Концепция Cloud Workload Security и её реализация в решении Kaspersky CWS

Kaspersky Cloud Workload Security ― комплексное предложение для защиты рабочих нагрузок. В него входят «Kaspersky Security для виртуальных и облачных сред» и Kaspersky Container Security. Они защищают от вредоносных программ, фишинга и нелегитимных действий в облачной или контейнерной среде.

 

 

 

 

 

 

1. Введение
2. Суть концепции Cloud Workload Security
3. Описание Kaspersky Cloud Workload Security
   
   
   1. 3.1. Kaspersky Security для виртуальных и облачных сред
   2. 3.2. Kaspersky Container Security
4. Технические требования
   
   
   1. 4.1. Kaspersky Security для виртуальных и облачных сред
   2. 4.2. Kaspersky Container Security
5. Архитектура Kaspersky CWS
   
   
   1. 5.1. Kaspersky Security для виртуальных и облачных сред
   2. 5.2. Kaspersky Container Security
6. Функции и возможности использования
7. Политика лицензирования
8. Выводы

Введение

Kaspersky Cloud Workload Security (Kaspersky CWS) позволяет контролировать безопасность облачной инфраструктуры, её соответствие принятым нормативам и стандартам, защищать от угроз информацию и приложения, визуализировать происходящие в облаке процессы. В его состав входят два продукта ― «Kaspersky Security для виртуальных и облачных сред» и Kaspersky Container Security. Их совместное применение обеспечивает защиту от широкого спектра рисков и снижает нагрузку на службу информационной безопасности.

Решение Kaspersky Cloud Workload Security подходит для бизнеса с разнородной и сложной ИТ-инфраструктурой. Оно легко встраивается в существующий ландшафт и обеспечивает защиту хостов гипервизоров, виртуальных машин, публичных и частных облачных хранилищ, контейнеров и прочих компонентов облачной и гибридной инфраструктуры компании. Использование Kaspersky CWS целесообразно в службах информационной безопасности, ИТ-отделах и командах разработки.

Проанализируем, какие задачи можно решать с помощью этого комплекса.

Суть концепции Cloud Workload Security

Концепция Cloud Workload Security охватывает технологии, методы и стратегии защиты облачных рабочих нагрузок от утечек, несанкционированного доступа и других киберугроз. Она решает ряд проблем безопасности, которые уникальны для облачных вычислений. Ключевая цель концепции ― обеспечить конфиденциальность, целостность и доступность всех данных и сервисов, размещённых в облаке. 

Cloud Workload Security предполагает многоуровневый подход, охватывающий контроль инфраструктуры, платформы и отдельных приложений. Это позволяет существенно повысить степень защиты от широкого спектра рисков и гарантировать соответствие требованиям регуляторов.

В сложившихся условиях CWS приобретает особо важное значение. По данным исследования CNews и «Лаборатории Касперского», 64 % российских организаций применяют облака в своих ИТ-инфраструктурах. Из них 46,5 % респондентов используют гибридное облако, 31 % ― публичное, 21,1 % ― частное, 1,4 % ― государственное. При этом доля перешедших в облака компаний будет только расти.

 

Рисунок 1. Диаграмма состояния облачных технологий в 2024 году (по данным исследования CNews и «Лаборатории Касперского»)

 

Использование гибридных облачных сред и технологий контейнеризации имеет понятные преимущества, связанные с существенным повышением эффективности использования ресурсов. Однако вместе с тем оно в определённой степени усложняет инфраструктуру и привносит новые специфические риски по части кибербезопасности. 

Облачные рабочие нагрузки привлекательны для злоумышленников тем, что в отсутствие должной защиты позволяют получить несанкционированный доступ к самым разным критически важным активам, вплоть до коммерческой тайны компании. Чаще всего киберпреступников интересуют консоль управления облаком, цепочки поставок, контейнеры, недокументированные возможности программного кода, виртуальные серверы, ключи доступа, хранящиеся в открытых репозиториях. 

Облачные рабочие нагрузки подвержены следующим типам угроз:

1. Кража и взлом учётных данных. 
2. DDoS-атаки. 
3. Вредоносные программы и программы-вымогатели. 
4. Утечка данных из-за некорректной настройки облачных сервисов или ресурсов.
5. Использование инструментов с открытым исходным кодом и других небезопасных ресурсов.
6. Применение незащищённых программных интерфейсов (API).

