В настоящее время контейнеризация имеет широкое применение в среде разработоки приложений. Подход имеет ряд преимуществ над своими аналогами, о которых мы поговорим далее. Важно отметить тот факт, что контейнеризация позволяет оптимизировать процесс разработки, но в силу своей специфики требует отдельного подхода к безопасности.
В статье мы расскажем, что представляет из себя контейнеризация, покажем основные преимущества, рассмотрим безопасность использования технологии и основные требования законодательства по защите. Также проведем краткий обзор отечественных средств защиты сред контейнеризации.
Средства контейнеризации: основные принципы и нормативная база
Описание технологии контейнеризации
Принцип контейнеризации представляет собой помещение программы в изолированную рабочую среду. Благодаря технологии можно проводить разработку независимо от самой машины, программного обеспечения и системы. Также, используя данный подход, можно снизить нагрузку на систему и избежать конфликтов по причине разного программного обеспечения и библиотек.
Контейнеризация позволяет оперативно перемещать продукт между разными машинами, создавать подходящую для конкретного разработчика инфраструктуру, ускорять процесс разработки и, что немаловажно, обеспечивает возможность масштабирования продукта.
Существует очень удачная аналогия, при которой контейнер сравнивают с ящиком, внутри которого какой-либо груз. Этот ящик можно положить где угодно, он обособленный, а его содержимое существует по собственным правилам, независимо от окружающей внешней среды.
Преимущества технологии контейнеризацииОдним из важных преимуществ подхода является его универсальность. Контейнер можно перемещать между различными средами без возникновения конфликтов. В нем можно разместить все необходимые библиотеки, что позволит запустить приложение на любой операционной системе.
Следующее преимущество – экономия ресурсов. При грамотной настройке контейнеров и их связей можно распределить мощности. Так, если одному контейнеру требуется больше ресурсов, ее можно выделить за счет других контейнеров.
Важный критерий - безопасность. Сам факт изолированности повышает безопасность продукта. В случае, если вредоносный код попадет внутрь контейнера, то система не даст ему распространиться за его пределы.
Следует отметить, что данная технология имеет свои уязвимости и требует отдельного подхода к защите .
Контейнеризация позволяет настраивать рабочую среду. Без данной технологии среду придется настраивать под каждую задачу отдельно, что требует много времени, а также является небезопасным вариантом. Контейнер позволяет унифицировать рабочую среду для всей команды разработчиков.
Стоит отметить, что использование контейнеризации дешевле других подходов, например, вертуализации. Изоляция позволяет избежать непредвиденных расходов на исправление ошибок, которые могут сказаться на всем процессе.
ИБ-риски средств контейнеризации и методы их защитыНеобходимо отметить, что технология контейнеризации предполагает весьма специфические угрозы со стороны информационной безопасности и требует дополнительных специализированных средств защиты информации.
Привычные методы защиты серверов в данном случае не имеют высокой эффективности, так как особенность технологии делает каждый элемент потенциальным объектом для атаки. Необходимо обеспечить многослойную защиту, учесть все элементы, участвующие в процессе разработки и обезопасить каждый из них.
Разберем каждый из элементов отдельно и определимся, как можно комплексно обеспечить их безопасность.
Защита образовАналогично любой ИТ-системе, образы контейнеров могут иметь уязвимости. Для того, чтобы избежать несанкционированых проникновений, необходимо проводить регулярные сканирования на предмет вредоносного кода и уязвимостей. Именно регулярность позволит сформировать более объективную картину, так как при любом последующем процессе новые данные могут определить уязвимость в тех компонентах, в которых ранее она не была обнаружена.
Защита реестра контейнеровРеестр контейнеров позволяет осуществлять управление образами контейнеров, а значит его защита является приоритетной целью. Именно через уязвимости в реестре можно атаковать само приложение. Для того, чтобы избежать нежелательных результатов, необходимо:
обезопасить сервер, на котором размещается ресстр;
проводить регулярный мониторинг узявимостей и активностей;
использовать безопасные доступы.
