Технологии контейнеризации приобретают всё большее распространение в среде разработчиков приложений. Как и любые технологии, контейнеры подвержены угрозам информационной безопасности. Кроме того, подходы к защите среды контейнеризации отличаются от традиционных методов обеспечения безопасности повышенной сложностью и динамичностью контейнерной среды. Сегодня мы разберёмся в том, что такое контейнеризация и как подходить к вопросу её защиты, а также рассмотрим, что нам предлагают основные игроки рынка защиты сред контейнеризации (Container Security).
- Введение
- Что такое контейнеризация
- Контейнеры: как подходить к вопросу защиты?
- Мировой рынок продуктов для защиты сред контейнеризации
- Российский рынок продуктов для защиты сред контейнеризации
- Краткий обзор коммерческих продуктов для защиты сред контейнеризации
- 6.1. Aqua Cloud Native Security Platform
- 6.2. CipherTrust Transparent Encryption Container Security
- 6.3. Check Point CloudGuard for Container Security
- 6.4. Guardicore Centra Security Platform
- 6.5. McAfee MVISION Cloud for Container Security
- 6.6. NeuVector Container Security
- 6.7. Palo Alto Networks Prisma Cloud Compute
- 6.8. Qualys Container Security
- 6.9. StackRox Kubernetes Security Platform
- 6.10. Sysdig Secure
- 6.11. Tenable.io Container Security
- 6.12. Trend Micro Cloud One
- Выводы
Введение
Технология контейнеризации приложений существует уже давно, однако появление в 2013 году Docker ускорило внедрение этой технологии в массы. По прогнозам Gartner, в 2022 году более 75 % организаций по всему миру будут использовать контейнеры.
Технология контейнеризации имеет неоспоримые преимущества перед технологией виртуализации на уровне гипервизора. Главным достоинством является её легковесность: процессы контейнеров используют ядро операционной системы, тем самым исключаются дополнительные накладные расходы на использование ядер гостевых операционных систем. Такой подход позволяет запускать на одном физическом сервере намного больше виртуальных окружений (похожих на реальные серверы), чем полновесные операционные системы. При этом запуск контейнеров происходит ещё и намного быстрее.
Преимуществ у технологии контейнеризации весьма много. Согласно отчёту компании IBM «The Benefits of Containerization and What It Means for You», они включают в себя:
- адаптивность к различным платформам и облакам,
- эффективность за счёт использования гораздо меньшего количества ресурсов, чем виртуальные машины, и обеспечения более высокого уровня использования вычислительных ресурсов,
- гибкость, позволяющая разработчикам интегрироваться в существующую среду DevOps,
- более высокая скорость доставки улучшений,
- более быстрый запуск приложения и более простое масштабирование,
- более простое управление,
- безопасность за счёт изоляции приложений от хост-системы и друг от друга.
Можно заметить, что один из пунктов списка касается безопасности. Однако использование контейнеризации также создаёт потенциальные ИБ-риски, с которыми необходимо бороться. 3 марта 2021 года мы проводили онлайн-конференцию AM Live «Защита контейнерных сред», на которой эксперты подробно обсуждали такие вопросы.
Что такое контейнеризация
Прежде чем говорить о безопасности контейнеров, давайте подробнее разберём, что это за технология.
Контейнеризация — это облегчённая технология виртуализации и изоляции процессов на уровне операционной системы, которая позволяет запускать приложение и необходимые ему системные библиотеки в контейнере, который соединяется с хостом при помощи интерфейсов. Контейнер является независимым от ресурсов или архитектуры хоста, на котором он запущен. Контейнер также независим от типа инфраструктуры и может функционировать как на серверах, в том числе виртуальных, так и в облаке, без необходимости рефакторинга для каждой среды. Нет потребности в выделении и настройке выделенного сервера для каждого приложения, контейнеры могут функционировать внутри одной операционной системы и использовать её ядро. Благодаря этому контейнеры обычно применяются для упаковки отдельных микросервисов, из которых состоят современные приложения.
