.

Сценарии применения Kaspersky Container Security

Продукт используется в следующих случаях:

• При разработке приложений на микросервисной архитектуре. Решение позволяет обеспечить безопасность приложений и сервисов на всех этапах их жизненного цикла.
• При выстраивании процессов DevSecOps. Для обеспечения контроля и безопасности на этапе разработки, при необходимости соблюдения требований регуляторов, продукт проводит анализ конфигураций и анализ на соответствие требованиям регуляторов.
• Для инвентаризации и визуализации ресурсов. Продукт позволяет получить полную картину того, какие ресурсы используются в контейнерной среде.
• Для решения проблем в разрезе информационной безопасности. Продукт обеспечивает наглядность. Отсутствует необходимость использования различных утилит Open Source, написания множества скриптов для них. Решение предоставляет полный обзор того, что происходит в инфраструктуре, какие есть риски и помогает их контролировать. С точки зрения информационной безопасности Kaspersky Container Security проводит оценку и контроль рисков во время работы с контейнерными средами. Осуществляет контроль обеспечения безопасной конфигурации инфраструктуры, обнаруживает неактуальные компоненты, защищает работающие приложения в контейнерах, а также обеспечивает соответствие требованиям регуляторов. Решение оптимизирует использование ресурсов, повышает производительность и надёжность сервисов и приложений, контролируемо внедряет контейнеризацию и значительного уменьшает количество ИТ-инцидентов.

«Лаборатория Касперского» выкупила компанию-разработчика специализированных решений для обеспечения защиты контейнерных сред Ximi Pro. Это позволило значительно ускорить разработку продукта Kaspersky Container Security, который вышел на рынок под брендом «Лаборатории Касперского».