Среда выполнения контейнеров также может быть объектом атаки. Особенность технологии не позволяет проводить анализ содержимого контейнера традиционными средствами защиты. Для того, чтобы обезопасить среду, необходимо зафиксировать нормальное состояние контейнерной среды, чтобы иметь возможность сопоставлять в дальнейшем эти данные с текущим состоянием. Так удастся определить отклонения от нормы, которые могут являться фактором, определяющим наличие атаки.
Защита оркестратораВ рамках действий по защите оркестратора необходимо контролировать привилегированные доступы. Рекомендуется использовать доступы с наименьшими привилегиями, отмечая действия Kubernetes и Docker в белом списке. Ограничив действия для каждой роли, можно увеличить безопасность. Также важно контролировать процесс коммуникации между группами контейнеров.
Защита хостовой операционной системыВзлом вычислительной среды хоста может предоставить злоумышленникам доступ к полному объему технических данных. Для организации полной безопасности требуется сканировать на предмет уязвимостей ОС хоста, управлять доступами, а также следить за целостностью критически важных для безопасности элементов.
Рекомендуется использовать специализированные ОС, предназначенные для контейнеров. Например, Kaspersky Container Security и PT Container Security.
Требования регуляторов по защите средств контейнеризацииТребования к защите средств контейнеризации отражены в ФСТЭК России от 04.07.2022 №118.
Требования разграничиваются на шесть классов защиты. Первый класс является наивысшим, остальные – по принципу уменьшения.
Класс защиты отражает уровень доверия, определяемый как основа дифференциации средств защиты информации ( ФСТЭК России от 21.09.2016 №131).
Хостовая ОС, в которой функционируют средства контейниризации, тоже сертифицируются на основе требований, отраженных в и
Остальные требования относятся непосредственно к средствам контейнеризации и отражаются в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации».
Далее в статье мы разберем несколько российских решений для защиты сред контейниризации. На примере ОС Astra Linux Special Edition рассмотрим соответствие технической реализации Приказу ФСТЭК России №118.
Российский рынок продуктов для защиты сред контейнеризацииAstra Linux Special Edition
Продукт является операционной системой, имеющей сертификаты ФСТЭК России и, в том числе, соответствует требованиям к средствам контейнеризации первого класса защиты.
Рассмотрим соответствие каждого из пунктов требований с конкретной функцией продукта.
Изоляция контейнеровДанное требование реализовано посредством LXC, представляющей собой систему изоляции контейнера на уровне ОС на одном узле и являющейся средством контейнеризации. Механизм ядра Linux SecComp изолирует доступ контейнера к системному вызову ядра ОС.
Таким образом, использование технологии LXC позволяет выполнить требование по изоляции контейнеров для классов защиты с 6-го по 4-й.
Выявление уязвимостей в образах контейнеровПродукт позволяет выявлять известные уязвимости в образе контейнера с использованием возможностей проекта с открытым исходным кодом «OpenSCAP» и инструмента в его составе «oscap‑docker». В дополнение к общемировым сведениям по угрозам, анализируются сведения из банка данных угроз безопасности ФСТЭК России. Сканирование образов контейнеров на предмет уязвимостей рекомендуется осуществлять в автоматическом режиме еженедельно, но для критических ресурсов желательно данный интервал сократить..
Использование данных механизмов в составе продукта позволяет выполнить требования ФСТЭК России для классов защиты с 6-го по 4-й касаемо выявления уязвимостей.
Проверка корректности конфигурации контейнеровВ операционной системе Astra Linux Special Edition обеспечение корректности и ограничение прав прикладного ПО внутри контейнера реализуется средствами таких механизмов как Docker и Podman. Эти инструменты позволяют создавать, запускать и администрировать контейнеры, управлять их образами, а также поддерживает поды, с которыми можно взаимодействовать аналогично тому, как это реализовано в Kubernetes. .