Системные библиотеки и иные компоненты, необходимые приложению для функционирования, упаковываются в образ и могут быть использованы повторно. Приложение в контейнере работает в изолированной среде и не использует память, процессор или диск хостовой операционной системы. Это гарантирует изолированность процессов внутри контейнера.
Рисунок 1. Структурная схема технологии контейнеризации приложений
Контейнеры предлагают логический механизм упаковки, в котором приложения могут быть абстрагированы от среды, в которой они фактически выполняются. Такая развязка позволяет легко и последовательно развёртывать контейнерные приложения независимо от того, является ли целевая среда частным центром обработки данных, публичным облаком или даже персональным ноутбуком разработчика.
Оркестровка контейнеров решает проблему управления жизненным циклом контейнеров за счёт автоматизации планирования, развёртывания, масштабируемости, балансировки нагрузки, доступности и организации сетей контейнеров.
Наиболее популярными инструментами в индустрии облачных вычислений и контейнеризации являются Docker и Kubernetes. Как правило, Docker и Kubernetes применяются совместно. Docker — это компьютерное приложение, использующее концепцию контейнеризации, а Kubernetes — это система оркестровки контейнеров.
Разработка, развёртывание и запуск приложений в контейнерах осуществляются с помощью платформы Docker. Система оркестровки Kubernetes позволяет запускать контейнеры на нескольких хостах, которые могут быть простыми серверами или виртуальными машинами.
Образ контейнера Docker — это лёгкий автономный исполняемый пакет программного обеспечения, который включает в себя всё необходимое для запуска приложения: код, среду выполнения, системные библиотеки и настройки.
Docker работает не только на Linux, также поддерживаются Windows и macOS. Отличие от взаимодействия с Linux — в том, что на macOS и Windows платформа инкапсулируется в крошечную виртуальную машину. На данный момент Docker для macOS и Windows достиг значительного уровня удобства в использовании.
Контейнеры: как подходить к вопросу защиты?
Контейнеры, как и любое другое программное обеспечение, к сожалению, имеет свои уязвимости и недостатки безопасности, которые может эксплуатировать хакер.
Национальный институт стандартов и технологий США (NIST) опубликовал руководство по защите сред контейнеризации «NIST Special Publication 800-190: Application Container Security Guide». Документ описывает проблемы безопасности и защиту для каждого слоя стека контейнеров: образы, контейнеры, хосты, среда выполнения контейнеров, реестры и оркестратор.
Поиск уязвимостей образов
Уязвимости могут влиять на безопасность образов контейнеров так же, как и на любую другую ИТ-платформу, поэтому сканирование образов на наличие уязвимостей или вредоносных программ для образа обеспечивает необходимый уровень защищённости. При этом необходимо проводить периодическое сканирование образов, т. к. новая информация об угрозах может высветить уязвимые компоненты, которые до этого таковыми не считались.
Безопасность реестра контейнеров
Реестр контейнеров играет ключевую роль в контейнерной среде и обеспечивает централизованное управление хранением и доставкой образов контейнеров. Ошибки и уязвимости реестра позволяют легко атаковать запущенное приложение. Постоянный мониторинг реестра на предмет уязвимостей и ошибок, обеспечение безопасности сервера, на котором размещён реестр, и использование средств безопасного доступа являются основными мерами защиты для реестра контейнеров.
Среда выполнения контейнера
NIST Special Publication 800-190 указывает, что среды выполнения контейнеров также уязвимы для атак. Среда выполнения является одной из самых сложных частей для обеспечения безопасности в стеке контейнеров. Традиционные средства защиты не могут проанализировать содержимое контейнеров, так что невозможно сделать однозначный вывод о защищённости контейнерной среды. Необходимо определить нормальное состояние (поведение) для среды контейнеров, чтобы при реализации атаки последнюю можно было обнаружить при помощи выявления отклонений (аномалий).
Безопасность оркестровки
Необходимо обеспечить контроль привилегированных учётных записей. Использование модели доступа с наименьшими привилегиями, в которой действия Docker и Kubernetes явно указаны в белом списке, гарантирует, что пользователи смогут выполнять команды только на основе соответствующих ролей. Помимо этого необходимо обеспечить контроль коммуникации «pod-to-pod» — между группами контейнеров.