Для защиты критически важных для инфраструктуры компании активов применяется гибридный подход. Он предполагает, что локальные серверы используются в комбинации с частными и публичными облаками. При такой архитектуре эффективность традиционных средств киберзащиты конечных точек снижается из-за наличия специфических угроз. Поэтому в дополнение к ним необходимо использовать специально разработанные для защиты облачных рабочих нагрузок средства (CWS).

Применение концепции CWS позволяет добиться следующих результатов:

• повышение общего уровня безопасности информационной системы;
• контроль соблюдения требований и стандартов безопасности;
• непрерывный мониторинг состояния подконтрольной системы и оперативное реагирование на инциденты;
• ускорение и упрощение устранения киберугроз благодаря широкой автоматизации.

Концепция CWS подразумевает, что безопасность облачных сред обеспечивается за счёт идентификации приложений и сервисов. Обычно она предполагает автоматизацию части функций управления рабочей нагрузкой в облаке, контроль доступа к конфиденциальным данным, мониторинг и отслеживание аномалий, использование безопасных контейнеров.

Решения класса CWS пользуются большим спросом на рынке. Для российских пользователей акцентированный подход с комплексной защитой всех облачных рабочих нагрузок летом 2024 года предложила «Лаборатория Касперского». Рассмотрим подробнее их решение Kaspersky CWS.

Описание Kaspersky Cloud Workload Security

Kaspersky Cloud Workload Security ― это комплексное решение, которое снижает риски в области кибербезопасности, защищает облачную инфраструктуру от вредоносных программ, фишинга и других угроз. 

 

Рисунок 2. Эволюция решений Kaspersky CWS

 

Kaspersky Security для виртуальных и облачных сред

Этот продукт предназначен для обеспечения многоуровневой проактивной защиты инфраструктуры любого уровня сложности от кибератак. Он легко встраивается в существующий ИТ-ландшафт, позволяет автоматизировать некоторые рутинные процессы защиты подконтрольной инфраструктуры и сэкономить на этом трудовые и вычислительные ресурсы.

Поставляется в двух вариантах: «Лёгкий агент» и «Традиционный агент». Совместим с самыми популярными облачными технологиями и средствами виртуализации (в том числе российскими), а также со всеми основными отечественными операционными системами: Astra Linux, РЕД ОС, Alt Linux, «Базис.vCore», «Основа», РОСА. 

 

Таблица 1. Совместимые с «Kaspersky Security для виртуальных и облачных сред» сервисы

 

Помимо перечисленных в таблице сервисов, предусмотрена возможность взаимодействия с другими облачными службами и MSS-провайдерами.

В продукт встроен механизм машинного обучения. Аналитические данные поступают в систему в настоящем времени. Это даёт возможность оперативно реагировать даже на новейшие эксплойты и минимизировать количество ложных срабатываний. Кроме того, в «Kaspersky Security для виртуальных и облачных сред» используются адаптивные технологии. Они обеспечивают соответствие стандартам и нормативам даже на предприятиях подпадающих под строгое регулирование.

Kaspersky Container Security

Продукт выполняет функцию комплексной защиты контейнерных приложений на всех этапах их жизненных циклов (от образа контейнера до ОС хоста). Он значительно ускоряет процесс выведения продукта на рынок благодаря автоматизации проверок на кибербезопасность и на соответствие требованиям. Уязвимости анализируются по банкам данных ФСТЭК России и NIST, а также по базам «Лаборатории Касперского».

Kaspersky Container Security обеспечивает защиту оркестраторов, легко интегрируется с платформами CI / CD и реестрами образов. Примеры приведены в таблице 2.

 

Таблица 2. Совместимые с Kaspersky Container Security системы

 

Продукт бесшовно встраивается в процесс разработки и учитывает архитектуру контейнерных сред. Он облегчает процесс приведения инфраструктуры в соответствие с действующими стандартами и нормативами, реализовывает концепцию безопасной разработки приложений DevSecOps. 

В Kaspersky Container Security встроены информативные дашборды с графикой и виджеты. Можно тестировать состояние продукта и по косвенным признакам выявлять угрозы его безопасности. Также в продукте имеется функция каталогизации и инвентаризации. С её помощью можно обнаруживать неучтённые ресурсы и тех, кому они принадлежат.

Технические требования 

При установке решения Kaspersky Cloud Workload Security необходимо соблюдать технические требования. Они индивидуальны для каждого продукта и зависят от сложности конфигурации. 