Таким образом, использование в своем составе указанных механизмов, закрывает вышеупомянутое требование для классов защиты с 6-го по 4-й.
Контроль целостности контейнеров и их образовФункционал КЦ реализовывается посредством применеия утилиты AFICK. При помощи различных механизмов автозапуска можно выполнять автоматическую проверку образов как сразу после загрузки ОС, так и непосредственно по расписанию, создав задачу в системном планировщике заданий “cron”..
Реализация данного функционала позволяет выполнить требования ФСТЭК России для классов защиты с 6-го по 4-й.
Регистрация событий безопасностиФункционал реализован с использованием штатных механизмов регистрации операционной системы Astra Linux Special Edition, которые обеспечивают попадание в журнал несанкционированных событий; управление регистрацией событий; сбор, запись и хранение информации о событиях с помощью журнала безопасности.
Регистрация событий в контейнерах реализуется с помощью средств Docker и Podman, что позволяет выполнить соответствующие требования ФСТЭК России для классов защиты с 6-го по 4-й.
Исходя из быстрого поверхностного анализа, можно сделать заключение, что рассматриваемая нами в качестве примера операционная система Astra Linux соответствует требованиям Приказа ФСТЭК России № 118.
ОС имеет регистрационный номер №2557 в Реестре СЗИ ФСТЭК России и №369 в Реестре отечественного программного обеспечения.
Kaspersky Container SecurityНе является сертифицированным средством
Одна из крупнейших компаний в сфере информационной безопасности в России и Мире «Лаборатория Касперского» также разработала свой продукт по защите контейнеров «Kaspersky Container Security». Он ориентирован на защиту контейнерных сред от различных угроз и существующих уязвимостей. Решение отвечает всем нормативным требованиям РФ, что делает его отличным выбором для отечественных компаний.
Система позволяет:
Обеспечить наглядность инфраструктуры контейнера, его угроз.
Осуществлять контроль рисков и давать им оценку на этапах развертывания, разработки и тестирования. То есть позволяет устранить угрозы и уязвимости продукта еще до выхода его в релиз.
Осуществлять контроль безопасности конфигурации. Так, продукт “подсвечивает” устаревшие компоненты, отличающиеся наибольшей уязвимостью.
Осуществлять защиту приложения внутри контейнера.
Обеспечить соответствие требованиям регуляторов.
Основные возможности версии Kaspersky Container Security 1.0
OAS и ODS сканирование образов контейнеров
Проведение проверки образов на уязвимости, вредоносные элементы и секреты
Возможность интеграции с образами контейнеров и платформами оркестрации
Интеграция с CI/CD платформами и проверка образов на этапе разработки
Сканирование и оценка рисков для образов
Функционал принятия рисков для образов
Визуализация в интерфейсе продукта информации об образах, элементах контйнеров и их взаимосвязи, обнаруженных проблемах, а также о вытекающих рисках
Возможность интеграции с внешними системами безопасности и уведомлений
Проведение анализа среды исполнения на предмет ошибок в конфигурации и проверка на соответствие стандартам
Сканирование образов в кластере
Контроль запуска доверенных контейнеров
Главными преимуществами продукта является:
Защита от угроз не только в настоящем времени, но и комплекс профилактических мероприятий в виде сканирования.
Интеграция с процессами CI/CD, с помощью чего удается снизить влияние на процесс и повысить безопасность разработки.
Соответствие требованиям к безопасности информации РФ.
Подробный анализ и отчетность по текущему состоянию относительно безопасности и возможных уязвимостей.
Таким образом, продукт KCS подходит для компаний, представляющих собой или включающих в себя объекты критической инфраструктуры. Это могут быть финансовые организации, государственные структуры, транспортные и медицинские организации и многие другие.
KCS зарегистрирован под номером №16222 в Реестре отечественного программного обеспечения.