Безопасность хостовой операционной системы
Угрозы вычислительной среды хоста могут предоставить хакерам доступ ко всему технологическому стеку. Поэтому необходимо осуществлять сканирование на наличие уязвимостей в операционной системе хоста, реализовывать управление доступом (команды Docker, SSH, sudo и т. д.) и контролировать целостность критически важных с точки зрения ИБ файлов.
NIST также рекомендует использовать специализированную операционную систему для контейнеров. Существует три дистрибутива Linux, предназначенных для запуска контейнеров с минимальной (а следовательно, более безопасной) операционной системой:
- Container Linux специально разработан для запуска контейнеров. Red Hat интегрировала его в контейнерную платформу Red Hat OpenShift, но на данный момент он всё ещё существует как независимая операционная система. Container Linux интегрируется со своим аналогом Fedora Atomic Host компании Red Hat, чтобы создать замену обеим контейнерным операционным системам — Fedora CoreOS.
- В RancherOS всё, что может быть запущено как контейнер Docker, выполняется как контейнер Docker. Действительно, даже система инициализации заменяется контейнером, называемым System Docker.
- Photon OS — это специфичный для контейнеров дистрибутив Linux от VMware. Как и Fedora CoreOS, это — обычный Linux, который был урезан до минимально необходимого для запуска контейнеров Docker. Он также специально разработан для хорошей работы на vSphere.
Если для контейнеров используется обычная операционная система, то не рекомендуется запускать на ней другие приложения на одном сервере.
Мировой рынок продуктов для защиты сред контейнеризации
Согласно исследованию компании MarketsandMarkets, объём глобального рынка решений для защиты сред контейнеризации вырастет с 568 млн долларов США (2019 год) до 2178 млн долларов США к 2024 году при совокупном годовом темпе роста (CAGR) в 30,9 %. Ожидается, что глобальный рынок защиты сред контейнеризации будет обладать значительным потенциалом роста в связи с увеличением числа уязвимостей и кибератак, большим количеством поставщиков платформ с открытым исходным кодом, растущей популярностью микросервисов, прогрессирующей цифровой трансформацией между предприятиями и необходимостью придерживаться политики регулирования.
Рисунок 2. Динамика глобального рынка защиты сред контейнеризации на 2019–2024 годы (MarketsandMarkets)
При этом Северная Америка будет удерживать самый большой объём рынка в течение прогнозируемого периода. Рынок защиты сред контейнеризации в Северной Америке является высококонкурентным, поскольку этот регион включает в себя развитые страны, такие как США и Канада. Эти государства инвестировали значительные средства в научно-исследовательскую и опытно-конструкторскую работу (НИОКР), способствуя тем самым развитию инноваций, и являются ранними последователями различных технологий. США и Канада также являются ведущими странами в розничной торговле, финансовых услугах, банковском деле и некоторых отраслях промышленности, таких как транспорт и производство.
Согласно исследованию «Global Container Security Market — Industry Trends and Forecast to 2026» компании Data Bridge Market Research, объём глобального рынка решений для защиты сред контейнеризации вырастет до 3746,57 млн долларов США к 2026 году.
На мировом рынке можно выделить следующих основных игроков:
- Aqua Security Software,
- Alert Logic,
- Anchore,
- Qualys,
- Docker,
- Aporeto,
- NeuVector,
- Nano Sec,
- McAfee,
- Red Hat,
- Trend Micro,
- CLOUDPASSAGE AND HALO,
- Synopsys,
- Thales,
- Google,
- Palo Alto Networks,
- Guardicore,
- VERACODE,
- Capsule8,
- Deepfence,
- Lacework,
- Outpost24,
- Sonatype,
- StackRox,
- Sysdig,
- Tenable.
Как можно видеть, на сегодняшний день выбор поставщиков на мировом рынке весьма велик.
Российский рынок продуктов для защиты сред контейнеризации
В России сегмент рынка продуктов для защиты сред контейнеризации находится на ранней стадии развития. На российском рынке присутствуют зарубежные вендоры (Aqua Security Software, Check Point Software Technologies, Palo Alto Networks, McAfee, Tenable, Thales, Trend Micro, Sysdig Secure).
