Журнал "Information Security/ Информационная безопасность" #2, 2025

Рост использования контейнеризации в ИТ-продуктах и сервисах сложно опро- вергнуть, как и гипотезу о важности защиты такой инфраструктуры. Обычно для подтверждения этого при- ходится опираться на зарубежную стати- стику, которая, впрочем, не всегда соот- ветствуют отечественной специфике. Но недавно Positive Technologies совместно с "К2 Кибербезопасность" провела иссле- дование "Настоящее и будущее россий- ского рынка безопасной разработки и защиты контейнерных сред" 1 , чтобы получить достоверное представление именно о российских реалиях. Согласно исследованию, 65% опро- шенных уже активно используют кон- тейнеры для развертывания приложений, что даже выше оценки Red Hat в работе "The State of Kubernetes Security Report 2024 Edition". При этом более 80% опро- шенных пользуются контейнеризацией год и более, то есть уже достаточно давно. Почему выбирают контейнеры для доставки и запуска приложений? В первую очередь, из-за автоматиза- ции и шаблонизации инфраструктуры. Контейнеры позволяют ускорить выход продуктов на рынок и их доставку конеч- ным пользователям, а в публичных и гиб- ридных облаках – оптимизировать затра- ты с детализацией до конкретной биз- нес-функции. Все это делает такие реше- ния очень привлекательными для биз- неса, ИТ и разработки. Во-вторых, компании в погоне за при- былью часто прибегают к использованию новых технологий, защиту которых выстроить сложно или невозможно, и службе ИБ приходится принимать свя- занные с этим риски. А для технологии контейнеризации существует набор функций и сервисов, позволяющих выстроить харденинг инфраструктуры и привести ее в соответствие стандартам, а также обеспечить мониторинг и реаги- рование на угрозы в реальном времени. Риски и угрозы контейнеризации Многие опубликованные аналитиче- ские материалы зачастую сосредоточе- ны на угрозах, характерных исключи- тельно для контейнерной инфраструк- туры. В отличие от них, наше исследо- вание опирается на риски, знакомые и понятные широкой аудитории специа- листов по информационной безопасно- сти. Мы видим, что респондентов волнуют DDoS-атаки (24%), утечки данных (15%) и уязвимости 0-day (9%). Такое распре- деление подтверждается статистикой и публичными кейсами. Например, в 2018 г. хакеры атаковали Tesla, запу- стив майнеры через публично доступные панели управления Kubernetes. В 2024 г. в XZ Utils был обнаружен бэкдор. А совсем недавно была обнародована информация об утечках данных из популярных ИИ-сервисов DeepSeek и Nvidia. И действительно, если заглянуть в известный поисковик открытых систем, то можно увидеть много доступных для исследования инфраструктурных серви- сов на базе контейнеризации (конечно, учитывая некоторое количество honey- pot, размещенных намеренно): 26488 публично открытых адресов – не рекорд, но достаточно много. Однако мы выяснили, что лишь 8% опрошенных столкнулись с инцидентами, связанными с контейнерной безопас- ностью. И этому есть логичное объясне- ние. Согласно исследованию, лишь 35% опрошенных ранее использовали реше- ния для защиты контейнеров. И даже это не гарантирует, что респонденты включали мониторинг атак на контейне- ры в рантайме. Классические средства защиты и атаки на контейнеры Есть популярное на рынке мнение, что классические инструменты SOC не позволяют получить видимость контей- неров и обнаружить атаки. На самом деле это не совсем так, давайте разби- раться. По своей сути контейнеры являются изолированными процессами внутри операционной системы машины. Они видны для таких популярных инстру- ментов мониторинга, как auditd и osquery, но дьявол, как всегда, кроется в дета- лях. Сложность инфраструктуры Контейнеры – основной инструмент реализации микросервисной архитекту- ры: части (сервисы) одного приложения могут быть распределены в инфраструк- туре, а на одном узле в сети могут нахо- диться десятки контейнеров разных при- ложений. Планирование их размещения зависит от доступных ресурсов и логики, заложенной в рамках DevOps. А это зна- чит, что если раньше SOC и специалисты по Asset Management соотносили один сервис с узлом или фиксированной груп- пой узлов, то теперь контейнер может находиться (а может, и нет) на про- извольном узле из группы. Не стоит забывать, что контейнеризация вносит дополнительный уровень сложности – повышает риск атаки на инфраструктур- ные сервисы. Масштаб инфраструктуры Значительные изменения претерпел и масштаб инфраструктуры, в которой используется контейнеризация. Облако теперь – не просто арендованный сервер в чужом дата-центре, а целая платформа инфраструктурных сервисов для мони- торинга, развертывания контейнеров, управления ими, а также для связи кон- тейнеров с внутренней инфраструктурой. Это усложняет инвентаризацию и види- мость процессов, запущенных в контей- нерах. Вместе с тем возможность раз- вертывания средств защиты часто зави- сит от договоренностей с провайдером, что может значительно расширить серую зону инфраструктуры. 38 • СПЕЦПРОЕКТ Как мониторинг рантайма позволяет снижать риски при использовании контейнеров Михаил Бессараб, руководитель продукта PT Container Security в Positive Technologies Фото: Positive Technologies 1 https://research.cybersecurity.k2.tech/containersecurity