Об угрозах и трендах в контейнерной безопасности

Вслед за ростом масштабов микросервисной архитектуры и распространением контейнерных технологий безопасность оказалась в центре внимания

Вслед за ростом масштабов микросервисной архитектуры и распространением контейнерных технологий безопасность оказалась в центре внимания – но успевает ли она за скоростью развития технологий? Инциденты, связанные с контейнерами и Kubernetes, участились, а атаки на цепочки поставок становятся все более изощренными. Разберемся вместе с экспертами, какие угрозы реальны здесь и сейчас, какие подходы работают на практике и где остаются слепые зоны. Экспертом со стороны СберТеха выступил Максим Чудновский, лидер продукта Platform V Synapse Service Mesh

Технологии контейнерной безопасности активно развиваются, но почему на практике все еще 70–75% контейнерных образов содержат уязвимости высокого уровня? Что мешает реально "сдвинуть влево" процессы безопасности?

Shift Left Security требует целостной работы с инженерной и производственной культурой, а также тесной, бесшовной интеграции и автоматизации всех этапов производственного конвейера. Такой комплексный подход требует много времени, ресурсов и инвестиций. Также важно отметить, что уязвимостей много и в базовых репозиториях, откуда собираются образы. С одной стороны, уязвимости постоянно выявляются, а с другой — версии пакетов внешних зависимостей «поднимать» дорого, это всегда дополнительная разработка.

Как обеспечить реальную Zero Trust-модель между микросервисами без резкого роста сложности управления и задержек в сети? Где реальная грань между безопасностью и деградацией производительности?

Реальную грань определяет для себя каждая конкретная компания, исходя из рисков, возможностей и специфики бизнеса. При этом с точки зрения технологий хорошо помогает такой паттерн, как Service Mesh. Конкретные реализации этого решения могут иметь совершенно разные характеристики и требуют тщательного подбора. Важно отметить, что на рынке существуют  продукты, которые могут быть использованы в разных сценариях, например Platform V Synapse Service Mesh от СберТеха.

SBOM называют новым стандартом безопасности. Но насколько он действительно полезен в условиях тысяч зависимостей и частых обновлений? Реально ли проверять SBOM в продакшене, а не просто генерировать его ради галочки?

SBOM — это часть общего процесса управления уязвимостями, а если точнее — подпроцесса по инвентаризации активов. Полезность и актуальность SBOM — это все те же преимущества и проблемы, как у инвентаризации любых активов в целом. При этом с учетом объема SBOM важно применять автоматизацию для сбора и анализа везде, где это возможно, включая самые современные системы с использованием ИИ. Тогда работа с SBOM станет полезной практикой в вашем периметре безопасности. 

Может ли контейнерная безопасность обойтись без eBPF и глубокой runtime-аналитики в ближайшие годы, или это уже неотъемлемая реальность?

eBPF действительно один из самых эффективных на сегодняшний день подходов для сбора runtime-аналитики в UNIX-подобных окружениях. Однако эта механика не является единственной и в некоторых случаях может быть не так эффективна, например в высокоуровневом сетевом процессинге. Поэтому можно сказать, что наибольшая эффективность достигается комплексом технических средств, например, когда низкоуровневая аналитика поступает с уровня ядра через механизмы eBPF, а высокоуровневая собирается на уровне Service Mesh. 

Мультиоблачные и гибридные среды растут. Есть ли сегодня реальный способ централизованно управлять безопасностью в кластерах разных облаков без потерь в гибкости?

На помощь могут прийти единый стандарт API и централизованные средства управления кластерами через политики — Policy Engines. Например, можно взять отечественное решение KubeLatte с открытым исходным кодом. Вы определяете единый стандарт для платформенных и пользовательских конфигураций, фиксируете его в виде набора политик и согласуете со всеми заинтересованными сторонами, после чего загружаете во все кластеры. Это обеспечивает консистентное и стабильное состояние мультиоблачных средств.

Контейнеры живут минуты, а инцидент – секунды. Реальна ли эффективная форензика и ретроспективное расследование в таких условиях?

Ключевым в этом вопросе становится тот объем телеметрии, который мы собираем в процессе работы системы, — от eBPF-аналитики до метрик и журналов приложений. Современные системы Observability позволяют собирать данные в широчайших пределах, а методы автоматизированных исследований (в том числе с использованием ИИ) — находить интересующие корреляции в них. Также важны интеграция средств обеспечения контейнерной безопасности с EDR/XDR-системами и управление жизненным циклом контейнеров.

Если бы заказчику можно было вложить бюджет только в одно направление безопасности контейнеров в 2025 г., что бы вы рекомендовали: харденинг окружения, рантайм-защиту, контроль цепочки поставок, что-то еще? Почему?

Ничего. Безопасность — всегда комплексный процесс, и контейнеры не являются исключением. В данном случае я бы посоветовал двигаться комплексно, но итерационно, начиная от совсем базовых практик, средств и технологий, постепенно расширяя функционал и возможности за счет новых инвестиций и потребностей.

Полный текст круглого стола в журнале Information Security