К сожалению, мы не располагаем сведениями об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи представить их ранжирование.
Краткий обзор продуктов, популярных на российском и мировом рынках, приведён ниже.
Краткий обзор коммерческих продуктов для защиты сред контейнеризации
Aqua Cloud Native Security Platform
Aqua Cloud Native Security Platform — это система для контроля безопасности контейнерной среды. Она обеспечивает следующие возможности:
- Сканирование образов, реестра контейнеров или канала CI / CD.
- Постоянная (runtime) защита с поиском изменений в контейнерах и другой подозрительной активности.
- Родной для контейнеров брандмауэр.
- Безопасность для бессерверного исполнения в облачных сервисах.
- Проверка на соответствие требованиям и аудит, объединённые с журналированием событий.
Подробнее с продуктом можно ознакомиться здесь.
CipherTrust Transparent Encryption Container Security
CipherTrust Transparent Encryption Container Security от компании Thales входит в состав платформы защиты данных CipherTrust Data Security Platform, обзор которой мы недавно публиковали. Компонент обеспечивает шифрование, контроль доступа и ведение журнала аудита доступа к данным для каждого контейнера.
Шифрование может применяться к генерируемым и хранящимся локально в контейнере данным, а также к информации на смонтированном в контейнере сетевом файловом ресурсе. CipherTrust Transparent Encryption Container Security позволяет привилегированным пользователям, таким как администраторы кластера Docker или OpenShift, работать в обычном режиме, не получая доступ к конфиденциальной информации.
CipherTrust Transparent Encryption Container Security обеспечивает контроль доступа и предоставляет подробные данные для аудита, необходимые для соблюдения политик безопасности. Можно устанавливать детализированные политики доступа на основе конкретных пользователей, процессов и наборов ресурсов в контейнерах. Также можно изолировать контейнеры, поэтому только те из них, которые авторизованы, могут получить доступ к конфиденциальной информации.
Поддерживается общая модель развёртывания микрослужб контейнеров, что позволяет использовать единую политику защиты, применяемую ко всем работающим на экземпляре узла контейнерам, применять различные политики для каждого контейнера или сочетать эти два подхода.
Подробнее с продуктом можно ознакомиться здесь.
Check Point CloudGuard for Container Security
CloudGuard for Container Security защищает среды контейнеризации на протяжении всего их жизненного цикла.
Платформа обеспечивает:
- постоянный контроль состояния облачной безопасности, включая оценку соответствия требованиям для кластеров Kubernetes,
- поиск уязвимостей, неправильных конфигураций и иных подобных угроз,
- динамическую защиту рабочих нагрузок контейнеров на основе соблюдения требований, настраиваемых правил и исключений с автоматическим устранением нарушений,
- централизованное управление защитой и визуализацию данных контейнера с возможностью создания отчётности,
- возможность создания персонализированных наборов правил и исключений в рамках политик для ресурсов контейнера.
Подробнее с продуктом можно ознакомиться здесь.
Guardicore Centra Security Platform
Платформа безопасности Guardicore Centra предназначена для защиты современных ЦОДов, гибридных облачных сред и контейнеров. Платформа обеспечивает комплексную защиту контейнеров Docker, в том числе в средах оркестровки Kubernetes.
Guardicore Centra визуализирует потоки данных на уровне отдельных процессов в индивидуальных контейнерах в режиме реального времени, с учётом всей иерархии — от контейнера до ноды. Интеграция с системами оркестровки контейнеров позволяет собирать и представлять метаданные и метки контейнеров в режиме реального времени на единой карте коммуникаций ЦОДа. Также Guardicore Centra включает в себя возможности микро- и наносегментации, обеспечивая управление коммуникационными потоками между контейнерами и прочими полезными нагрузками в ЦОДе.
Для быстрого выявления инцидентов Guardicore использует комбинацию трёх методов обнаружения: динамические эмуляции (ханипоты), анализ репутации и обнаружение нарушений политик безопасности. Кроме того, Guardicore Centra позволяет осуществлять мониторинг каждого кластера, модуля и службы, видеть, как они связаны и взаимодействуют друг с другом. Агенты Guardicore обеспечивают видимость всего кластера контейнеров, включая потоки данных между подами и между подом и виртуальной машиной.
