Журнал "Information Security/ Информационная безопасность" #2, 2026

Обеспечение информационной без- опасности контейнеризации принципи- ально отличается от защиты виртуаль- ных машин и традиционных серверов. Это связано с их архитектурой, высокой динамичностью среды и использованием общего ядра операционной системы. Безопасность контейнеров выстраи- вается на нескольких уровнях: l Образ контейнера должен быть собран из проверенных компонентов, не содер- жать уязвимостей, вредоносных про- грамм и секретов (паролей, токенов). l Реестр образов – хранилище, доступ к которому должен быть строго ограничен. Использование непроверенных публичных образов – частая причина проблем. l Оркестратор (например, Kubernetes) – программная платформа для автома- тического управления контейнерными приложениями. Его неправильная кон- фигурация (например, открытый доступ к API) создает огромные риски. l Среда выполнения (рантайм). Угрозы на этом этапе включают попытки побега из контейнера, DoS-атаки и запуск вре- доносных процессов. l Хостовая операционная система – ее ядро используется всеми контейнерами, поэтому ее защита и своевременное обновление критически важны. Меры, применяемые к защите контей- неров, учитывают эти особенности и регламентированы российским законо- дательством. Основные требования к контейнеризации в КИИ Приказ ФСТЭК России № 118 от 04.07.2022 "Об утверждении требований по безопасности информации к сред- ствам контейнеризации" 1 определяет функциональные возможности, обес- печивающие безопасность средств кон- тейнеризации в российском правовом поле и регламентирует технические тре- бования для разработчиков. Приказ уста- навливает шесть классов защиты для разграничения требований к безопасно- сти средств контейнеризации. Первый класс – уровень "бункер" с максимальной защитой данных, 6-й класс – самый низ- кий. Чем выше класс, тем больше тре- бований к изоляции, контролю и про- веркам. Вне зависимости от класса защиты, все средства контейнеризации должны содержать следующие функции: l изоляция контейнеров, l выявление уязвимостей в образах контейнеров, l проверка корректности конфигурации контейнеров, l контроль целостности контейнеров и их образов, l регистрация событий безопасности. В числе дополнительных мер защиты указаны функции по идентификации и аутентификации пользователей, а также централизованное управление образами. Важно, что средство контейнеризации должно работать в среде сертифициро- ванной операционной системы соответ- ствующего класса защиты и уровня доверия. Сертифицированная редакция РЕД ОС как фундамент доверенной среды Операционная система РЕД ОС 8 2 про- шла сертификационные испытания по требованиям ФСТЭК России и соответ- ствует требованиям к операционным системам общего назначения по про- филю защиты четвертого класса, 4-го уровню доверия, требованиям к сред- ствам виртуализации и контейнеризации 4-го класса защиты. РЕД ОС 8 Сертифицированной редак- ции может применяться в организациях с повышенными требованиями к инфор- мационной безопасности, в том числе на объектах критической информацион- ной инфраструктуры до I категории значимости включительно. Данная операционная система доступ- на в конфигурациях для серверов и рабо- чих станций. Реализована поддержка процессорных архитектур x86_64 и ARM, в том числе для отечественных процес- соров Baikal-M. Поддержка архитектуры ARM значи- тельно расширяет сценарии применения самой операционной системы, она может входить в состав промышленных реше- ний, например обеспечивать работу ком- понентов АСУ ТП. В составе Сертифицированной редак- ции РЕД ОС 8 используется актуальное ядро Linux версии 6.12. В РЕД ОС используются версии ядра с длительным сроком поддержки, а каждое обновление проходит цикл тестирования с привлече- нием технологических партнеров. Сертифицированная редакция РЕД ОС уже имеет необходимые компоненты для построения микросервисной архитекту- ры, средства виртуализации и оркестра- ции, а также отлаженный процесс выявления и устранения уязвимостей. Рассмотрим, как функции безопасно- сти средств контейнеризации реализо- ваны в Сертифицированной редакции РЕД ОС. Изоляция контейнеров Изоляция контейнеров в РЕД ОС реа- лизована с использованием механизмов namespaces и cgroups. Эти технологии позволяют создавать изолированные среды для контейнеров, ограничивая доступ процессов, файловых систем, сетевых соединений и вычислительных ресурсов между контейнерами и от хостовой операционной системы. 40 • СПЕЦПРОЕКТ Контейнеризация для КИИ под надзором cертифицированной РЕД ОС ельзя просто взять и поставить ванильный Kubernetes на объ- ектах КИИ и в ГИС. Безусловно, микросервисная архитекту- ра предлагает гибкость в построении ИТ-инфраструктур и механизмы отказоустойчивости, и это делает ее привлекатель- ным вариантом для организаций с повышенными требования- ми к безопасности и надежности. Однако нужно применять решение, соответствующее определенным требованиям. Н Денис Солоничкин, директор центра компетенций РЕД СОФТ Фото: РЕД СОФТ 1 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzh- deny-prikazom-fstek-rossii-ot-4-iyulya-2022-g-n-118 2 https://redos.red-soft.ru/