По мере внедрения облачных технологий и цифровой трансформации все больше конфиденциальных данных из приложений хранится в контейнерах данных. Именно поэтому эффективные средства контроля безопасности контейнеров для безопасного управления подключением приложений являются абсолютной необходимостью. Технический директор и соучредитель компании AlgoSec, профессор Авишай Вул предлагает несколько полезных методов обеспечения безопасности контейнеров, которые помогут вам сделать именно это.
Что такое безопасность контейнеров?
Сегодня организации, как никогда ранее, внедряют контейнерные технологии. Вместо того чтобы подключать серверы и установки в облаке, они используют контейнеры для запуска бизнес-приложений. Их защита не менее важна, чем защита других цифровых активов, от которых зависит бизнес. Есть два основных направления, о которых следует подумать:
• Код: вы хотите иметь возможность сканировать контейнеры и убедиться, что они выполняют легитимный код без каких-либо уязвимостей.
• Сеть: необходимо контролировать доступ к контейнеру и от него (к чему он может подключаться), как внутри одного кластера, так и в других кластерах и различных частях сети.
Насколько важна безопасность контейнеров для управления рисками подключения приложений?
Чтобы понять роль безопасности контейнеров в общем представлении о сетевой безопасности, необходимо рассмотреть три момента.
Во-первых, если вы заботитесь только о защите самих контейнеров, то вы имеете дело с нано-сегментацией, которая предполагает очень детальный контроль внутри приложений.
Во-вторых, если вы думаете о более широком охвате, то вас может больше волновать микросегментация, когда вы сегментируете между кластерами или между серверами в одной среде. Здесь вы захотите применить элементы управления безопасностью, которые определяют допустимые взаимодействия между определенными конечными точками на определенных уровнях.
Наконец, если связь должна идти дальше, от контейнера внутри одного кластера в одной облачной среде к активу, находящемуся за пределами центра обработки данных, то это может потребовать более широкого контроля сегментации, такого как технологии зонирования, группы безопасности или межсетевой экран на границе.
Итак, имеются все эти уровни, на которых вы можете разместить политики сетевой безопасности. Когда вы рассматриваете конкретный запрос на подключение (скажем, для новой версии приложения) с точки зрения данного контейнера, вы должны спросить себя: К чему подключен контейнер? С чем он взаимодействует? Где расположены эти другие стороны соединения?
На основании этого определения вы узнаете, какие элементы управления безопасностью необходимо настроить, чтобы разрешить подключение через сеть.
Как контейнеризация соотносится с управлением политиками безопасности, ориентированными на приложения?
Существует несколько различных аспектов взаимосвязи между безопасностью контейнеров и безопасностью приложений. Если приложение использует контейнеры для питания рабочих нагрузок, то безопасность контейнеров является неотъемлемой частью безопасности приложений.
Когда вы добавляете новую функциональность в приложение, включаете дополнительные контейнеры, предлагаете контейнерам выполнять новые задачи, в результате чего им требуется подключение к дополнительным ресурсам, то подключение этих контейнеров должно быть защищено. А элементы управления безопасностью должны регулироваться или изменяться в зависимости от того, для чего они нужны приложению.
Еще одним фактором в этой взаимосвязи является структура приложения. Все контейнеры, которые запускают и поддерживают приложение, часто располагаются в одном кластере или микросегменте сети. Таким образом, большая часть коммуникации происходит внутри этого кластера, между контейнерами, находящимися в одном кластере. Однако часть этих данных может попасть в другой кластер или в среду, где даже нет контейнеров. На самом деле это хорошо с точки зрения приложений, поскольку структура контейнера может быть использована для понимания структуры приложения.
Не знаете, что такое оркестровка контейнеров? Вот что нужно знать
Оркестровка контейнеров является частью более крупной игры в оркестровку, которая в целом связана с концепцией инфраструктуры как кода. Вы хотите иметь возможность включить среду со всеми необходимыми активами и обеспечить ее одновременное функционирование, чтобы вы могли ее дублировать.
Существуют различные технологии оркестровки, которые можно использовать для развертывания политик безопасности для контейнеров, что является отличным способом поддерживать приложения на основе контейнеров последовательным и повторяемым образом. Если вам понадобится удвоить или умножить его на 100, вы сможете получить готовые копии одного и того же.
Как будут развиваться решения по обеспечению безопасности контейнеров в будущем?
Сегодня у организаций есть технология для обеспечения контроля безопасности на уровне контейнеров, но этот контроль очень гранулярен, и установление политик и обеспечение их соблюдения занимает много времени, особенно в условиях нехватки персонала или навыков.
В будущем компании, скорее всего, будут придерживаться иерархического подхода, когда безопасность на основе контейнеров будет контролироваться на уровне приложений владельцами приложений или разработчиками, а также на более широких уровнях, чтобы обеспечить одинаковую степень сложности мер, развернутых по всей сети. Процедуры и инструменты развиваются, поэтому у нас нет окончательного ответа, чем все это закончится. Что будут делать организации? Где они будут размещать свои средства контроля? У кого есть полномочия для внесения изменений?
Когда будут внедряться новые технологии, принятие их клиентами будет иметь решающее значение для понимания того, что имеет наибольший смысл. Это будет интересно, поскольку в будущем появится множество сценариев, которые помогут компаниям разработать свой план безопасности.
О том, как использование контейнеризации в качестве стратегии может помочь снизить риски и обеспечить безопасность, ориентированную на приложения, смотрите в этом видеоролике.
Источник: https://bit.ly/3y0Py27