Реализуя политику безопасности контейнерной среды, организации могут выбирать необходимый им уровень микросегментации и направлять трафик на конкретные кластеры Kubernetes. Политики безопасности могут быть интегрированы с процессами DevOps.
Средства мониторинга Guardicore помогают предотвращать атаки, обеспечивая анализ уязвимостей образов и контейнеров.
Подробнее с продуктом можно ознакомиться здесь.
McAfee MVISION Cloud for Container Security
MVISION Cloud for Container Security — единая платформа безопасности облачных вычислений. В платформе реализованы стратегии оптимизированного использования контейнеров, обеспечивающие безопасность динамических, постоянно меняющихся контейнерных рабочих нагрузок и инфраструктуры, от которой они зависят. MVISION Cloud for Container Security осуществляет поиск уязвимостей с возможностью оценки встроенного в контейнеры кода как во время его создания, так и через определённые интервалы времени, чтобы определить, подвергается ли контейнер известным угрозам.
Функции управления состоянием облачной безопасности для контейнерной инфраструктуры и систем оркестровки предотвращают превращение конфигурации среды в источник угроз, а также препятствуют изменению конфигурации среды по прошествии времени.
Наносегментация выявляет сетевые взаимодействия между запущенными в контейнерах процессами и осуществляет мониторинг этих процессов, используя соответствующие динамичному характеру контейнеров методы без привлечения внешних метаданных, таких как IP-адрес.
Подробнее с продуктом можно ознакомиться здесь.
NeuVector Container Security
NeuVector Container Security — это вполне известная и неплохо зарекомендовавшая себя сквозная платформа безопасности для всех DevOps-процессов и, в частности, для Kubernetes. Здесь доступны такие функции, как управление уязвимостями для образов, контроль доступа, защита процессов в памяти и файловых систем в контейнерах, файрвол вплоть до седьмого уровня OSI.
Декларативная политика безопасности обеспечивает быстрое масштабирование приложений без ручного вмешательства. Решение, поставляемое NeuVector, — это, по сути, сам контейнер, сертифицированный Red Hat и Docker, который легко развёртывается на каждом хосте, обеспечивая межсетевое взаимодействие (файрвол), мониторинг процессов и файловых систем внутри контейнера, аудит безопасности с помощью тестов CIS и сканирование уязвимостей.
NeuVector может проводить глубокую инспекцию пакетов и фильтрацию на седьмом уровне для всех сетевых соединений в сервисной сетке (service mesh).
Подробнее с продуктом можно ознакомиться здесь.
Palo Alto Networks Prisma Cloud Compute
Prisma Cloud Compute (ранее Twistlock) — платформа, которая обеспечивает безопасность на всех уровнях технологического стека контейнерной среды, в том числе защиту хостовой операционной системы, реестра контейнеров, непосредственно запущенных контейнеров, бессерверных вычислений. Продукт обеспечивает улучшенную визуализацию инфраструктуры, а также даёт подробные данные для расследования инцидентов. В его состав входят консоль управления и агент на ноде. Архитектура позволяет масштабироваться до нескольких тысяч защищаемых узлов.
Prisma Cloud Compute легко интегрируется с CI / CD, таким образом обеспечивается безопасность рабочего процесса DevOps: можно обнаружить проблемы ещё до того, как они попадут в продуктивную среду. Широкие CI-возможности позволяют разработчикам видеть ситуацию по уязвимостям каждый раз, когда они запускают сборку. Можно устанавливать политики, которые действуют как автоматические контролёры качества и гарантируют, что только исправленные и доверенные образы продвигаются по конвейеру. Prisma Cloud Compute покажет конкретный уязвимый компонент, что существенно ускоряет исправление проблем.
