CrossTech Container Security: практичный подход к безопасности контейнеров

Crosstech Solutions Group провели закрытое демо и познакомили заказчиков с особенностями продукта CrossTech Container Security. Формат мероприятия подразумевал открытый диалог – заказчики задавали вопросы, делились пожеланиями и болями, связанными с безопасностью контейнерной инфраструктуры. Эксперты CTSG затронули как бизнесовые, так и технические вопросы и разобрали практические сценарии применения контейнерной безопасности.

В демо участвовали:

• Никита Андреянов — заместитель генерального директора по продуктовой политике
• Руслан Субхангулов — директор по продукту CrossTech Container Security

Заказчиков в первую очередь интересовало, как на практике контролировать контейнерные приложения от появления образа до работы в рантайме — с учётом ограничений реальной инфраструктуры.

CrossTech Container Security создавался как продукт, который помогает выстроить безопасность контейнерных приложений без разрыва между ИБ, разработкой и эксплуатацией. Его логика строится вокруг полного жизненного цикла контейнера — от момента появления образа до поведения приложения в рантайме — с учётом реальных ограничений инфраструктуры.

«Мы изначально смотрели на контейнерную безопасность не как на отдельную функцию, а как на часть управляемой разработки и эксплуатации», — Никита Андреянов.

Почему контейнерная безопасность стала задачей бизнеса

Обсуждение началось с признания популярности контейнеризации. Заказчики отмечали, что ещё пару лет назад контейнеры воспринимались как техническая деталь, но сейчас инциденты и простои напрямую влияют на бизнес. Долгое время контейнерная безопасность воспринималась как вторичный этап, к которому можно вернуться после внедрения базовых средств защиты. Однако по мере роста контейнерных сред стало очевидно, что риски, связанные с контейнерами, напрямую влияют на бизнес.

Использование библиотек из открытых источников и образы из публичных репозиториев стали нормой. При этом контроль над тем, какие контейнеры и с какими настройками запускаются в продуктиве, часто отсутствует. Это создаёт уязвимости и напрямую влияет на устойчивость сервисов. В результате контейнерная безопасность перестала быть задачей исключительно ИБ-подразделений и стала частью устойчивости бизнеса.

«Контейнеры — это быстро и удобно. Но сейчас многие уже понимают, что у этой технологии есть и свои риски», — Никита Андреянов.

Жизненный цикл контейнерного приложения и точки риска

Разговор быстро сместился от общих принципов к конкретике — на каком этапе контейнерного приложения рисков больше всего. Контейнерное приложение проходит несколько этапов: сборка образа, хранение в реестре, запуск контейнера и эксплуатация. На каждом из этих этапов возникают свои риски. Уязвимости могут появиться ещё на этапе сборки образа, ошибки — при настройке политик запуска, а аномальное поведение — уже в процессе эксплуатации.

CrossTech Container Security выстраивает защиту именно вокруг этого жизненного цикла, позволяя последовательно закрывать риски на каждом этапе, а не пытаться компенсировать их постфактум.

«Чаще всего запросы укладываются в три истории: сканирование, контроль запуска и runtime securitу», — Руслан Субхангулов.

Типовой путь: от образа к эксплуатации

«С чего начинать, если контейнерная безопасность в компании только появляется?»
Практика показывает, что большинство задач укладываются в три логических блока.

1.   Сканирование образов

 «Мы вообще понимаем, что внутри наших образов?»
Работа с контейнерной безопасностью начинается с понимания того, из чего состоят образы. Контейнерный образ включает в себя множество слоёв, библиотек, пакетов и конфигураций, каждая из которых может содержать уязвимости или небезопасные настройки.

Продукт позволяет подключаться к реестрам образов, регулярно синхронизироваться с ними и выполнять сканирование с гибкими настройками: по расписанию или вручную, с выбором типов дефектов и областей контроля. При этом учитывается реальность инфраструктур — образы могут попадать в кластеры в обход регламентов, локально размещаться на нодах или оставаться после тестовых запусков. Такие образы также обнаруживаются и включаются в контур безопасности.

Отдельное внимание уделяется производительности и управляемости сканирования, особенно в инфраструктурах с большим количеством реестров и крупными образами.

«Сканирование — это гигиенический минимум. Без него вся цепочка дальше просто не имеет смысла», — Руслан Субхангулов.

2.   Контроль запуска контейнеров по политикам безопасности

После обсуждения сканирования логично возник следующий вопрос — что делать с контейнером, если в нём уже нашли проблемы. Обнаружение проблем в образе — лишь начальный шаг. Контейнер с нарушениями не должен запускаться в продуктивной среде. Контроль запуска по политикам безопасности позволяет предотвращать использование небезопасных образов, конфигураций и настроек.

При этом CrossTech Container Security ориентирован на встраивание в существующие процессы. Во многих компаниях уже используются инструменты admission control, и продукт не требует отказа от них. Он поддерживает интеграции с распространёнными механизмами и позволяет применять кастомные политики, соответствующие внутренним стандартам компании.

Такой подход снижает сопротивление со стороны команд и позволяет внедрять контроль запуска без пересборки всей цепочки разработки.