PT Container SecurityНе является сертифицированным средством
Одна из самых крупнейших и самых дорогих компаний Рунета (по версии Forbes) Positive Technologies также представила свой продукт по защите контейнерных сред под названием «PT Container Security». По заявлению авторов продукт задуман как эффективное средство автоматизации по управлению уязвимостей конфигурации контейнеров, а также ошибками, возникающими внутри них.
Основным отличием данного продукта является то, что в нем применяется технология представления программного кода WebAssembly, что обеспечивает более быстрый запуск приложений. Также данный подход позволяет запускать тесты, шлюзы и проверки в инструменты и процессы DevOps без лишних затрат на внесение изменений в код.
Основные преимущества PT Container Security:Собственная база уязвимостей. Компания-разработчик регулярно вносит обновления, что обеспечивает актуальность баз на текущий момент.
Собственная экспертиза. Полностью соответствует мировым и отечественных требованиям к безопасности информации.
Управление рисками. Используется единый подход, а также инструменты CSPM постоянно выполняют проверку, что позволяет своевременно выявить все риски.
Security as code. Использование технологии WebAssembly, о которой говорилось ранее.
Обеспечение безопасности гибридного облака.
Собственные источники данных от компании-разработчика, которые содержат информацию о репутации IP-адресов, а также данные об индикаторах угроз.
Таким образом, данное решение также подходит для финансовых организаций, государственных структур, объектов КИИ и других организаций.
Продукт зарегистрирвоан под номером №17884 в Реестре отечественного программного обеспечения.
Альт 8 СППредставляет собой сертифицированную Российскую ОС для серверов и рабочих станций с необходимыми средствами защиты четвертого класса. Важной особенностью дистрибутива является совместимость с Российскими ПО, а также поддержка Docker и Kubernetes. Немаловажным является фактор безопасности посредствам интеграции с SELinux и изоляции через namespaces, cgroups и наличие сертификации ФСТЭК.
Основные преимущества:Продукт соответствует требованиям относительно импортозамещения: внесен в реест Минцифры (№ 4305), что делает его актуальным у государственных организаций и компаний, к которым предъявляются требования по соблюдению регуляторных норм; совместим с Российскими ПО и облычными платформами; сертифицирован ФСТЭК России.
Повышенная безопасность: может интегрироваться с SELinux и AppArmor с изоляцией контейнеров через namespace и cggroups; поддерживает цифровые подписи, а также проверяет образы
Возможность управления ОС через веб-интерфейс Alterator
Постоянная поддержка разработчиком, регулярные обновления продукта
Продукт значится под номером №3866 в Реестре сертифицированных средств защиты информации и №4305 в Реестре отечественного программного обеспечения.
Виртуализация в ОС «Альт СП»
Операционная система «РЕД ОС»Является Российским дистрибутивом Linux, разработанным компанией «Ред Софт» для серверов и рабочих подстанций. Предоставляет возможности управления контейнерами с помощью Docker Kubernetes, имеет инструменты оркестрации, а также соответствует стандарту OCI, позволяет интегрироваться с SELinux и AppArmor с изоляцией контейнеров через namespace и cggroups и поддерживает цифровые подписи, что подтверждает безопасность продукта; совместима с Отечественными ПО и соответствует требованиям ФСТЭК.
Основные преимущества:Входит в реестр Минцифры (№3751), подходит для компаний, к которым выставляется требование по использованию Российского ПО
Отличается повышенной защитой информации, включая в себе инструменты по контролю доступа, аудита на предмет безопасности, а также аппаратное шифрование
Совместим с Prometheus и Grafana с целью мониторинга
Регулярные обновления безопасности.
Продукт зарегистрирвован под номером №4060 в Реестре сертифицированных средств защиты информации и №3751 в Реестре отечественного программного обеспечения.
Программное обеспечение «Система серверной виртуализации «Р-Виртуализация»Представляет собой систему серверной визуализации от компании «Росплатформа» (ООО «Р-Платформа»). Продукт ориентирован на создание вируальных инфраструктур и управление ими, позволяя рационально использовать ресурсы серверов. Включает в себя возможность контейнерной виртуализации, позволяющей обеспечивать более плотное размещение нагрузок.
