Журнал "Information Security/ Информационная безопасность" #2, 2026

Docker и Containerd управляют созда- нием, запуском, остановкой и удалением контейнеров, а также обеспечивают изо- ляцию процессов и управление их жиз- ненным циклом на хост-системе. Выявление уязвимостей в образах контейнеров В состав РЕД ОС 8 Сертифицированной редакции входит сканер безопасности Trivy. Trivy – это мощный инструмент, который за несколько секунд находит известные уязвимости в Docker-образах, конфигурационных файлах и репозито- риях кода. Trivy адаптирован для выпол- нения требований ФСТЭК России в части выявления уязвимостей в образах кон- тейнеров. Сканер обнаруживает уязви- мости, ошибки конфигураций, открытые конфиденциальные данные, файлы лицен- зий в различных программных компонен- тах. Trivy обеспечивает сканирование Docker-образов до их загрузки или раз- вертывания, позволяет обнаружить уязви- мости, вредоносный код, утечки секретов и другие проблемы на ранних этапах раз- работки. Сканирование компонентов в РЕД ОС производится по следующим базам уязвимостей: Trivy, бюллетени без- опасности РЕД ОС и БДУ ФСТЭК России. Таким образом выполняется требова- ния приказа ФСТЭК России № 118 о том, что средство контроля и анализа защищенности должно осуществлять выявление известных уязвимостей обра- зов контейнеров не реже одного раза в неделю и запрещать создание образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности. Вместо или вместе со сканером Trivy возможно использование стороннего сертифицированного сканера, в частно- сти RedCheck от АО "АЛТЭКС-СОФТ" (сертификат ФСТЭК России № 3172 от 23.06.2014). Проверка корректности конфигурации контейнеров В соответствии с приказом ФСТЭК России № 118, к проверке корректности конфигурации контейнеров в средстве контейнеризации предъявляются сле- дующие требования для 6, 5 и 4 классов защиты: l ограничение прав прикладного ПО внутри контейнера на использование периферийных устройств, устройств хра- нения данных и съемных машинных носителей информации; l ограничение прав на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода) хосто- вой операционной системы; l монтирование корневой файловой системы хостовой операционной систе- мы в режиме "только для чтения". В РЕД ОС выполнение этих требова- ний является нативным функционалом Docker и Kubernetes совместно с Con- tainerd. Контроль целостности контейнеров и их образов Согласно приказу ФСТЭК России № 118 средство контейнеризации долж- но контролировать самостоятельно или с применением средств контроля целост- ности хостовой операционной системы и иных сертифицированных средств защиты информации целостность обра- зов контейнеров и исполняемых файлов контейнеров. В Сертифицированной редакции РЕД ОС контроль целостности производится верификацией контрольных сумм с помощью утилиты Afick, входящей в состав операционной системы. Afick контролирует изменения в файловой системе и сразу сообщает о них поль- зователю, тем самым предоставляя возможность применения или отклоне- ния внесенных изменений. Данная информация может помочь в рассле- довании инцидента, когда необходимо определить, какие были произведены изменения в системе в результате взло- ма. В процессе установки Afick форми- рует базу данных файлов, каталогов и соответствующих им контрольных сумм. Системный планировщик заданий cron позволяет выполнять проверку целост- ности в процессе загрузки операцион- ной системы или по заданному распи- санию. В Сертифицированной редакции РЕД ОС регламентной мерой пользователь обязуется подписывать все файлы обра- зов с помощью цифровой подписи с использованием IMA (Integrity Measure- ment Architecture) – подсистемы ядра Linux. Так гарантируется фактическая невозможность подмены или изменения файлов злоумышленником. Средства контейнеризации доработаны таким образом, что при запуске образа кон- тейнера Docker и Containerd проверяют цифровую подпись, при нарушении целостности запуск образа контейнера прерывается. Регистрация событий безопасности в средстве контейнеризации События, связанные с жизненным циклом контейнеров, такие как создание, обновление или удаление, регистри- руются в системе средствами контейне- ризации. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью службы jour- nald. При этом в РЕД ОС записи логов инцидентов безопасности соответствуют требованиям разделов 5 и 6 ГОСТ Р 59548–2022 благодаря специальной доработке систем контейнеризации, в частности, в журналах фиксируется пользователь инициировавший событие, а также причина остановки контейнера. Обновления безопасности РЕД ОС Для РЕД ОС налажен процесс опе- ративного устранения уязвимостей в зависимости от их важности, чтобы обеспечивать бесперебойную безопас- ную работу системы нашим заказчи- кам. Обновления безопасности публикуют- ся в репозитории РЕД ОС на ежене- дельной основе. Данные об обновлениях публикуются на официальном сайте РЕД ОС для обеих поддерживаемых архи- тектур (x86_64 и ARM) в формате OVAL- файла отдельно для РЕД ОС 7.3 и РЕД ОС 8. Чтобы обеспечить защиту от угроз, пользователям РЕД ОС необходимо при- менять опубликованные обновления, управлять обновлениями безопасности возможно также через пакетный менед- жер DNF. Пакетный менеджер помогает оценить уровень угроз безопасности и выполнить полное или точечное обнов- ление системы для закрытия актуальных уязвимостей. Сертифицированный Kubernetes Kubernetes поставляется на диске РЕД ОС 8 с набором образов контейнеров k8s для развертывания кластера в закры- том контуре. Новые версии образов кон- тейнеров публикуются в реестре Dock- er-образов РЕД ОС еженедельно, полу- чая все необходимые обновления без- опасности. По сравнению с РЕД ОС 7.3, в РЕД ОС 8 был оптимизирован размер обра- зов контейнеров кластера k8s – объем уменьшился в два раза, что позволило уменьшить поверхность атаки и повы- сить безопасность контейнеров. Для Kubernetes в составе РЕД ОС 8 применяется политика сопровождения, предполагающая поддержку трех акту- альных версий. В РЕД ОС своевременно обновляются версии оркестратора, отставая всего на 1–2 патч-релиза от апстрима. Каждая новая выпускаемая версия Kubernetes проходит все необхо- димые проверки для соответствия тре- бованиям ФСТЭК России. Функции без- опасности при этом реализованы на уровне среды выполнения контейнеров – Containerd. От тренда к стандарту Cертифицированная редакция РЕД ОС не только позволяет формально соответствовать требованиям регулято- ров, но фактически решает вопросы безопасности контейнеризации. Не надо забывать при этом про то, что каждая организация должна самостоятельно реализовать комплекс мер по защите информации. Сертифицированная контейнеризация на объектах КИИ – это не просто тренд импортозамещения. Это вопрос выжи- ваемости критической инфраструктуры в условиях увеличения числа кибератак. Связка доверенной операционной систе- мы и доверенной платформы контейне- ризации становится стандартом без- опасности для современного цифрового предприятия. l • 41 ЗАЩИТА ИНФРАСТРУКТУРЫ НА БАЗЕ РОССИЙСКИХ ОС www.itsec.ru На правах рекламы