Руслан Субхангулов, директор по продукту Crosstech Solutions Group, для журнала Information Security.

Сложная архитектура контейнерных технологий и большое количество компонентов делают такие системы привлекательной целью для злоумышленников. Разберем на примерах, как защитить контейнерную инфраструктуру.

Правильная настройка кластеров и регулярные аудиты безопасности

Безопасность Kubernetes начинается с базовой настройки. Некорректное конфигурирование кластеров часто становится причиной утечек данных и компрометаций. В открытом доступе имеется информация об известных инцидентах, которые произошли по причинам, связанным с неправильным конфигурированием:

• Взлом кластера Kubernetes в Tesla в 2018 г. из-за оставленных открытыми панелей управления без аутентификации. Злоумышленники смогли использовать кластер для криптомайнинга.

• Утечка данных из банка Capital One в 2019 г. из-за неправильной настройки прав доступа. В итоге в сеть попали личные данные 106 млн человек.

Согласно исследованию Redhat1, 45% респондентов в 2023 г. столкнулись с инцидентами безопасности или проблемами из-за неверных конфигураций, связанными с контейнерами и (или) Kubernetes. Несмотря на то, что инциденты произошли несколько лет назад, подобные угрозы до сих пор актуальны во многих компаниях.

Рекомендации:

1. Используйте инструменты проверки конфигураций кластеров.

2. Регулярно обновляйте версии Kubernetes и используйте минимально необходимые привилегии для компонентов кластера.

3. Автоматизируйте проверку конфигураций с помощью CI/CD для анализа Kubernetes-манифестов.

4. Применяйте безопасные шаблоны Helm Charts и избегайте запуска приложений с высокими привилегиями.

Сегментация и изоляция сети

Сетевые политики являются одним из важнейших инструментов защиты, поскольку неправильная конфигурация сетей может позволить злоумышленникам перемещаться между компонентами кластера.

Инцидент: атака на систему управления Kubernetes в 2020 г., когда злоумышленники воспользовались отсутствием сетевых политик, что позволило им получить доступ к базе данных, содержащей конфиденциальную информацию.

Рекомендации:

1. Используйте сетевые политики для ограничения трафика на уровне подов.

2. Интегрируйте инструменты, такие как Calico, Cilium для создания сложных сетевых политик и мониторинга трафика.

3. Внедряйте межкластерные шифрования на уровне сетей.

4. Настройте eBPF для мониторинга сетевых соединений в реальном времени и предотвращения аномальных действий.

Контроль доступа через RBAC

Система Role-Based Access Control (RBAC) позволяет минимизировать риски, связанные с несанкционированным доступом.

В 2019 г. злоумышленники использовали чрезмерные права, предоставленные пользователю, для выполнения вредоносных действий в кластере, и дело закончилось компрометацией Kubernetes API.

Рекомендации:

1. Определите роли и разрешения для каждого пользователя и приложения.

2. Отключайте доступ по умолчанию и проводите регулярный анализ использования привилегий. 3. Используйте инструменты, такие как Open Policy Agent и Kyverno, для создания и управления политиками доступа.

4. Настройте двухфакторную аутентификацию для доступа к панели управления Kubernetes.

Мониторинг и контроль активности контейнеров

Контейнеры могут подвергаться атакам в рантайме, например через попытки побега из контейнера или выполнения запрещенных операций.

В 2020 г. было обнаружено, что тысячи контейнеров использовались для скрытого майнинга из-за отсутствия мониторинга аномальной активности. А в 2021 г. злоумышленники использовали уязвимость в популярной библиотеке Log4Shell для выполнения команд в контейнерах.

Рекомендации:

1. Внедрите инструменты обеспечения безопасности контейнерных сред, дополнительно предоставляющие функции мониторинга.

2. Настройте алерты на попытки использования привилегированных действий или выполнения неизвестных команд внутри контейнера.

3. Используйте современные технологии и решения для защиты контейнеризации.

Не стоит забывать, что остаются актуальными и классические векторы атак, описанные по матрице MITRE ATT&CK и OWASP TOP 10. Поэтому необходимо анализировать все техники, их критичность и применимость относительно своих инфраструктур.

В заключение

В России представлены несколько коммерческих решений класса Container Security. Вендоры стараются добавлять в них функции, которые сформировались на основе пользовательского опыта. С одной стороны, они упрощают администраторам выполнение рутинных действий, с другой – дают большую информативность и детализацию по потенциальным уязвимостям и подозрительным процессам. Вендоры также стараются расширять понятие Сontainer Security, добавляя в свои решения смежный функционал, который превращает их в полноценную платформу для безопасной разработки.

Еще одним из интересных решений является использование песочниц для контейнеров. В России эта технология пока не получила широкого распространения, однако по мере развития подобных модулей в составе продуктов, она может стать востребованной, внеся значительный вклад в обеспечение безопасности контейнерных сред.

Стоит отметить попытки использования механизмов машинного обучения, оптимизации выявления аномальных активностей в рамках рантайм-анализа. В первую очередь от этого тренда ожидается снижение количества ложноположительных срабатываний.