Контейнеры и средства их оркестрации, такие как Kubernetes, становятся основой современной ИТ-инфраструктуры. Они упрощают разработку, ускоряют развёртывание приложений и автоматически распределяют ресурсы, что особенно важно в периоды пиковых нагрузок. Однако с ростом популярности технологий увеличивается и интерес к ним со стороны злоумышленников. В ближайшем будущем можно ожидать роста числа целенаправленных атак на контейнерные инфраструктуры, а также увеличения количества и сложности используемых векторов атак.

Почему эти технологии так привлекательны для злоумышленников?

Популярность решения. Kubernetes — один из самых широко используемых проектов с открытым исходным кодом. Крупнейшие корпорации России и мира успешно внедрили и используют для своих нужд технологии контейнеризации.

Дефицит экспертов. Несмотря на то, что Kubernetes находится в открытом доступе, не каждый администратор инфраструктуры может верно настроить его работу под определенную организацию. К сожалению, на данный момент наблюдается дефицит специалистов, обладающих достаточными компетенциями для защиты контейнеров.

Совокупность первого и второго пунктов дает понимание злоумышленнику, что он наверняка сможет найти пробел в обеспечении безопасности, тем самым получить доступ к критически важным данным и закрепиться во внутреннем периметре организации.

Почему бизнесу необходимо вкладываться в безопасность технологий контейнеризации?

Если организация уже использует или планирует внедрить контейнеры в своих промышленных сегментах, ей важно обеспечить безопасность в соответствии с регуляторными требованиями. Однако, если рассмотреть вопрос глубже, можно увидеть ряд преимуществ, которые компания получает от внедрения средств защиты контейнеризации в свою инфраструктуру. Вот основные из них:

  1. Минимизация рисков эксплуатации уязвимостей. Контейнеры используют ресурсы хостовой операционной системы. Например, в случае повышения привилегий или в рамках «побега из контейнера», злоумышленник может получить доступ к хостовой ОС, включая ее файловую систему, процессы и сеть, тем самым открывая возможность атак на другие контейнеры и даже другие системы внутри сети. Используя средства защиты контейнеризации, можно централизованно контролировать попытки использования повышенных привилегий, как на стадии запуска контейнеров, так и в процессе их эксплуатации в средах выполнения.
  2. Защита от атак на цепочку поставок. Часто команды разработчиков и инженеры по автоматизации прибегают к использованию общедоступных базовых образов, которые могут содержать как уязвимости, так и вредоносный код. В данном случае, внедряя инструменты безопасности, такие как сканеры образов, можно заранее обнаружить уязвимые пакеты и библиотеки в образах до момента их развертывания в промышленных средах.
  3. И самое главное — непрерывность для бизнеса. Атаки на контейнерные инфраструктуры могут вести к простоям в работе сервисов и нарушению их функционирования, что влечет за собой не только риски финансовых потерь, но и снижение репутации.

Для защиты контейнерной инфраструктуры важен комплексный подход

  1. Для понимания важности встраивания безопасности на всех этапах жизненного цикла программного обеспечения необходимо прививать сотрудникам культуру DevSecOps. Посещение тематических митапов, конференций, вебинаров также способствует повышению уровня компетенций сотрудников и открывает возможность использования проверенных практик уже внутри их организаций. Полезных мероприятий на тему защиты контейнерной инфраструктуры с каждым годом становится всё больше.
  2. Правильная настройка кластеров и периодическое проведение аудитов безопасности Kubernetes.
  3. Сегментация и изоляция сети. Сетевые политики должны быть настроены для каждого компонента кластера.
  4. Контроль доступа пользователей и рабочих нагрузок за счет системы распределения прав доступа (RBAC Kubernetes).
  5. Контроль поведенческой активности контейнеров в средах выполнения, с целью выявления и предотвращения аномального для рабочих нагрузок поведения.

Такой подход можно организовать за счет штатных сотрудников и использования Open Source-инструментов, но важно помнить, что такое ПО не является панацеей. На отечественном рынке появляются решения, которые позволяют обеспечить высокий уровень защищенности. К тому же растет количество предлагаемых услуг в части DevSecOps, что в совокупности помогает компаниям выстраивать процессы безопасной разработки высокой степени зрелости.

Руслан Субхангулов, директор по продукту Crosstech Solutions Group