Контейнер звучит безопасно

Борьба за потребителя, сокращение time-to-market побуждает все больше компаний во всем мире использовать технологию контейнеризации, которая требует меньше ресурсов и легко масштабируется, но несет в себе определенные риски информационной безопасности (ИБ). На сегодняшний день большинство поставщиков ИБ-решений для контейнеризации ушли с рынка, на замену им выходят крупнейшие отечественные вендоры. 

Еще лет 10–15 назад для развертывания приложений бизнес активно использовал виртуализацию, позволяющую с одного сервера запускать сразу несколько виртуальных машин. Сейчас же все больше компаний используют технологию контейнеризации. «Контейнеризация – это некая “изоляция”, доступная благодаря возможностям Linux, когда один набор процессов видит свои ресурсы, другой – свои, они спокойно сосуществуют и не пересекаются», – поясняет руководитель направления DevSecOp центра ИБ «Инфосистемы Джет» Антон Гаврилов. Микросервисы, используемые компанией, упаковываются в контейнеры, приложение запускается непосредственно из контейнера. Технология контейнеризации имеет явные преимущества перед технологией виртуализации: процессы контейнеров используют ядро операционной системы, что позволяет запускать на одном физическом сервере намного больше виртуальных окружений, запуск контейнеров происходит намного быстрее. В отчете компании IBM к плюсам контейнеров отнесены также адаптивность к различным платформам и облакам, эффективность за счет меньшего количества ресурсов, гибкость в разработке, простое масштабирование, управление, безопасность за счет изолированности приложений друг от друга. Системы управления контейнерами называются оркестраторами, один из наиболее популярных из них – Kubernetes.

Согласно прогнозам Gartner (американская исследовательская и консалтинговая компания, специализирующаяся на рынках информационных технологий), к 2027 г. более 90% глобальных организаций будут использовать контейнерные приложения в производстве, по состоянию на 2021 г. их было порядка 40%. Согласно отчету компании «451 research», мировой рынок контейнерных технологий вырос за последние пять лет втрое и составляет порядка $5,5 млрд, при этом объем российского рынка – 1–1,5% от этой суммы, т. е. порядка 2 млрд руб., рассказывает руководитель направления защиты приложений Positive Technologies Иван Соломатин. 

В то же время развитие информационных технологий всегда влечет рост киберрисков, и контейнеры не стали исключением, так как имеют, как и любое ПО, свои уязвимости и недостатки безопасности. «Легко масштабируемые технологии контейнеризации получают целый ворох ИБ-рисков, – рассуждает Соломатин. – Например, может быть уязвим открытый исходный код в используемом ПО, отсутствие информации о сборке контейнера и нет ли в нем вредоносов и т. д.». 

В руководстве по защите сред контейнеризации Национального института стандартов и технологий США (NIST) описаны проблемы безопасности и способы защиты для каждого слоя стека контейнеров. Так, NIST рекомендует регулярно проводить сканирование образов на наличие уязвимостей или вредоносных программ (образ контейнера – это способ упаковки приложения или службы для надежного и воспроизводимого развертывания содержания контейнера. – Прим. ред). Кроме того, необходимо выявлять ошибки и уязвимости в реестрах контейнеров (обеспечивают централизованное управление хранением и доставкой образов контейнеров), поскольку именно они позволяют атаковать запущенное приложение. Выявление уязвимостей в средах контейнеров также необходимо, так как они уязвимы для атак и при этом традиционные средства защиты не могут проанализировать его содержимое, и в данном случае NIST рекомендует обращать внимание на аномальные отклонения. Как пояснил ведущий менеджер по продуктовому маркетингу «Лаборатории Касперского» Василий Сарычев, также есть риски, связанные с оркестраторами, в частности неправильный контроль доступов, отсутствие контроля за трафиком, ошибки конфигурации, отсутствие контроля за разворачиваемостью ресурса. 

Для обеспечения безопасности оркестрации эксперты рекомендуют использовать модели доступа с наименьшими привилегиями, а также контроль коммуникации между группами контейнеров. Контроль за безопасностью хостовой операционной системы – тоже важный момент. NIST также рекомендует использовать специализированную операционную систему для контейнеров; наиболее часто используют один из трех дистрибутивов Linux. 

Эксперты отметили, что крупные компании используют часто базовый, так называемый ванильный, Kubernetes, допиливая его под себя. Подстраивая платформу оркестрации под свои нужды, необходимо параллельно проработать и вопросы информбезопасности. «В Kubernetes многие возможности (в части ИБ) не реализованы “по умолчанию”, – отмечает Гаврилов. – Есть версия, что это сделано осознанно, чтобы ИБ не создавала им преград». Например, продолжил эксперт, это отсутствие сетевого сегментирования, необходимость проведения дополнительных манипуляций для настройки логирования, отсутствие ИБ-валидации конфигурационных файлов, которые создаются в кластере, и т. д.». Разработчики «готовых платформ» знают многие особенности технологии и их продукты содержат многое из того, что можно сделать при использовании «по умолчанию»», указал эксперт.

Например, более зрелые платформенные решения предлагают дополнительные средства защиты: механизм управления доступом, автоматическое управление SSL-сертификатами, шифрование внутреннего трафика кластеров, сканер уязвимостей, указали в компании «Флант».

До 2022 г. в России были широко распространены решения иностранных игроков, обеспечивающие надлежащий уровень киберзащищенности при использовании технологии контейнеризации. «Например, Aqua Security, Palo Alto, Sysdig, отечественные компании активно использовали софт, доверяя мировому имени и репутации, – рассказывает Соломатин. – Однако эти игроки ушли с рынка». «Ушло большинство западных игроков, оставив текущих российских пользователей контейнеров и разработчиков DevOps незащищенными», – указывает Сарычев.

И потому российские ИБ-компании начали активно развивать направление безопасности контейнеризации. «Защита контейнеризации – относительно молодой рынок на территории РФ, и, хотя западные вендоры его покинули, на нем есть и отечественные решения с большим функционалом, и с каждым годом их будет все больше», – указал Гаврилов. 

Российские крупные вендоры готовы вкладывать средства в развитие рынка, пример тому – «Лаборатория Касперского», которая в феврале 2023 г. объявила о приобретении 49%-ной доли в разработчике платформы для защиты контейнерных сред Ximi Pro, дочернем предприятии Ximi lab, которая разрабатывает решение Tron для обеспечения безопасности контейнерных приложений. По словам Сарычева, инвестиции в Ximi Pro позволят ускорить разработку решения по защите контейнерной инфраструктуры для российского рынка, которое будет сопоставимо по функционалу с продуктами западных компаний и при этом сертифицировано ФСТЭК. 

Таким образом, использующие технологию контейнеризации компании без защиты не останутся.