Обзор Luntry: как достичь прозрачности и безопасности в Kubernetes

Kubernetes (K8s) – это расширяемая платформа, стандарт среди систем оркестрации контейнеров при построении облачных приложений, а также одна из самых критичных составляющих DevOps-процесса.

Комплексность K8s приводит к тому, что команды ИТ и ИБ не могут досконально знать все, что происходит в сложной, динамичной инфраструктуре. Поэтому те, кто работает с K8s, задаются вопросами: «Что там происходит?», «Правильно и безопасно ли это настроено?», «Нет ли там вредоносной активности?»

Дмитрий Евдокимов, эксперт в области DevSecOps и технический директор Luntry подготовил для портала Cyber Media материал о том, как решение Luntry предотвращает атаки на инфраструктуру Kubernetes и помогает бизнесу скоординировать команды ИТ и ИБ.

Зачем защищать Kubernetes?

Каждая инфраструктура K8s уникальна, как и модель угроз для нее. Атакующая сторона может найти ошибки конфигурации, а также успешно эксплуатировать критические уязвимости. Это неизбежно приведет к финансовым потерям.

Luntry помогает находить недостатки, проблемы, сбои и атаки в системе, непрерывно наблюдая за состоянием инфраструктуры. Чем раньше проблема будет обнаружена, тем меньше финансов и времени уйдет на ее исправление или расследование инцидента.

Стоит принимать во внимание и тот факт, что угрозы бесконечно меняются и развиваются. Злоумышленники способны оставаться незамеченными в течение долгого времени поскольку они знают больше, чем те, кто защищает свои приложения. В мире, где атакующий всегда находится на шаг впереди, бизнесу следует научиться думать на несколько ходов вперед. И прежде чем выбирать превентивные меры, нужно досконально изучить все свои приложения и научиться находить угрозы своевременно. 

Мы разработали Luntry, чтобы сделать K8s понятным и поддерживать высокий уровень безопасности в быстро меняющейся среде. Наше решение позволяет наблюдать за происходящим в инфраструктуре, повышать уровень безопасности и быстро реагировать на сбои и инциденты в системе.

Лантри (Luntry) – российское решение для улучшения Observability и безопасности Kubernetes (включая OpenShift и Managed Kubernetes). Оно основано на наблюдении за происходящим в Kubernetes на уровне контейнеров, образов, k8s-ресурсов, сервисов, их взаимосвязей и эволюции. 

Luntry подойдет компаниям, которым нужна удобная и эффективная платформа для работы подразделений ИТ и ИБ, при этом не требующая уникальных навыков от специалистов, работающих с ней.

Варианты использования Luntry на основе подходов при работе с K8s

Решение как база знаний – позволяет собрать информацию воедино, скоординировать команды для продуктивной работы и получить полное представление о происходящем в Kubernetes, обеспечив прозрачность инфраструктуры.

Обнаружение и поиск первопричин инцидентов – поиск аномалий, которые связаны не только с атаками, но и с проблемами некачественно написанного кода или неправильной конфигурацией.

Усиление защиты Kubernetes – решение позволит до считанных минут сократить время, которое уходит на поиск недостатков.

Выстраивание процессов DevSecOps – решение предназначено для всех участников непрерывного процесса разработки и жизненного цикла приложений (Shift Left/Everywhere Security, Policy as Code, Security as Code) и обеспечивает их эффективное взаимодействие по вопросам безопасности.

Помощь SOC – Luntry непрерывно мониторит все, что происходит в Kubernetes-инфраструктуре и контейнерах с учетом их контекста, и таким образом помогает быстро и эффективно работать командам SOC. 

Функции ИБ на ИТ – смещение подхода с обнаружения атак на предотвращение; заниматься контролем информационной безопасности могут непрофильные специалисты с минимальными знаниями по администрированию ИТ-систем.

Реализация подхода Zero Trust («нулевое доверие») – создание политик NetworkPolicy, AppArmor и моделей поведения, которые позволяют противостоять 0-day и APT-атакам.

Возможности Luntry для Kubernetes

Luntry предоставляет следующие функции для обеспечения надежной и безопасной работы K8s:

• управление SBOM и уязвимостями образов; 

• контроль любых YAML-ресурсов на best practices и стандарты компании;

• Runtime безопасность в режиме реального времени; 

• контроль взаимоотношений между YAML-ресурсами;

• ведение истории изменений для устранения неполадок, выявления скрытых причин (Root Cause Analysis) и расследования инцидентов;

• визуализация и защита сетевого взаимодействия; 

• анализ RBAC; 

• интеграция с SIEM.

Системные требования

Все компоненты Luntry работают в Kubernetes в отдельном Namespace и не требуют от команд разработчиков и DevOps вносить никакие изменения ни в Kubernetes, ни в работающие в нем микросервисы. Также Luntry никак не модифицирует сервисы и не добавляет в них дополнительной логики. Таким образом, он не дает дополнительной нагрузки на микросервисы и совместим с любыми сторонними разработками.

Системные требования:

• Kubernetes: >= 1.16

• Container Runtime: CRI совместимые (docker, containerd, cri-o)

• CNI: Любой

• OS Kernel version: >= 4.18 и >= 3.10 (для rhel7)

Политика лицензирования основана на количестве нод у клиента.

Для пилотного проекта потребуется: 

• Не более 2 недель;

• Kubernetes кластер (OnPrem или Managed Kubernetes);

• Приложения в тестовом кластере с трафиком;

• Запрашиваемые ресурсы: CPU (millicores) 6020, RAM Memory (Gb) 8, Storage SSD (Gb) 50 для Persistent Volume;

• Небольшая команда: один DevOps-специалист, один специалист для работы с инструментом.

Чем Luntry отличается от других решений

Решение Luntry по своей концепции отличается от конкурентов. Вот самые яркие примеры:

1. Observability для построения Security. Мы понимаем, что защищать и как делать это, ничего не ломая;

2. Декларативный подход к безопасности и надежности: Security/Policy-as-Code, Everything-as-Code. Прозрачность происходящего в инфраструктуре на всех уровнях для всех команд;

3. Отсутствие модификаций окружения и микросервисов клиентов, а также дополнительных накладных расходов и возможных сбоев в работе инфраструктуры основано на eBPF;

4. Уход от предопределенных человеком правил. Zero Trust, защита и от неизвестных угроз: 0-day, не исправленных 1-day, бэкдоры, APT и т.д.;

5. Дружелюбность к сторонним проектам. Наше решение – зонтик для любых других Kubernetes-решений;

6. Прост в использовании для отделов Dev, QA, Sec, Ops, SRE. Это позволяет правильно выстроить процесс DevSecOps. 

Ответы на самые частые вопросы можно найти по ссылке.

еrid: Kra23uCuz