BIS Journal №3(38)/2020

20 августа, 2020

Нашествие маленьких контейнеров

Информационная безопасность сталкивается с новым классом вызовов.

За последние 3-4 года «частные облака» полноценно пришли в технологические ландшафты организаций. Вместо «тяжёлых» гипервизоров и систем оркестрации их виртуализации реальностью стала волна «контейнеров» – сотен, тысяч и десятков тысяч небольших и «лёгких» виртуализированных машин.

Контейнеры работают по принципу «ничего лишнего» и используют специализированные операционные системы (например, облегчённую версию Linux – Core OS), а их жизненный цикл составляет часы-дни. Традиционные меры ИБ к ним применимы плохо. Например, антивирус внутрь контейнера поместить невозможно.

«Контейнерное цунами» по времени совпало с цифровой трансформацией, когда свеженанятые команды разработки стали приносить инструменты с собой и оповещать о них безопасников постфактум.

В итоге в сетях организаций вместо мощных континентов (мэйнфреймов) и крупных островов (виртуальных машин) появляются десятки тысяч «островков», которые постоянно появляются и исчезают и на которых обрабатываются чувствительные данные частями бизнес-приложений. Если нет дружбы безопасности с разработчиками, то безопасность и не знает, когда контейнеры появляются, и организация снова откатывается в каменный век безопасности, когда непонятно, что происходит в соседней подсети.

Как результат, безопасность сталкивается с целым рядом вопросов (вызовов). Только справившись с ними, можно будет спать спокойно и быть уверенными, что волна «контейнеризации» разработки, тестирования и эксплуатации приложений управляема с точки зрения безопасности. Рассмотрим ключевые десять вызовов.

Вызов №1

Знать, ЧТО защищаешь (CIS Controls 1, 2) – необходимо научиться находить контейнеры и системы оркестрации контейнеризации для понимания, что происходит в сети – всего множества объектов защиты.

Вызов №2

Знать, КТО УПРАВЛЯЕТ – все обнаруженные системы контейнеризации (обычно Docker) должны находиться под контролем систем оркестрации (Kubernetes, OpenShift). Отдельные инсталляции контейнеров на рабочих местах относятся к инструментам администрирования, а также к инструментам доставки хакерских утилит с GitHub внутрь сети организации. Поэтому в соответствии с классическими политиками безопасности они удаляются или заносятся в чёткий и прозрачный реестр исключений.

Вызов №3

Знать, КТО ОТВЕЧАЕТ (владелец) – все системы оркестрации должны иметь своего технического владельца (сотрудника), который предоставит бизнес-цель запуска такой системы и доступ для системы сканирования и контроля защищённости. Естественно, цели вроде «хотел помайнить криптовалюту» или «обучаюсь, но без согласования с руководством» недопустимы для большинства индустрий (но могут быть допустимы, например, в ИТ-компаниях).

Вызов №4.

Знать, ГДЕ МЫ УЯЗВИМЫ (CIS Controls 3, 4 и 5) – знать, где у службы ИБ есть логический доступ к системам оркестрации, где какие уязвимости найдены, как быстро их приоритизировать и поставлять эту информацию в смежные процессы (Patch Management, Change Management) для закрытия уязвимостей или принятия рисков. В том числе важны функции сортировки, тегирования, фильтрации и группировки уязвимостей, а также формирование отчётов по уязвимостями в рамках ответственности конкретных сотрудников – технических владельцев систем оркестрации. Важна и возможность принятия тех или иных рисков техническими владельцами. Однако принятие риска должно быть разумным. Если система нуждается в чувствительной информации (клиентские данные, банковская тайна), то полномочий владельца ресурса может не хватить.

Вызов №5 (CIS Control 6) 

Знать, ЧТО ПРОИСХОДИТ – собирать события с систем оркестрации и анализировать активность контейнеров, а также сохранять события: а) независимо от администраторов систем контейнеризации, б) для возможных будущих расследований службы ИБ.

Вызов №6

Понимать УРОВЕНЬ РАЗВИТИЯ – понимать степень соответствия безопасности конкретной системы оркестрации (со всеми контейнерами внутри) разумным CIS-бенчмаркам и планово внедрять механизмы безопасности – политики конфигурации.

Вызов №7

ОБЩЕНИЕ С БИЗНЕСОМ – навскидку в 70 процентах организаций безопасность оценивают только после нахождения проблем, а значит, надо анализировать в первую очередь запущенные контейнеры. Автор намеренно не осветил проблемы, связанные с registry, continuous integration и др., так как коммуницировать бизнесу и разработчикам эффективно в первую очередь по фактам проблем в уже запущенных контейнерах – там реальные (а не возможные) уязвимости, сгруппированные и приоритизированные по конкретным ответственным. Кстати, при верной постановке работы такой ответственный может стать Security Champion – союзником подразделения безопасности в обеспечении безопасности контейнеризации.

Вызов №8

АВТОМАТИЗАЦИЯ – волатильность и многочисленность контейнеров потребуют внедрения тех или иных автоматических систем контроля и выявления контейнеров.

Вызов №9

НЕЗАВИСИМОСТЬ – для расследования активностей администраторов систем оркестрации нужно собирать информацию о контейнерах и системе оркестрации в независимую систему контроля.

Вызов №10

Нехватка ЭКСПЕРТНОСТИ ПО КОНТЕЙНЕРИЗАЦИИ – специалисты по системам контейнеризации с 2018 года стали востребованы на рынке талантов с зарплатами исполнителей до 6-7 тысяч долларов (американские центры разработки в Санкт-Петербурге). Нужно обучать существующих специалистов, а также использовать OpenSource или коммерческие решения с базой уязвимостей и ошибок конфигурации.

В очередной раз информационная безопасность сталкивается с новым классом вызовов. И соответственно, у неё появляется ещё одна возможность стать ценной и интегрироваться в бизнес-функции.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных