Выстроить защиту контейнерных сред самостоятельно можно, но сложно. Во-первых, традиционные средства защиты часто несовместимы с контейнерными средами. Те же сканеры уязвимостей не могут должным образом анализировать события внутри контейнеров, а сервисы защиты веб-приложений не позволяют видеть межконтейнерный трафик. Во-вторых, безопасность контейнеров должна отвечать как ИБ-политике, так и бизнес-процессам компании. Права и ресурсы, запуск непроверенных контейнеров, опасные конфигурации оркестратора - всё требует тонкой настройки.
Встроенные средства Kubernetes позволяют решить задачу, но только отчасти. Так, при помощи стандартных инструментов можно квотировать ресурсы, управлять ролями пользователей и обеспечивать логирование. Однако сканировать уязвимости или контролировать соответствие ИБ-политике они уже не позволяют. Можно, конечно, дополнить штатные средства точечными решениями Open Source, но полноценную систему контейнерной безопасности таким способом выстроить всё равно не получится.
Альтернативное решение - сервисы облачного провайдера. Здесь возможны два варианта на выбор: Managed Kubernetes и услуга по администрированию Kubernetes. Managed Kubernetes позволяет создавать и управлять EKS-кластерами Kubernetes с поддержкой динамического масштабирования. Сценарии использования сервиса могут быть разными - например, он отлично подойдет при внедрении микросервисов или при необходимости поддержки неравномерных нагрузок. В последнем случае играет роль именно качество масштабируемости. Ведь запуск дополнительных рабочих узлов позволяет быстро развернуть приложение в требуемом количестве экземпляров.
Администрирование Kubernetes - комплекс услуг. Он включает развертывание и сопровождение инфраструктуры под создание бизнес-приложений на базе микросервисов и контейнеров. Услуга востребована по ряду причин, но миграция с зарубежных платформ оркестрации и запуск новых проектов, пожалуй, являются основными.
Выбор в пользу того или иного сервиса зависит от специфики задач. Например, оба сервиса позволяют развернуть кластер в нескольких зонах доступности, но интеграцию прикладного ПО мониторинга или логирования предполагает только администрирование Kubernetes. В то же время автоматическое развертывание нажатием кнопки доступно в рамках Managed Kubernetes, но не администрирования.
ИТ-специалистов сталкивались хотя Рынок безопасности
PT Container Security
DevSecOps в облаке
Безопасность контейнеров неразрывно связана с еще одним направлением - DevSecOps. Оно предполагает применение практик ИБ на всех этапах жизненного цикла ПО - от проектирования до развертывания. Разумеется, можно протестировать готовый продукт на предмет безопасности, но в случае обнаружения слабых мест в коде придется пройти по конвейеру разработки заново. Поэтому уязвимости лучше выявлять сразу - что и предполагает DevSecOps. Например, на этапе проектирования стоит внимательно отнестись к выбору среды исполнения кода, а на этапе разработки - сразу искать уязвимости в используемых библиотеках.
DevSecOps в облаке - та же методология DevSecOps, но реализуемая на базе облачной платформы. Это удобно тем, что управлять безопасностью можно при помощи подключаемых инструментов. Особенно они упрощают защиту на последнем этапе, когда приложение развернуто и эксплуатируется в облачной инфраструктуре. В то же время облачные среды - сложные и многоуровневые. Отсюда и наличие характерных угроз безопасности. Например, сервисы могут быть сконфигурированы не в соответствии с ИБ-политикой, разграничение доступа - ошибочно спроектировано, а хранилище данных - не зашифровано. Всё это следует выявить и исключить заранее.
Такие среды все чаще выстраиваются под ключ в собственной инфраструктуре или в частном облаке, но в долгосрочной перспективе в России, вероятно, среды DevSecOps будут переноситься в публичные облака - по аналогии с тем, как это происходит в мире. По оптимистичным , к 2027 году российский рынок DevSecOps может вырасти до 56 млрд руб.
Рост рынка- Нестабильный доступ к GitHub и опасения
- Необходимость повышения эффективности
и скорости работы команд разработки при - Растущая популярность подхода
В этом году мы всё чаще сталкиваемся с необходимостью защиты контейнеризации и выстраивания процессов безопасной разработки. Однако заказчикам часто не хватает как квалифицированных специалистов, так и инфраструктурных ресурсов. На этом фоне возрастает спрос на облачные решения. Для этого есть несколько причин.
Во-первых, число продуктов на рынке продолжает расти, но общедоступные бенчмарки отсутствуют, а в девелоперских командах зачастую нет необходимых экспертов по безопасности приложений (AppSec). Кроме того, рынок контейнеризации в России претерпел значительные изменения. Появилось много новых отечественных платформ, но у бизнеса пока нет полной уверенности в их защищенности. Тем временем злоумышленники становятся более активными, а их атаки - всё сложнее.
В такой ситуации заказчики обращаются к партнёрам с собственной лабораторией, которая занимается исследованием, тестированием и внедрением вендорских продуктов. Бизнес ищет комплексную экспертизу: от аудита и разработки дорожных карт (roadmap) до внедрения решений и предоставления платформ для реализации аутсорсинговых задач.
руководитель направления защиты бизнес-приложенийНа протяжении многих лет отрасль разработки фактически игнорировала вопросы безопасности. Сегодня факт безопасности - отсутствия уязвимостей в коде - становится таким же критерием качества ПО, как и его функциональность. Все ИТ-компании со зрелой разработкой уже внедряют инструменты AppSec в процесс сборки продукта, независимо от отрасли и масштаба собственного бизнеса.
директор по развитию бизнеса безопасной разработкиКиберхранилище
Киберхранилище - хранилище с интегрированными функциями ИБ. В частности, оно защищает данные от атак программ-вымогателей на неструктурированные наборы данных, а также проводит анализ этих инцидентов и запускает процесс восстановления. Причем защита от атак выстроена на принципах раннего обнаружения и блокировки угроз.
Причин востребованности киберхранилищ много, но цифры говорят сами за себя. Так, согласно ежегодному отчету Gartner от 2022 г., к 2025 году 60% компаний будут предъявлять спрос на встроенные механизмы защиты от программ-вымогателей, а к 2028 году их доля достигнет 100%. Для сравнения: в том же 2022 г. таковых было только 10%.
Основной функционал таких хранилищ не требует разработки продукта с нуля, а может внедряться в существующие программные и программно-аппаратные комплексы (ПАК) для хранения - это создает возможности для быстрого проникновения и развития тренда. На мировом рынке уже существуют фичи киберхранилища в решениях крупнейших вендоров в области систем хранения (например, NetApp Ransomware Protection), а также киберхранилища от нишевых разработчиков (например, Superna).
Киберхранилища - молодой тренд, лишь набирающий силу. Однако так как ИБ постепенно проникает во все направления информационных технологий, рано или поздно подобные интегрированные решения будут популярны и у нас. Потенциально подобный класс решений может быть востребован в отраслях, которые работают с чувствительной информацией, а также обрабатывают большие объемы персональных данных. Прежде всего, это госсектор, промышленность, транспорт, ритейл, телеком, здравоохранение и т.д.
На данный момент есть множество решений для защиты конечных точек, но непосредственно для централизованных хранилищ данных также нужны инструменты, которые будут обеспечивать безопасность. И очень важна защита не только от внешнего злоумышленника, но и от внутреннего. В данном случае особенно актуальны решения класса DCAP, которые позволяют определять матрицу взаимодействия с конфиденциальной информацией внутри компании, классифицировать неструктурированные данные на сетевых ресурсах, а также защищать их, запрещая подозрительную активность.