Контейнеры: что важно знать? - CyberED
Курсы
Для физических лиц Для бизнеса Для образовательных учреждений
Для физических лиц Для бизнеса Курсы для образовательных учреждений Мероприятия О нас
+7 495 181-00-79
заказать звонок
+7 495 181-00-79
заказать звонок
Назад

Контейнеры: что важно знать?

Перед предстоящим 26 октября вебинаром по теме защиты контейнеров от киберугроз мы решили подробно поговорить с нашим экспертом — Андреем Муллиным. 

Обсудили основные темы, которые будут подниматься на вебинаре, и собрали ответы в статье.  

Почему вы выбрали тему защиты контейнеров для вебинара?

Сейчас практически во всех IT проектах разработка ПО осуществляется с использованием технологий контейнеризации. 

Контейнеры — неотъемлемый инструмент разработки. Они упрощают процесс развертывания и масштабирования приложений. Чем популярнее контейнеры, тем более актуальны вопросы обеспечения безопасности. А практические навыки эксплуатации уязвимостей есть пока не у всех.

Расскажите подробнее про технологии контейнеризации. Чем они принципиально отличаются от традиционной виртуализации?

Если говорить в общем, контейнеры от ВМ отличаются уровнем абстрактности. Виртуальные машины абстрагируют физические серверы, и создают абстракцию на уровне программы/приложения. 

Контейнеризация — это методология разработки и развертывания программного обеспечения, которая объединяет все необходимые компоненты приложения в изолированную и независимую виртуальную среду.

Контейнер – это и есть самодостаточная и переносимая изолированная единица среды, включающая в себя приложение со всеми необходимыми зависимостями — кодом приложения, средой запуска, системными инструментами, библиотеками и настройками. Они позволяют разработчикам создавать единообразные среды разработки и тестирования, что существенно повышает эффективность и скорость разработки и развертывания. 

Сегодня это наиболее передовой способ использования вычислительных ресурсов для выполнения задач, так скажем.

Какое ПО применяется для создания и управления контейнеризированными приложениями? 

Самым популярным решением для создания и хранения образов контейнеров является Docker, оркестрация реализуется с помощью Kubernetes. Об этих системах мы и будем говорить на вебинаре.

Где чаще всего используют контейнеры?

Контейнеры широко применяются в самых разных областях, их используют на всех этапах жизненного цикла проектов: в процессе разработки и доставки ПО, тестирования и развертывания приложений на серверах и облачных платформах. 

Контейнеры используют для разработки онлайн-приложений, банковских сервисов, сайтов, интернет-магазинов, сервисов внутри социальных сетей и т.д.

Расскажите поподробнее о преимуществах контейнеров? 

Контейнеры экономичнее распределяют и расходуют вычислительные ресурсы, более производительны, имеют легкую и эффективную изоляцию, быстрее запускаются и проще масштабируются. 

Их легче перемещать и запускать на разных хост-системах, поскольку они включают только необходимые зависимости, библиотеки и конфигурацию, не используя полноценных копий операционной системы. Это отличает их от ВМ, каждая из которых требует создания образа, сохраняющего весь стек ОС. 

За счет своей изолированности контейнеры меньше подвержены сбоям в инфраструктуре, администратору проще их контролировать и управлять процессами в них. Это более гибкий, эффективный и простой в использовании инструмент, в сравнении с традиционными ВМ.

В сочетании с методологией непрерывной интеграции и развертывания CI/CD использование технологий контейнеризации позволяет полноценно реализовать в разработке приложений подход DevSecOps.

Каким угрозам чаще всего подвергаются контейнеры?

Контейнеры и их компоненты, как и любое ПО, подвержены основным типам киберугроз. К наиболее часто встречающимся можно отнести:

  • внедрение вредоносного ПО, ошибки в конфигурациях образов
  • использование устаревших образов контейнеров, содержащих уязвимости
  • отсутствие изоляции и контроля трафика между контейнерами
  • ошибки конфигурации оркестратора
  • уязвимости компонентов операционной системы
  • небезопасная конфигурация среды
  • некорректные права доступа пользователей

Вредоносные действия хакеров могут быть связаны с использованием общих уязвимостей в контейнерных образах, попытками отключения мониторинга, внедрения вредоносного кода, попытками украсть данные из контейнера. 

В чем особенности защиты контейнеров? С какими сложностями сталкиваются ИБ специалисты?

Защита контейнеров требует специфических подходов к обеспечению безопасности. 

Важно стремиться создать полноценную систему защиты уже на ранней стадии разработки проекта, интегрировав требования ИБ в процессы разработки на всех этапах жизненного цикла проекта, начиная с фазы исследования и заканчивая этапом полноценного развертывания и последующей эксплуатации.

Чем меньше уязвимостей в разработанном ПО, тем сильнее сокращается поверхность атаки при развертывании ПО в продуктовой среде. 