Платформа проводит анализ уязвимостей используя облачную аналитику и знания среды. Безопасность в процессе выполнения обеспечивается межсетевым экраном (в т. ч. уровня приложений), защитой веб-приложений и API, защитой кода во время выполнения контейнеров, работы Fargate и бессерверных вычислений, а также комплексной борьбой с угрозами для хостов. Межсетевой экран и брандмауэр уровня приложений автоматически изучают топологию сети приложений и выполняют криптографически верифицированную микросегментацию микросервисов на базе метаданных. Технологии машинного обучения обеспечивают безопасность среды, включая сеть, файловую систему, процессы и системные вызовы.
Подробнее с продуктом можно ознакомиться здесь.
Qualys Container Security
Qualys Container Security (CS) помогает защитить контейнерную инфраструктуру на всех этапах жизненного цикла. На этапе «Build» он может выявлять уязвимости внутри образов по мере сборки в конвейере («пайплайне») CI / CD и автоматически возвращать разработчикам обнаруженные проблемы без участия команды безопасности. На этапе «Ship» он ищет уязвимости внутри образов в тот момент, когда образы находятся в реестре. На этапе «Run» сенсоры Qualys CS работают в производственной (production) инфраструктуре, обеспечивая непрерывную инвентаризацию, контроль образов и запущенных контейнеров.
В Qualys CS есть возможность встраивания специального сенсора непосредственно в контейнеры (отдельным слоем) для обеспечения всесторонней видимости поведения контейнера и накладывания политик его защиты. Этот модуль встраивания называется Container Runtime Security. В этом режиме Qualys может работать в облачных бессерверных инфраструктурах, таких как AWS Fargate.
Вся обработка образов / контейнеров происходит в инфраструктуре клиента. Qualys CS работает со всеми распространёнными системами оркестровки (Kubernetes, OpenShift, Swarm и т. д.) и в разных средах (Docker, CRI-O, containerd).
Qualys CS является одним из модулей платформы Qualys с более чем 20 различными решениями, позволяющими комплексно адресовать задачи ИТ и ИБ. Разработчик предоставляет бесплатную тестовую версию Container Security / Runtime Security.
Подробнее с продуктом можно ознакомиться здесь.
StackRox Kubernetes Security Platform
Платформа для обеспечения безопасности контейнеров StackRox охватывает весь жизненный цикл Kubernetes-приложений в кластере. Продукт объединяет правила, белые списки, базовые показатели и поведенческое моделирование для выявления угроз во время выполнения в средах контейнеров. В частности, он генерирует рабочий профиль на основе наблюдаемого поведения контейнера и автоматически бьёт тревогу при любых отклонениях, а также предоставляет встроенный сканер для обнаружения уязвимостей в контейнерных образах с возможностью идентификации брешей на основе конкретных языков и пакетов или по уровню образа. Дополнительно StackRox интегрируется с иными решениями для сканирования, такими как Anchore, Google Cloud Container Analysis или Quay.
Кроме того, StackRox анализирует конфигурации Kubernetes, используя CIS Kubernetes и другие своды правил для оценки соответствия контейнеров требованиям. Продукт обеспечивает автоматизированные и ручные проверки по всем контрольным тестам (бенчмаркам) CIS, NIST, PCI и HIPAA, а также поддерживает более 300 контрольных точек и непрерывную оценку. StackRox идентифицирует неправильные конфигурации в образах, контейнерах, кластерах, Kubernetes и сетевых политиках, предотвращая случайные неправильные конфигурации, которые ставят под угрозу производительность и безопасность приложения.
StackRox также использует возможности Kubernetes и Istio для обеспечения соблюдения сетевых политик. Можно визуализировать существующие политики, моделировать новые, создавать обновленные файлы YAML и применять их непосредственно к Kubernetes.
Подробнее с продуктом можно ознакомиться здесь.
Sysdig Secure
Платформа Sysdig Secure представляет собой стек решений для обеспечения защиты облачных сервисов. Он включает в себя наборы модулей для поиска уязвимостей, достижения соответствия требованиям, охраны среды выполнения контейнеров и мониторинга состояния защищённости.
Платформа обеспечивает защиту на протяжении всего жизненного цикла контейнера и оркестровки. Sysdig Secure выполняет сканирование образов, выполняет поиск уязвимостей, блокирует угрозы, следит за соответствием установленным стандартам и проводит аудит активности в микросервисах.