3.   Runtime Security

«Что делать, если контейнер уже запущен и начинает вести себя не так, как ожидалось?»
Даже проверенные образы могут вести себя неожиданно после запуска. Поэтому важен контроль того, что происходит с контейнерами в процессе эксплуатации. Runtime Security отвечает за мониторинг действий контейнеров, выявление отклонений и поддержку расследований инцидентов.

Runtime-часть CrossTech Container Security построена на низкоуровневом мониторинге и позволяет отслеживать реальные события внутри контейнеров. Настраиваемые политики помогают фиксировать подозрительную активность и передавать события в SOC для дальнейшего анализа.

Архитектура для закрытых контуров и сегментации

Отдельная дискуссия развернулась вокруг инфраструктур с жёсткой сегментацией.

«Как встроить контейнерную безопасность, если управляющие системы находятся в закрытом контуре?»
Во многих инфраструктурах управляющие системы и средства безопасности находятся в закрытых контурах. Из менее доверенных сегментов запрещено инициировать соединения в защищённые зоны. Классические архитектуры с двунаправленным взаимодействием между агентами и сервером в таких условиях создают сложности и дополнительные издержки.

CrossTech Container Security учитывает эти требования. В продукте предусмотрены архитектурные сценарии с однонаправленным взаимодействием и использованием шлюзов. Это позволяет размещать управляющую часть в закрытом контуре, сохраняя сбор данных и управление агентами без нарушения принципов сегментации и без расширения сетевых допусков. В результате компания снижает риски инцидентов и избегает пересмотра архитектуры безопасности ради внедрения новых инструментов.

Standalone-агент

«А если контейнеры используются без Kubernetes?»
Несмотря на популярность Kubernetes, контейнеры часто используются и вне оркестраторов. Это может быть связано с этапами миграции, архитектурными решениями или требованиями к изоляции отдельных компонентов.

Для таких случаев предусмотрен уникальный standalone-агент, который позволяет применять политики безопасности, контролировать запуск контейнеров и выполнять проверки на уровне хоста. Дополнительно поддерживается анализ конфигурационных файлов и файловых систем, что расширяет контроль над окружением контейнеров.
Для бизнеса это означает возможность защищать и проверять отдельные контейнеры без ручных проверок и без изменения существующих контуров безопасности и бизнес-процессов.

Совместимость с реальной инфраструктурой и платформами контейнеризации

«Что делать, если инфраструктура неоднородная и далека от идеала?»
Инфраструктуры заказчиков редко бывают однородными. Используются разные версии Kubernetes, устаревшие кластеры, несколько платформ контейнеризации одновременно. Дополнительным фактором стала миграция на отечественные решения, которая требует гибкости и постепенного подхода.

CrossTech Container Security разрабатывается с учётом этой реальности. Продукт поддерживает сценарии миграции, совместимость с различными платформами контейнеризации и позволяет выстраивать безопасность без необходимости немедленно приводить инфраструктуру к идеальному состоянию.

Отчётность, API и интеграции

Под конец обсуждения разговор ожидаемо ушёл в сторону отчётности и интеграций. Контейнерная безопасность редко используется как самостоятельный инструмент. Обычно она должна передавать данные в другие системы: SOC, SIEM, платформы управления рисками, внутренние панели мониторинга. Без этого информация остаётся разрозненной и не используется в операционных процессах.

С технической стороны востребованы детальные данные: результаты сканирования образов, состав контейнеров, нарушения политик запуска, события, зафиксированные во время выполнения. Эти данные нужны для анализа инцидентов, поиска причин и корректировки процессов разработки и эксплуатации.

Параллельно существует потребность в агрегированной информации для руководства и владельцев процессов: общее состояние среды, количество критичных проблем, динамика изменений. Поэтому отчётность обычно разделяется по уровням детализации, а API используется для выгрузки данных в сторонние системы и автоматизации обработки. Контейнерная безопасность, встроенная в процессы и интегрированная с другими системами, становится частью общей системы управления безопасностью.

Вектор развития продукта

«Куда будет развиваться контейнерная безопасность в ближайшем будущем?»
Развитие контейнерной безопасности идёт от отдельных функций к покрытию всего жизненного цикла контейнерных приложений. Простого сканирования образов уже недостаточно: уязвимости могут появляться на этапе сборки, при запуске контейнера или в процессе его работы.

Отдельное направление — интеграция в цикл разработки. Практическая цель здесь — выявлять проблемы на ранних этапах, до попадания контейнеров в кластер, и не переносить их в эксплуатацию, где исправление занимает больше времени и требует больших затрат.

В части эксплуатации основной акцент смещается на управляемость событий.
Контейнерные среды генерируют большое количество сигналов, и без контекста они перегружают команды и теряют ценность. Поэтому внимание уделяется анализу поведения контейнеров, сопоставлению его с ожидаемыми сценариями и сокращению количества ложных срабатываний. Это позволяет использовать результаты безопасности в работе, а не относиться к ним как к фоновому шуму.

О том, как CrossTech Container Security встраивается в цикл разработки, какие функциональные возможности появляются в новых релизах и как продукт развивается дальше, мы расскажем в следующих материалах на нашем сайте.