Positive Technologies, один из лидеров в области результативной кибербезопасности, представил новую версию продукта для защиты контейнерных сред PT Container Security — 0.8.
Главное в релизе — публичный API для управления продуктом, расширение параметров в правилах реагирования, автоматическая генерация сертификатов для межсервисного взаимодействия, а также бесперебойное детектирование угроз рантайма даже при возникновении ошибки.
В версии 0.8 PT Container Security реализована возможность управлять продуктом не только через веб-интерфейс, но и с помощью публичного API. Для этого пользователю с токеном доступа достаточно отправлять запросы к API по протоколу HTTPS через скрипт или утилиты. Теперь оператор SOC может обрабатывать события мониторинга рантайма связанными инструментами, в том числе с помощью системы класса SIEM. Обновление также позволило автоматизировать создание правил для защищаемых кластеров по всей инфраструктуре компании.
«Чтобы повысить удобство управления PT Container Security, мы реализовали широкий спектр параметров для каждого токена. Сотрудники службы ИБ могут задавать необходимый срок действия токена и список привилегий. Их можно максимально ограничить, например, предоставив пользователю только право на чтение событий истории, — рассказал Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies. — Обеспечить безопасность позволяет возможность администратора единовременно отзывать все токены».
В новой версии PT Container Security поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма. Чтобы реализовать обработку других запросов, обратитесь в техническую поддержку.
PT Container Security 0.8 получил новые параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. Были добавлены такие параметры, как поды, контейнеры, образы из указанных репозиториев, репозитории и ноды для событий рантайма. Обновленные правила позволяют учитывать специфику проверяемых ресурсов и точнее реагировать на инциденты, снижая нагрузку на систему.
Теперь проверка события рантайма в PT Container Security продолжается даже при возникновении ошибки на одном из детекторов в цепочке. Оператор SOC может дополнительно изучить возникшие ошибки и список детекторов, через которые не удалось завершить проверку. Непрерывность анализа экономит время специалиста по ИБ, освобождая его от необходимости вручную искать причину остановки и повторно запускать проверку всеми детекторами.
Работа с сертификатами для обеспечения TLS-соединения между компонентами реализована инструментами Helm. Сертификаты генерируются автоматически, что упрощает работу пользователя. По умолчанию они записываются в конфигурационный файл Helm-чарта values.yaml, однако, сотрудники службы ИБ могут создать отдельный файл для хранения сертификатов.
Новая функциональность PT Container Security станет доступна пользователям после обновления продукта до последней версии.
.png)