Sysdig Secure интегрируется с инструментами CI / CD, такими как Jenkins, и контролирует загружаемые из реестров Docker образы, предотвращая появление опасных образов в продуктивной среде. Кроме того, он обеспечивает всестороннюю защиту процесса исполнения (runtime), включая профилирование на основе машинного обучения и обнаружение аномалий, реагирование на инциденты и их устранение, а также использование политик на базе системных событий, аудита API Kubernetes, матрицы MITRE ATT&CK и совместных проектов сообщества.
Подробнее с продуктом можно ознакомиться здесь.
Tenable.io Container Security
Tenable широко известна в ИБ-отрасли как компания, разработавшая сканер защищённости Nessus. Кстати, на нашем сайте уже был обзор продуктов Tenable для анализа защищённости корпоративной инфраструктуры.
Tenable.io Container Security позволяет оценить защищённость, обнаружить вредоносные программы, выполнить требования политик безопасности при работе с контейнерами благодаря следующим функциям:
- Запуск проверки в случае появления в базе ранее неизвестных угроз.
- Оценка исходного кода образа контейнера.
- Настройка корпоративных политик, позволяющих вовремя оповестить разработчиков контейнера в случае превышения в нём порогового значения уровня риска.
- Предоставление сведений на панелях мониторинга (дашбордах), позволяющих оценить состояние защищённости технологического стека.
Подробнее с продуктом можно ознакомиться здесь.
Trend Micro Cloud One
Trend Micro Cloud One обеспечивает защиту серверов и виртуальных машин центров обработки данных, в том числе — контейнеров и их служб, а также позволяет управлять состоянием безопасности облака.
Модуль Trend Micro Cloud One Container Security состоит из трёх основных элементов:
- Сканер образа контейнера. Сканирование начинается уже во время сборки. Это обеспечивает раннее обнаружение и устранение уязвимостей в стороннем коде. Таким образом, Cloud One Container Security осуществляет поиск уязвимостей в пакетах в составе контейнера; выявляет вредоносные программы с помощью сигнатур и методов машинного обучения; обнаруживает пароли, токены API и лицензионные ключи; находит угрозы используя сигнатуры YARA.
- Политики, разрешающие или блокирующие развёртывание.
- Безопасность выполнения нативных облачных приложений. После того как образ будет признан безопасным и начнётся развёртывание, Cloud One Container Security защитит контейнер в среде выполнения. Это обеспечит постоянное обнаружение уязвимостей для приложений в контейнере и соответствующую обратную связь с группами безопасности и DevOps.
Модуль Cloud One Workload Security предлагает защиту хостов с развёрнутыми контейнерами, используя такие технологии, как контроль целостности платформы, контроль трафика и блокировка атак на уязвимости (т. н. «виртуальный патчинг»), межсетевое экранирование.
Модуль Cloud One Application Security предполагает встраивание внутрь приложения в контейнере и обеспечивает блокировку атак на веб-приложения (WAF), контроль приложения внутри контейнера, защиту от атак на уязвимости.
Подробнее с продуктом можно ознакомиться здесь.
Выводы
Применение технологии контейнеризации для работы приложений прогрессирует заметными темпами. Контейнеризированные приложения подвержены угрозам информационной безопасности. При этом подход к защите сред контейнеризации отличается от традиционных методов вследствие повышенной сложности и динамичности контейнерной среды. Вендоры продуктов для обеспечения информационной безопасности отреагировали на набирающую популярность технологию и разработали специализированные средства защиты сред контейнеризации, учитывающие специфику этой технологии.
Мировой рынок традиционно представлен большим числом крупных производителей, предлагающих продукты разного уровня — как по стоимости, так и по качеству защиты.
На российском рынке присутствуют зарубежные вендоры (Aqua Security Software, Check Point Software Technologies, Palo Alto Networks, McAfee, Tenable, Thales, Trend Micro, Sysdig Secure).
Учитывая прогресс применения контейнерных технологий в России, можно смело утверждать, что продукты для защиты сред контейнеризации будут актуальны для отечественного заказчика и дальнейший спрос на них будет только расти. Это, несомненно, должно положительно сказаться на развитии российского рынка таких продуктов.