Представляет собой Российское ПО для серверных виртуализаций и распределенного хранения данных без использования отдельных ОС.
Основные преимущества:Входит в реестр Отечественного ПО, соответствует требованиям по импортозамещению
Подходит для различных организаций (малый бизнес, государственные структуры)
С помощью консолидации серверов позволяет снизить затраты на оборудование и потребление энергии
Соответствует требованиям ФСТЭК России и ФСБ
Продукт имеет регистрационный нмоер №4853 в Реестре сертифицированных средств защиты информации и №3348 в Реестре отечественного программного обеспечения.
Программное обеспечение «Deckhouse Platform Certified Security Edition»Является мощным решением, ориентированным на управление Kubernetes-класстерами и включающим в себя все необходимые инструменты для оркестрации. Особое внимание уделено безопасности и требованиям ФСТЭК России и ФСБ. Разработчиком продукта является компания Flant.
Основные преимущества:Совместим с продуктами от Deckhouse, что позвляет расширить инструментарии под задачу
Упрощенные процессы управления класстерами, автоматизация процессов обновления, мониторинга и резервного копирования
Включает в себя инструменты обеспечения безопасности в соответствии с требованиями ФСТЭК и ФСБ, поддерживает изоляцию среды, а также шифрование информации
Имеет совместимость с Отечественными ПО и процессорами
Доступен для работы в гибридных и мультиоблачных средах
Продукт имеет регистрационный нмоер №4860 в Реестре сертифицированных средств защиты информации и №12338 в Реестре отечественного программного обеспечения.
Система управления контейнерами «Platform V DropApp»Отечественная платформа, предназначенная для управления контейнерами. Разработка от АО «СберТЕХ». Упрощает процессы развертывания и управления контейнеров приложений. Является частью разработанной под себя АО “СберТЕХ” операционной системы «Platform V SberLinux OS Server» (№4884 в Реестре сертифицированных средств защиты информации).
Основные преимущества:Соответствует Российским стандартам
Осуществляет возможность создания отказоустойчивой инфраструктуры на базе Отечественного ПО
Позволяет осуществлять миграцию с зарубежных систем
Позволяет эффективно потреблять ресурсы посредствам масштабирования приложений
Экономит ресурсы, направленные на инфраструктуру посредствам рационального использования ресурсов и управления класстером через IaC
Продукт имеет регистрационный нмоер №4883 в Реестре сертифицированных средств защиты информации и №18621 в Реестре отечественного программного обеспечения.
ЗаключениеТаким образом, контейнеризация является весьма эффективной технологией разработки. Она имеет ряд преимуществ, позволяющих оптимизировать процесс самой разработки программного продукта и его внедрение. К вопросу обеспечения безопасности средств контейнеризации необходимо подходить комплексно. Из-за специфики самого метода обеспечения контейнеризации стандартные подходы к безопасности малоэффективны, поэтому требуется уделить внимание каждому элементу системы и проработать эффективную защиту для каждого из них.
В данной статье мы рассмотрели нормативную базу касательно применения средств контейнеризации и их защиты, а также привели основные требования с небольшим разборов на живом общеизвестном примере.
Важно отметить, что с уходом иностранных вендоров из нашей страны российский рынок смог адаптироваться и предложить ряд отечественных разработок, реализовывающих необходимый функционал зарубежных продуктов и при этом обеспечивающих безопасность средств контейнеризации. Не смотря на то, что отечественный продукт довольно молодой, нельзя не отметить, что он имеет хорошие перспективы, тем более над разработкой средств защиты контейнеризации занимаются крупнейшие российские компании с многолетним опытом в сфере ИБ.
Из этого следует, что несмотря на сложность подходов к безопасности средств контейнеризации и уход иностранных компаний, Отечественный рынок ИБ успешно функционирует и предлагает высокотехнологичные разработки, отвечающие с
