У міру впровадження хмарних технологій та цифрової трансформації все більше конфіденційних даних із додатків зберігається у контейнерах даних. Саме тому ефективні засоби контролю безпеки контейнерів для безпечного керування підключенням програм є абсолютною необхідністю. Технічний директор та співзасновник компанії AlgoSec, професор Авішай Вул пропонує кілька корисних методів забезпечення безпеки контейнерів, які допоможуть вам зробити саме це.
Що таке безпека контейнерів?
Сьогодні організації як ніколи раніше впроваджують контейнерні технології. Замість того, щоб підключати сервери та установки у хмарі, вони використовують контейнери для запуску бізнес-додатків. Їх захист не менш важливий, ніж захист інших цифрових активів, від яких бізнес залежить. Є два основні напрямки, про які слід подумати:
· Код: ви хочете мати можливість сканувати контейнери і переконатися, що вони виконують легітимний код без вразливостей.
· Мережа: необхідно контролювати доступ до контейнера та від нього (до чого він може підключатися), як усередині одного кластера, так і в інших кластерах та різних частинах мережі.
Наскільки важливою є безпека контейнерів для управління ризиками підключення додатків?
Щоб зрозуміти роль безпеки контейнерів у загальному уявленні про безпеку мережі, необхідно розглянути три моменти.
По-перше, якщо ви дбаєте лише про захист самих контейнерів, то ви маєте справу з нано-сегментацією, яка передбачає дуже детальний контроль усередині додатків.
По-друге, якщо ви думаєте про ширше охоплення, то вас може більше хвилювати мікросегментація коли ви сегментуєте між кластерами або між серверами в одному середовищі. Тут ви захочете застосувати елементи керування безпекою, які визначають допустиму взаємодію між певними кінцевими точками на певних рівнях.
Нарешті, якщо зв’язок повинен йти далі, від контейнера всередині одного кластера в одному хмарному середовищі до активу, що знаходиться за межами центру обробки даних, то це може вимагати ширшого контролю сегментації, такого як технології зонування, групи безпеки або міжмережевий екран на кордоні.
Отже, є всі ці рівні, де ви можете розмістити політики мережевої безпеки. Коли ви розглядаєте конкретний запит на підключення (скажімо, для нової версії програми) з точки зору даного контейнера, ви повинні запитати себе: До чого підключено контейнер? Із чим він взаємодіє? Де розташовані інші сторони з’єднання?
На підставі цього визначення ви дізнаєтеся, які елементи керування безпекою необхідно налаштувати, щоб дозволити з’єднання через мережу.
Як контейнеризація співвідноситься з керуванням політиками безпеки, орієнтованими на програми?
Існує кілька різних аспектів взаємозв’язку між безпекою контейнерів та безпекою додатків. Якщо програма використовує контейнери для живлення робочих навантажень, то безпека контейнерів є невід’ємною частиною безпеки програм.
Коли ви додаєте нову функціональність до програми, включаєте додаткові контейнери, пропонуєте контейнерам виконувати нові завдання, внаслідок чого їм потрібне підключення до додаткових ресурсів, підключення цих контейнерів має бути захищене. А елементи керування безпекою повинні регулюватися або змінюватися залежно від того, для чого вони потрібні додатку.
Ще одним фактором у цьому взаємозв’язку є структура застосування. Всі контейнери, які запускають та підтримують програму, часто розташовуються в одному кластері або мікросегменті мережі. Таким чином, велика частина комунікації відбувається всередині цього кластера між контейнерами, що знаходяться в одному кластері. Однак частина цих даних може потрапити в інший кластер або середу, де навіть немає контейнерів. Насправді це добре з точки зору програм, оскільки структура контейнера може бути використана для розуміння структури програми.
Не знаєте, що таке оркестрування контейнерів? Ось що треба знати
Оркестрування контейнерів є частиною більшої гри в оркестрування, яка пов’язана з концепцією інфраструктури як коду. Ви хочете мати можливість включити середовище з усіма необхідними активами та забезпечити його одночасне функціонування, щоб ви могли його дублювати.
Існують різні технології оркестрування, які можна використовувати для розгортання політик безпеки для контейнерів, що є відмінним способом підтримувати програми на основі контейнерів послідовним та повторюваним чином. Якщо вам знадобиться подвоїти або помножити його на 100, ви зможете отримати готові копії того самого.
Як розвиватимуться рішення щодо забезпечення безпеки контейнерів у майбутньому?
Сьогодні організації мають технологію для забезпечення контролю безпеки на рівні контейнерів, але цей контроль дуже гранулярний, і встановлення політик та забезпечення їх дотримання займає багато часу, особливо в умовах нестачі персоналу або навичок.
У майбутньому компанії, швидше за все, дотримуватимуться ієрархічного підходу, коли безпека на основі контейнерів контролюватиметься на рівні додатків власниками додатків або розробниками, а також на більш широких рівнях, щоб забезпечити однаковий ступінь складності заходів, розгорнутих по всій мережі. Процедури та інструменти розвиваються, тому ми не маємо остаточної відповіді, чим усе це закінчиться. Що робитимуть організації? Де вони розміщуватимуть свої засоби контролю? Хто має повноваження для внесення змін?
Коли будуть впроваджуватись нові технології, прийняття їх клієнтами матиме вирішальне значення для розуміння того, що має найбільше значення. Це буде цікаво, оскільки в майбутньому з’явиться безліч сценаріїв, які допоможуть компаніям розробити план безпеки.
Про те, як використання контейнеризації як стратегії може допомогти знизити ризики та забезпечити безпеку, орієнтовану на програми, дивіться в цьому відеоролику.
Джерело: https://bit.ly/3y0Py27