Kaspersky Security для виртуальных и облачных сред

Продукт поддерживает все популярные платформы виртуализации. В их числе — Microsoft Windows Server (Hyper-V) 2016, 2019 и 2022, XenServer 8, VMware ESXi 7.0 и 8.0, KVM, Astra Linux Special Edition РУСБ.10015-01. Предусмотрена возможность использования облачных платформ: ТИОНИКС 2.9 и 3.0, SpaceVM 6.2, «Базис.DynamiX 3.8.5», VK Cloud (серии Havana, Stein, Newton, Victoria, Zed, Antelope, Bobcat).

 

Таблица 3. Системные требования для установки компонентов «Kaspersky Security для виртуальных и облачных сред», «Лёгкий агент»

 

Для использования продукта требуется установка дополнительного приложения ― Kaspersky Security Center. Оно выполняет функцию центра управления. Можно использовать веб-консоль и консоль администрирования на основе MCC. 

Kaspersky Container Security

К инфраструктуре, в которую планируется устанавливать Kaspersky Container Security, выдвигается ряд требований. В ней должна быть развёрнута одна из совместимых с продуктом платформ оркестровки (для нынешней версии подойдут Kubernetes 1.21+, OpenShift 4.11+, DeckHouse 1.52 / 1.53). Дополнительно потребуется установка менеджера пакетов Helm (версия 3.10.0), а также наличие CI-системы, которая проверяла бы образы контейнеров в ходе их разработки. Kaspersky Container Security поддерживает интеграцию с такими реестрами образов, как GitLab 14.2+, Docker Hub V2 API, JFrog Artifactory 7.55+, Sonatype Nexus Repository OSS 3.43+, Harbor 2.x.

Для бесперебойной работы Kaspersky Container Security с тремя рабочими нодами и тремя сканирующими подами требуются:

• 40 ГБ места на диске;
• 18 ГБ ОЗУ;
• 10 и более ядер процессора;
• ОС Linux 4.18 и выше. 

Поддерживаются отечественные операционные системы Astra Linux и РЕД ОС. Дополнительно необходимо обеспечить рабочее место пользователя постоянным подключением к сети (минимальная пропускная способность ― 10 Мбит/с) и поддерживаемыми браузерами. 

Архитектура Kaspersky CWS

Kaspersky CWS повышает кибербезопасность гибридных и облачных сред. В зону охвата могут входить не только облака, но и хосты гипервизоров, виртуальные машины, контейнеры. Взаимодействие с другими решениями «Лаборатории Касперского» обеспечивает комплексную защиту. Общее строение Kaspersky CWS приведено на рисунке 3.

 

Рисунок 3. Состав решения Kaspersky CWS

 

В перспективе планируется ещё система управления состоянием безопасности облака.

Далее рассмотрим архитектуру компонентов в отдельности.

Kaspersky Security для виртуальных и облачных сред

Продукт состоит из нескольких компонентов, основным из которых является сервер защиты . Это служба «scanserver», разворачиваемая в составе  виртуальной машины (SVM). Компонент управляет оптимизацией решения в виртуальной среде — это повышает надежность защиты виртуальных сред, публичных и частных облаков через единую консоль. Он выполняет следующие функции:

• проверка на наличие вредоносных программ и кодов;
• получение пакета программных обновлений;
• работа с лицензионными ключами и контроль ограничений;
• оптимизация выполнения высоконагруженных задач проверки.

Рисунок 4. Базовый компонент архитектуры продукта «Kaspersky Security для виртуальных и облачных сред»

 

Второй компонент архитектуры ― «Лёгкий агент» (есть возможность подключить продукт без него). Устанавливается на каждую виртуальную машину, которой требуется защита. Приложение минимизирует угрозы различного типа, а также препятствует сетевым и мошенническим атакам.

Третий компонент ― сервер интеграции. Он служит для взаимодействия Kaspersky Security с виртуальной инфраструктурой. Выполняет такие функции, как получение и передача информации о подконтрольной инфраструктуре, поиск списка подключений, доступных серверу защиты, развёртывание и изменение конфигурации, удаление SVM. Управление компонентом выполняется через консоль.

Kaspersky Container Security

В комплект поставки Kaspersky Container Security входят образы, на основе которых разворачиваются компоненты продукта. Основных модулей три: управляющий сервер, агенты и сканер. То, как они связаны между собой, отражено на рисунке 5.

