Дмитрий Евдокимов, Luntry: Роль информационной безопасности в наше время – не остановить все инциденты, а не допустить нанесение ущерба

Дмитрий Евдокимов, Founder&CTO, Luntry рассказал порталу Cyber Media о подходе «нулевого доверия» в рамках работы с Kubernetes. О плюсах и минусах концепции и о том, с какими основными проблемами сталкивается ИБ-специалист работая с Kubernetes.

Cyber Media: Насколько сложно реализовать Zero Trust в контейнеризированных средах и почему?

Дмитрий Евдокимов: Контейнеризированные среды благоволят реализовывать концепцию Zero Trust, потому что они сами приносят определенные уровни изоляции и, непосредственно, есть дополнительные инструменты, как самой системы оркестрации, так и системы Linux, которая нам это позволяет делать. Проще сред чем контейнеризированная для оркестрации и для того, чтобы реализовывать модель Zero Trust, нет. 

Cyber Media: В чем отличие от более классических концепций?

Дмитрий Евдокимов: В концепции Zero Trust мы ничему не доверяем, то есть у нас нет такого понятия, как доверенное окружение, доверенный компонент или среда. Мы изначально исходим из концепции, что везде может быть уязвимость, вредоносный код и другие проблемы. Изначально, до обнаружения проблем, мы закладываем, что они уже могут существовать и система может, возможно, уже скомпрометирована.

Cyber Media: Какие плюсы и минусы у концепции Zero Trust?

Дмитрий Евдокимов: Один из плюсов заключается в том, что для формирования концепции не обязательно требуется специалист по информационной безопасности. Для ее реализации можно получить данные от ИТ-специалистов – их на рынке больше, что упрощает задачу. Здесь специалист по безопасности может быть, как некий контролирующий орган, а не реализатор всех аспектов безопасности. Поэтому и в компанию концепцию Zero Trust внедрить проще.

Zero Trust легко внедрять в контейнеризированных средах. Но контейнеризированные среды это не все ИТ. Есть Linux, Windows, системы ERP и другие. И в них реализовать концепцию нулевого доверия уже во много раз сложнее. Различные компании работают в этом направлении, но пока вопрос двигается довольно тяжело.

Cyber Media: Пользуются ли популярностью концепция Zero Trust в контексте работы с Kubernetes?

Дмитрий Евдокимов: Если говорить про российский рынок, то мы видим, что компании к этому активно идут, и это, по моему мнению, очень позитивная тенденция. Да, нельзя сказать, что большое количество компаний уже этим пользуются, но явный тренд появился и это вопрос времени. Мне бы хотелось верить, что через некоторое время концепция Zero Trust в контексте работы с Kubernetes будет использоваться повсеместно, так как это поможет избавиться от многих проблем в ИБ и ИТ.

Весь мир сейчас переходит от реактивного подхода к информационной безопасности к проактивному. То есть раньше мы реагировали на угрозу после того, как увидели ее, а сейчас мы заранее ограничиваем то, что потенциально может произойти. Роль информационной безопасности в наше время – не остановить все инциденты, а не допустить нанесения ущерба.

Мы до сих пор наблюдаем, что Kubernetes в России для большинства компаний это что-то новое. Многие отделы информационной безопасности его боятся, так как соответствующие регламенты еще не написаны. Конечно, Kubernetes не решает всех проблем и вносит новые вызовы, но нужно учитывать его специфику. Он привносит много уникальных возможностей, позволяющих решить вопросы, которые ранее в обычных Linux- или Windows-средах было решить сложно или даже невозможно.

А в таком виде, когда все в контейнерах, управляется оркестратором со своими навесными средствами безопасности, решение многих задач становится посильным и обыденным.

Cyber Media: С какими основными проблемами может столкнуться ИБ-специалист при работе с Kubernetes?

Дмитрий Евдокимов: Специалистов по информационной безопасности на рынке немного, а с необходимым уровнем знаний по контейнеризации и Kubernetes на самом деле еще меньше. Ситуацию ухудшает текучка кадров, сторонняя разработка и поджимающие сроки. В итоге с того момента, когда ваш сканер нашел уязвимость в какой-то библиотеке до того, когда исправление будет действительно применено в прод-окружении, у разных компаний может уходить от нескольких дней до нескольких месяцев. А если софт сертифицированный, то обновления придут в следующей сертифицированной версии, к примеру, через год. Соответственно в этот период времени это ПО, ваша инфраструктура будет находиться в уязвимом состоянии.

Механизмы нивелирующие основные (не все) проблемы информационной безопасности Kubernetes:

• Policy Engines;
• AppArmor;
• NetworkPolicy;
• RBAC.

Поэтому большинство проблем информационной безопасности, с которыми мы сталкиваемся при работе с Kubernetes, мы можем решить с помощью этих четырех механизмов..

Их комбинация позволяет исключить такие проблемы, как:

• эксплуатация большого ряда уязвимостей в коде;
• большая поверхность атаки;
• потенциально вредоносный код;
• соответствие принципу наименьших привилегий;
• несоответствие лучшим практикам ИБ.

Лучше, чтобы RBAC, Policy Engines, AppArmor и NetworkPolicy работали всегда в комплексе. Каждый будет выполнять свою роль в зависимости от того, какая угроза, какой тип уязвимости, какой тип вредоноса и каковы цели атакующего. Один защищает на уровне процессов, другой на уровне сети, а их комбинация позволяет исключить главные проблемы. Но это не значит, что можно больше ничего не обновлять и ничего не делать.  

Cyber Media: Насколько активно облака применяются сегодня на рынке и есть ли тенденция на рост?

Дмитрий Евдокимов: Сейчас ситуация двоякая. В связи с последними событиями многие компании стали меньше доверять облачным провайдерам, потому что облака находятся не в их инфраструктуре. Облачный вендор может закрыть направление или вообще свой бизнес в России. С другой стороны, у ряда компаний есть проблемы с вычислительными ресурсами, а у облачных провайдеров эти ресурсы есть.

Мы видим у наших клиентов, что они, наоборот, начали пользоваться облаками и выносят туда часть своей инфраструктуры. Не все, но определенные тестовые части для разработки и тестирования окружения. Это говорит о том, что, с точки зрения ИБ, облачным провайдерам начинают больше доверять. Если раньше вообще не верили, то сейчас даже топовые компании часть своей инфраструктуры доверяют подрядчикам.