Пять ключевых тенденций, которые повлияют на безопасность контейнеров

Фэй Хуан, генеральный директор компании NeuVector, разработчика платформы безопасности контейнеров, обсуждает на портале Week пять ключевых тенденций, которые уже начали или начнут в ближайшем будущем влиять на обеспечение безопасности контейнеров.

Согласно отраслевому отчету Portworx, в прошлом году количество компаний, которые применяют контейнерные технологии в производственных средах, удвоилось. Эксперты связывают эту тенденцию с укреплением позиций основных платформ для оркестровки контейнеров. Отдавая предпочтение Kubernetes в качестве такой платформы, предприятия заложили основу для ее доминирования, но это также подтолкнуло отрасль к повышению уровня стандартизации контейнерных технологий. Последнее привело к упрощению решений верхнего уровня, таких как хранение и безопасность, и уменьшению проблем с lock-in (привязкой к поставщикам), которые служили серьезными препятствиями для внедрения контейнеров. Эти этапы становления молодой технологии хорошо знакомы бизнесу.

Как отмечают аналитики Portworx, технология оркестровки контейнеров подстегнула миграцию организаций в облако и придала динамику для развертывания контейнеров в мультиоблаке и гибридных облачных средах. Являясь одним из первых поставщиков средств защиты контейнеров, компания NeuVector воочию убедилась в растущей потребности в защите контейнеров на протяжении всего их жизненного цикла. Ниже представлены пять ключевых тенденций в этой сфере.

1. Атаки на контейнерную инфраструктуру набирают обороты

Наряду с ростом числа контейнерных развертываний выросло и число атак, поскольку хакерам удалось обнаружить в Kubernetes критические уязвимости. В результате этого в новостные заголовки просачивается информация о «достижениях» злоумышленников. Так, в одном из случаев им удалось перехватить доступ к уже развернутым контейнерам Kubernetes с целью внедрения в публичное облако майнеров криптовалют Tesla, в другом — в публичном репозитории Docker Hub были найдены вредоносные контейнеры. Попасть под прицел хакеров — это обратная сторона популярности. Их атаки становятся все более распространенными и сложными, что свидетельствует о том, что предприятиям и DevOps-командам нужно уделять безопасности контейнеров намного больше внимания, чем сейчас уделяется.

2. Стратегия безопасности «политика как код» становится реальностью

Такие инструменты, как Kubernetes ConfigMaps и Custom Resource Definitions (CRD), позволяют автоматизировать доставку продуктов, установку конфигураций и настройку правил безопасности в конвейере CI/CD (continuous integration/delivery) и DevOps. Эти инструменты позволяют DevOps-командам анализировать поведение приложений и назначать политики безопасности для всех новых развертываний рабочих нагрузок в виде стандартных YAML-файлов, автоматизируя процедуру интеграции процессов безопасности и делая ее более эффективной. Команды безопасности также могут применять эти инструменты для установки в среду общих политик безопасности, что позволит им модернизировать свои методы безопасности, превратив их из онпремисных в облачные.

3. Security-mesh-within-service-mesh — новая стратегия защиты контейнерных сред

В последнее время все больше предприятий в качестве способа защиты приложений от потенциальных атак начали добавлять дополнительный слой безопасности security mesh поверх service mesh (выделенный слой инфраструктуры для обеспечения безопасного, быстрого и надёжного взаимодействия между сервисами). Хакеры демонстрируют беспрецедентную изощренность в попытках проникнуть в решения по оркестровке контейнеров, обходя традиционные методы обеспечения безопасности сети и хоста, что вызывает потребность в адекватных и столь же сложных мерах защиты. Нужно понимать, что для отражения атак на контейнеры необходимы мгновенно реагирующие автоматические системы класса security intelligence.

4. Безопасность контейнеров: тестирование на протяжении всего жизненного цикла

Предприятия начали осознавать риски, которое несет внедрение мер безопасности для контейнеров на поздних этапах разработки приложений, и выбирают стратегию привлечения тестировщиков на ранних стадиях («Shift Left»), которая помогает обнаруживать уязвимости к атакам нулевого дня, неизвестные уязвимости и даже инсайдерские атаки. Поскольку предприятия все чаще используют контейнеры в производственных средах, необходимо применять и стратегию позднего тестирования («Shift Right»), чтобы обеспечить защиту контейнеров и платформ для их оркестровки на протяжении всего жизненного цикла сборки-запуска.

5. Контейнеры облегчают (и стимулируют) переход в Облако 2.0

Наличие таких технологий, как контейнеризация, бессерверные вычисления, вышеупомянутые service mesh/security mesh, гипермасштабирование и межкластерное управление, говорит о том, что облачным инфраструктурам предприятий не стоит всецело полагаться на виртуальные машины — ими должны двигать сервисы и данные. Предприятия, которые занимаются переходом в так называемое Облако 2.0, извлекают выгоду от внедрения облачных функций, начиная с нативной облачной безопасности и заканчивая сетями, хранилищами и др., потому что они более динамично (и гораздо более быстро) удовлетворяют ключевые потребности бизнеса.