 

Рисунок 5. Архитектура Kaspersky Security для контейнеров

 

Управляющий сервер контролирует состояние и взаимодействие компонентов продукта. Модуль составляет основу бизнес-логики и выполняет следующие функции:

• сбор информации об обнаруженных событиях;
• координация работы компонентов продукта;
• создание политик безопасности и управление ими;
• предоставление консоли управления;
• интеграция со сторонними компонентами (реестры образов, SIEM, CI / CD, электронная почта, LDAP).

Управляющий сервер устанавливается с серверными компонентами оркестратора.

Агенты ― контейнеризированные приложения, отвечающие за нахождение уязвимостей на уровне оркестратора, кластера и контейнеров. Устанавливаются в защищаемые кластеры и их узлы обособленно. Отсутствие агента в кластере приводит к невозможности выполнять мониторинг ресурсов и политики среды.

Сканер ― программа отвечающая за проверку репозитория на актуальность и безопасность. Есть встроенные сканеры нескольких типов, отвечающие за поиск:

• уязвимостей (сверяет с общедоступными базами);
• конфиденциальной информации;
• файловых угроз;
• ошибок конфигурации.

Сканер устанавливается на сервер оркестратора. Проверка запускается через модуль обработки заданий. 

Функции и возможности использования 

Kaspersky CWS помогает видеть подконтрольную инфраструктуру и эффективно борется с типовыми для облачных сред киберрисками. Решение оптимизирует расходы на обеспечение безопасности и эксплуатацию информационной системы. Его основные возможности:

• управление защитой облачных сред по принципу единого окна;
• автоматизация проверок на соответствие нормам безопасности;
• до 30 % экономии вычислительных ресурсов в частных облаках в режиме лёгкого агента;
• обеспечение соответствия требованиям регуляторов;
• снижение операционных и инфраструктурных затрат;
• увеличение прозрачности инфраструктуры.

Описание возможностей «Kaspersky Security для виртуальных и облачных сред» и Kaspersky Container Security приведено в таблицах 4 и 5.

 

Таблица 4. Возможности Kaspersky Security для виртуальных и облачных сред

 

Таблица 5. Возможности Kaspersky Container Security 

 

Решение подходит для предприятий любых отраслей. Бизнесу Kaspersky CWS даёт уменьшение затрат, снижение рисков по части кибербезопасности и повышение эффективности бизнес-процессов. Для ИТ-отдела он интересен благодаря оптимизации облачных вычислительных ресурсов, снижению количества инцидентов, повышению прозрачности и производительности инфраструктуры. 

Политика лицензирования

Для установки решения Kaspersky CWS требуется купить лицензию. При этом не обязательно приобретать весь набор функций. Гибкая модель лицензирования позволяет выбирать только те опции, которые необходимы заказчику. Возможно подключение защиты по типам рабочих нагрузок вне зависимости от того, где они размещены (в частном, открытом или гибридном облаке). Стоимость лицензии зависит от сложности защищаемой инфраструктуры и требований заказчика. 

«Kaspersky Security для виртуальных и облачных сред» и Kaspersky Container Security поставляются в двух редакциях ― «Standard» и «Enterprise» / «Advanced». Принципиальные различия и примеры сочетания лицензий для защиты виртуальных машин и контейнеров приведены на рисунке 6. Отдельно стоит подчеркнуть, что есть лицензии по защите процессов и рабочих компьютеров.

 

Рисунок 6. Типы лицензий на решения Kaspersky CWS

 

Стандартная лицензия «Kaspersky Security для виртуальных и облачных сред» обеспечивает фундаментальную защиту, а пакет «Enterprise» делает безопасность, как говорит вендор, «всеобъемлющей» и дополнительно помогает соблюдать требования регуляторов. Варианты лицензий на Kaspersky Container Security соотносятся между собой примерно таким же образом.

Выводы

Продукты класса CWS обеспечивают защиту критически важных для предприятия активов. Решение Kaspersky Cloud Workload Security ориентировано на те компании, которые переносят рабочие нагрузки в облако. Такое усложнение подконтрольной инфраструктуры делает среду менее прозрачной и увеличивает риски снижения кибербезопасности. Продукт позволяет существенно сократить их, а также оптимизировать расходы на обеспечение безопасности и эксплуатацию информационной системы.