BIS Journal №3(38)/2020

20 августа, 2020

Нашествие маленьких контейнеров

Информационная безопасность сталкивается с новым классом вызовов.

За последние 3-4 года «частные облака» полноценно пришли в технологические ландшафты организаций. Вместо «тяжёлых» гипервизоров и систем оркестрации их виртуализации реальностью стала волна «контейнеров» – сотен, тысяч и десятков тысяч небольших и «лёгких» виртуализированных машин.

Контейнеры работают по принципу «ничего лишнего» и используют специализированные операционные системы (например, облегчённую версию Linux – Core OS), а их жизненный цикл составляет часы-дни. Традиционные меры ИБ к ним применимы плохо. Например, антивирус внутрь контейнера поместить невозможно.

«Контейнерное цунами» по времени совпало с цифровой трансформацией, когда свеженанятые команды разработки стали приносить инструменты с собой и оповещать о них безопасников постфактум.

В итоге в сетях организаций вместо мощных континентов (мэйнфреймов) и крупных островов (виртуальных машин) появляются десятки тысяч «островков», которые постоянно появляются и исчезают и на которых обрабатываются чувствительные данные частями бизнес-приложений. Если нет дружбы безопасности с разработчиками, то безопасность и не знает, когда контейнеры появляются, и организация снова откатывается в каменный век безопасности, когда непонятно, что происходит в соседней подсети.

Как результат, безопасность сталкивается с целым рядом вопросов (вызовов). Только справившись с ними, можно будет спать спокойно и быть уверенными, что волна «контейнеризации» разработки, тестирования и эксплуатации приложений управляема с точки зрения безопасности. Рассмотрим ключевые десять вызовов.

Вызов №1

Знать, ЧТО защищаешь (CIS Controls 1, 2) – необходимо научиться находить контейнеры и системы оркестрации контейнеризации для понимания, что происходит в сети – всего множества объектов защиты.

Вызов №2

Знать, КТО УПРАВЛЯЕТ – все обнаруженные системы контейнеризации (обычно Docker) должны находиться под контролем систем оркестрации (Kubernetes, OpenShift). Отдельные инсталляции контейнеров на рабочих местах относятся к инструментам администрирования, а также к инструментам доставки хакерских утилит с GitHub внутрь сети организации. Поэтому в соответствии с классическими политиками безопасности они удаляются или заносятся в чёткий и прозрачный реестр исключений.

Вызов №3

Знать, КТО ОТВЕЧАЕТ (владелец) – все системы оркестрации должны иметь своего технического владельца (сотрудника), который предоставит бизнес-цель запуска такой системы и доступ для системы сканирования и контроля защищённости. Естественно, цели вроде «хотел помайнить криптовалюту» или «обучаюсь, но без согласования с руководством» недопустимы для большинства индустрий (но могут быть допустимы, например, в ИТ-компаниях).

Вызов №4.

Знать, ГДЕ МЫ УЯЗВИМЫ (CIS Controls 3, 4 и 5) – знать, где у службы ИБ есть логический доступ к системам оркестрации, где какие уязвимости найдены, как быстро их приоритизировать и поставлять эту информацию в смежные процессы (Patch Management, Change Management) для закрытия уязвимостей или принятия рисков. В том числе важны функции сортировки, тегирования, фильтрации и группировки уязвимостей, а также формирование отчётов по уязвимостями в рамках ответственности конкретных сотрудников – технических владельцев систем оркестрации. Важна и возможность принятия тех или иных рисков техническими владельцами. Однако принятие риска должно быть разумным. Если система нуждается в чувствительной информации (клиентские данные, банковская тайна), то полномочий владельца ресурса может не хватить.

Вызов №5 (CIS Control 6) 

Знать, ЧТО ПРОИСХОДИТ – собирать события с систем оркестрации и анализировать активность контейнеров, а также сохранять события: а) независимо от администраторов систем контейнеризации, б) для возможных будущих расследований службы ИБ.

Вызов №6

Понимать УРОВЕНЬ РАЗВИТИЯ – понимать степень соответствия безопасности конкретной системы оркестрации (со всеми контейнерами внутри) разумным CIS-бенчмаркам и планово внедрять механизмы безопасности – политики конфигурации.

Вызов №7

ОБЩЕНИЕ С БИЗНЕСОМ – навскидку в 70 процентах организаций безопасность оценивают только после нахождения проблем, а значит, надо анализировать в первую очередь запущенные контейнеры. Автор намеренно не осветил проблемы, связанные с registry, continuous integration и др., так как коммуницировать бизнесу и разработчикам эффективно в первую очередь по фактам проблем в уже запущенных контейнерах – там реальные (а не возможные) уязвимости, сгруппированные и приоритизированные по конкретным ответственным. Кстати, при верной постановке работы такой ответственный может стать Security Champion – союзником подразделения безопасности в обеспечении безопасности контейнеризации.

Вызов №8

АВТОМАТИЗАЦИЯ – волатильность и многочисленность контейнеров потребуют внедрения тех или иных автоматических систем контроля и выявления контейнеров.

Вызов №9

НЕЗАВИСИМОСТЬ – для расследования активностей администраторов систем оркестрации нужно собирать информацию о контейнерах и системе оркестрации в независимую систему контроля.

Вызов №10

Нехватка ЭКСПЕРТНОСТИ ПО КОНТЕЙНЕРИЗАЦИИ – специалисты по системам контейнеризации с 2018 года стали востребованы на рынке талантов с зарплатами исполнителей до 6-7 тысяч долларов (американские центры разработки в Санкт-Петербурге). Нужно обучать существующих специалистов, а также использовать OpenSource или коммерческие решения с базой уязвимостей и ошибок конфигурации.

В очередной раз информационная безопасность сталкивается с новым классом вызовов. И соответственно, у неё появляется ещё одна возможность стать ценной и интегрироваться в бизнес-функции.

Смотрите также