Журнал "Information Security/ Информационная безопасность" #2, 2025

Такой трехуровневый контроль – ран- ний в части хранения образов и проверки реестра, дополнительный в CI/CD и обя- зательный в Kubernetes – позволяет эффективно предотвратить проникно- вение непроверенного кода в рабочую среду, даже если ранние этапы проверки были кем-то намеренно пропущены. У заказчиков, как правило, существует несколько типов рабочих сред: тестовые, девелоперские и продуктивные. Полно- ценная защита всех этих контуров тре- бует гибкого и тонкого подхода к настройке политик безопасности. В тестовых и девелоперских средах основная задача – не мешать процессу разработки и тестирования. Здесь без- опасность играет наблюдательную роль: система мониторит активность, фикси- рует уязвимости, но не препятствует запуску контейнеров. В продуктивной среде правила меняются: защита становится строгой и безапелляционной. Если в образе обнаружены серьезные уязвимости, его запуск может быть заблокирован авто- матически – недопустимо рисковать ста- бильностью и безопасностью бизнес- процессов. От мониторинга к управлению Поскольку полное устранение всех найденных уязвимостей требует бо' льших ресурсов, необходим механизм приори- тизации рисков. Обычная классификация по уровням критичности – от Low до Critical – зачастую оказывается недоста- точной. Поэтому в Kaspersky Container Security особое внимание уделяется под- свечиванию уязвимостей с существую- щими активными эксплойтами, чтобы заказчик мог быстро оценить реальную степень угрозы. Для того чтобы наладить гармоничное взаимодействие между командами информационной безопасности и раз- работки, предусмотрен механизм конт- ролируемого принятия рисков. Если в контейнерном образе найдена уязви- мость средней критичности, для которой существует эксплойт, но оперативное исправление невозможно – например, отсутствует патч или его внедрение сопряжено с высокими затратами – заказчик может принять решение о вре- менном допущении этого риска. В таком случае предусмотрен меха- низм, позволяющий конкретному сотруд- нику принять риск и установить срок, в течение которого контейнер будет считаться безопасным и допущенным к запуску. По истечении этого срока, если исправленный образ не появится, запуск автоматически блокируется. Стратегии реагирования на аномалии В Kaspersky Container Security пред- усмотрены два основных режима работы: l Аудит – режим мониторинга, в кото- ром система фиксирует нарушения поли- тик безопасности, но не препятствует выполнению процессов. l Enforce – режим активного реагиро- вания, в котором система не только фиксирует нарушение, но и блокирует нежелательную активность. Одной из важных особенностей является принцип минимального вме- шательства: если какой-либо процесс нарушает установленные правила в рам- ках контейнера, решение блокирует только сам процесс, не затрагивая рабо- ту контейнера целиком. Иными словами, приложение продолжает функциониро- вать без сбоев, не перезапускается и не испытывает нарушения доступности. Когда в контейнере фиксируются ано- малии, возникает риск, что блокировка вредоносной активности может оказаться недостаточно эффективной: злоумыш- ленник может успеть обойти защитные меры. В таких случаях логичным кажется радикальный подход – немедленное уни- чтожение контейнера целиком, чтобы полностью прекратить любую возможную вредоносную деятельность. Однако у этой стратегии есть серьез- ная обратная сторона. При удалении контейнера вместе с ним исчезают все следы проникновения: становится невоз- можно провести расследование, изучить цепочку событий и понять, каким обра- зом произошла атака. Именно поэтому Kaspersky Container Security не уничтожает контейнер, а бло- кирует вредоносные действия, сохраняя при этом сам контейнер для последую- щего анализа. Это осознанный компро- мисс между скоростью реагирования и необходимостью собирать доказатель- ства для расследования инцидента. Другой важный момент связан с тем, как именно осуществляется процесс бло- кировки. В некоторых архитектурах используется подход, при котором конт- роль над блокировками передается внеш- ним средствам: встроенным механизмам Kubernetes или расширенным модулям, таким как Kyverno или OPA Gatekeeper на уровне admission-контроллеров, а на уров- не хоста – системам вроде AppArmor. Но у такого похода есть существенный недостаток: ответственность за эффек- тивность и корректность блокировки фактически размывается. Если сторон- ний компонент допустит ошибку – непра- вильно заблокирует процесс или пропу- стит угрозу – определить виновного будет крайне сложно. Осознавая эти риски, команда разра- ботки приняла стратегическое решение: Kaspersky Container Security позволяет самостоятельно управлять блокировками без использования сторонних модулей (таких как Kyverno). Собственный движок системы высту- пает одновременно и как admission- контроллер, и как активный механизм реагирования. Все решения о разреше- нии или запрете действий принимаются внутри Kaspersky Container Security, без передачи контроля внешним средствам. Таким образом, заказчик контролиру- ет весь процесс – от формирования правил до их применения – и, соответ- ственно, его служба эксплуатации может качественно работать с любыми возни- кающими инцидентами, включая воз- можные ложные срабатывания. В случае возникновения вопросов или проблем, связанных с защитой, техническая под- держка "Лаборатории Касперского" пол- ностью берет на себя сопровождение процесса, исключая необходимость обращаться к обезличенному сообще- ству при использовании Open Source- компонентов. Стоит отметить, что часть политик безопасности поставляется сразу из коробки. Яркий выход на рынок Kaspersky Container Security – одна из по-настоящему ярких историй успеха. Старт продукта состоялся в середине 2023 г. С тех пор выпускается по два релиза в год, в которых совершенству- ется система и развивается ее функ- ционал. "Лаборатория Касперского" внима- тельно следит за международной ана- литикой, отслеживает тренды в области ИБ и ИТ по материалам крупнейших аналитических агентств, чтобы оста- ваться на острие мировых трендов. В сфере контейнеризации и Kubernetes разработчики четко уловили момент, когда технология вышла за пределы круга энтузиастов и стала массово при- меняться в продакшене. Kaspersky Con- tainer Security вышел на рынок в тот самый момент, когда заказчики были готовы не просто обсуждать защиту кон- тейнеров, а активно ее внедрять. Выход совпал с усилением политики импорто- замещения, что еще больше подстегнуло интерес рынка. Несмотря на молодость, решение уже продемонстрировало зрелость и вос- требованность, быстро заняв свою нишу как на российском, так и на междуна- родном рынках. С момента запуска полу- чено более сорока заявок на демонст- рацию и пилотные проекты от ведущих Enterprise-заказчиков. К 2025 г. Kaspersky Container Security используется в ряде крупных банков, телеком-компаниях, ретейле и промышленных предприятий. Причем решение востребовано не только в России: сегодня есть реализованные внедрения за рубежом, что подтвер- ждает его универсальность и высокую конкурентоспособность. О реальных историях успешного внедрения Kasper- sky Container Security можно узнать на сайте решения 6 . l • 37 Защита контейнерных сред www.itsec.ru На правах рекламы 6 https://www.kaspersky.ru/enterprise-security/container-security