Назовете 3 основных?

Каждый этап разработки подразумевает отдельные мероприятия по защите компонентов контейнеров, в них скрывается много нюансов, которые не охватить в одной статье.

  1. Контейнеры – очень динамичная среда. Они могут создаваться, запускаться и останавливаться/удаляться за секунды. Также они могут переноситься и работать в разных средах. Их защита должна быть гибкой и динамичной, нужно уметь быстро реагировать на изменения состояния i. Также это создает сложности в мониторинге и согласованности мер защиты, в обеспечении постоянной видимости всей инфраструктуры.
  1. Контейнеры должны быть строго изолированы друг от друга и от хост-системы. При некорректной настройке злоумышленник может получить несанкционированный доступ к другим контейнерам или к системе.
  1. Контейнеры требуют регулярных обновлений с исправлением уязвимостей и установкой последних версий программного обеспечения, что является сложной задачей в силу их динамичности и масштабности.

Как эффективно защитить контейнеры от хакерских атак?

Нужна комплексная гибкая и динамичная система мер, включающая развертывание протоколов безопасности, постоянный мониторинг и автоматизацию обновлений. 

А можно подробнее? Что должен делать ИБ-специалист?

  1. Загружать только безопасные контейнерные образы. Рекомендуется использовать официальные образы, предлагаемые популярными репозиториями контейнеров. Избегать установки неиспользуемых или устаревших компонентов, проверять образы на наличие ошибок в конфигурации, ВПО. Чем меньше уязвимостей в образе, тем меньше вероятность успешной атаки
  2. Необходимо регулярно обновлять контейнеры, включая все установленные компоненты и зависимости
  3. Проверять контейнеры на соответствие политикам безопасности, допускать к запуску только доверенные контейнеры
  4. Обеспечивать контроль целостности и трафика контейнеров
  5. Контейнеры должны иметь минимально необходимые привилегии и ограниченный доступ к операционной системе хоста
  6. Необходимо настроить изоляцию контейнеров, чтобы предотвратить несанкционированный доступ к данным или ресурсам, а также предотвратить горизонтальное распространение угроз
  7. Мониторить работу контейнеров, идентифицировать любые подозрительные активности и анализировать компоненты контейнера для выявления возможных уязвимостей или вредоносного кода
  8. В дополнение к защите контейнеров рекомендуется обеспечить безопасность хост-системы, на которой запускаются контейнеры 

Следуя рекомендациям по безопасности контейнеров и защите хост-системы, можно снизить риск атак и обеспечить безопасность при работе с контейнерами.

Блиц-опрос

1. C какими уязвимостями вы чаще всего сталкиваетесь в своей работе?

Трудно определить какие-то конкретные уязвимости, но в целом, я могу выделить 3 ключевых типа:
— устаревшие версии ПО, в том числе подверженные уязвимостям;
— ошибки ПО, допущенные при разработке;
— ошибки/недостатки архитектуры инфраструктуры.

2. Назовите три главных качества ИБ специалиста:

  1. Аналитический и «быстрый» ум
  2. Нестандартное мышление
  3. Постоянное стремление к саморазвитию

3. Что посоветуете тем, кто хочет начать карьеру в ИБ?

Если в общем, как минимум — изучить учебник CISSP (Certified information systems security professional). Это прекрасное пособие, охватывающее весь спектр вопросов ИБ.
Самое главное – внимательно изучать любые новые технологии, аспекты ИБ, с вниманием и полным погружением.

4.Почему вы связали профессиональную жизнь со сферой ИБ и во сколько лет приняли это решение:

Когда мне было 6 лет, папа впервые взял меня с собой на работу. Он работал в Департаменте проектирования в «Сургутнефтегаз». Там я увидел вживую компьютеры, и они меня просто поразили! Это было что-то из другой вселенной, что-то уникальное и удивительное. Именно тогда я понял, что хочу связать жизнь с ИТ.

На путь ИБ я встал в 2004 году. Мне было 16 лет, я учился в старших классах школы и начал интересоваться вопросами обеспечения безопасности ИТ-технологий. Уже тогда я принял решение поступить в университет на специальность «Компьютерная безопасность» и развиваться в сфере ИБ.

5.Каким вы видите мир через 100 лет?

Однозначно сказать нельзя, мир технологий развивается крайне стремительно. 

Мне кажется, это будет эпоха массового использования высоких технологий, искусственного интеллекта, нанотехнологий, особенно в производстве и здравоохранении.

Если хотите не просто узнать больше теории, но и попрактиковаться в запуске контейнеров и виртуальных машин, узнать, как успешно стартовать карьеру в безопасной разработке – регистрируйтесь на бесплатный онлайн вебинар Андрея Муллина, который пройдет 26 октября в 19.00!

Записаться