Журнал "Information Security/ Информационная безопасность" #2, 2025

• 35 Защита контейнеРных сРед www.itsec.ru Правильная настройка кластеров и регулярные аудиты безопасности Безопасность Kubernetes начинается с базовой настройки. Некорректное конфи- гурирование кластеров часто становится причиной утечек данных и компрометаций. В открытом доступе имеется инфор- мация об известных инцидентах, которые произошли по причинам, связанным с неправильным конфигурированием: l Взлом кластера Kubernetes в Tesla в 2018 г. из-за оставленных открытыми панелей управления без аутентифика- ции. Злоумышленники смогли исполь- зовать кластер для криптомайнинга. l Утечка данных из банка Capital One в 2019 г. из-за неправильной настройки прав доступа. В итоге в сеть попали личные данные 106 млн человек. Согласно исследованию Redhat 1 , 45% респондентов в 2023 г. столкнулись с инци- дентами безопасности или проблемами из-за неверных конфигураций, связанными с контейнерами и (или) Kubernetes. Несмот- ря на то, что инциденты произошли несколь- ко лет назад, подобные угрозы до сих пор актуальны во многих компаниях. Рекомендации: 1. Используйте инструменты проверки конфигураций кластеров. 2. Регулярно обновляйте версии Kuber- netes и используйте минимально необходи- мые привилегии для компонентов кластера. 3. Автоматизируйте проверку конфи- гураций с помощью CI/CD для анализа Kubernetes-манифестов. 4. Применяйте безопасные шаблоны Helm Charts и избегайте запуска прило- жений с высокими привилегиями. Сегментация и изоляция сети Сетевые политики являются одним из важнейших инструментов защиты, посколь- ку неправильная конфигурация сетей может позволить злоумышленникам пере- мещаться между компонентами кластера. Инцидент: атака на систему управле- ния Kubernetes в 2020 г., когда зло- умышленники воспользовались отсут- ствием сетевых политик, что позволило им получить доступ к базе данных, содер- жащей конфиденциальную информацию. Рекомендации: 1. Используйте сетевые политики для ограничения трафика на уровне подов. 2. Интегрируйте инструменты, такие как Calico, Cilium для создания сложных сетевых политик и мониторинга трафика. 3. Внедряйте межкластерные шифро- вания на уровне сетей. 4. Настройте eBPF для мониторинга сетевых соединений в реальном времени и предотвращения аномальных действий. Контроль доступа через RBAC Система Role-Based Access Control (RBAC) позволяет минимизировать риски, связанные с несанкционирован- ным доступом. В 2019 г. злоумышленники использо- вали чрезмерные права, предоставлен- ные пользователю, для выполнения вредоносных действий в кластере, и дело закончилось компрометацией Kubernetes API. Рекомендации: 1. Определите роли и разрешения для каждого пользователя и приложения. 2. Отключайте доступ по умолчанию и проводите регулярный анализ исполь- зования привилегий. 3. Используйте инструменты, такие как Open Policy Agent и Kyverno, для создания и управления политиками доступа. 4. Настройте двухфакторную аутенти- фикацию для доступа к панели управле- ния Kubernetes. Мониторинг и контроль активности контейнеров Контейнеры могут подвергаться ата- кам в рантайме, например через попытки побега из контейнера или выполнения запрещенных операций. В 2020 г. было обнаружено, что тысячи контейнеров использовались для скры- того майнинга из-за отсутствия монито- ринга аномальной активности. А в 2021 г. злоумышленники использовали уязви- мость в популярной библиотеке Log4Shell для выполнения команд в контейнерах. Рекомендации: 1. Внедрите инструменты обеспечения безопасности контейнерных сред, допол- нительно предоставляющие функции мониторинга. 2. Настройте алерты на попытки использования привилегированных дей- ствий или выполнения неизвестных команд внутри контейнера. 3. Используйте современные технологии и решения для защиты контейнеризации Не стоит забывать, что остаются акту- альными и классические векторы атак, описанные по матрице MITRE ATT&CK и OWASP TOP 10. Поэтому необходимо анализировать все техники, их критич- ность и применимость относительно своих инфраструктур. В заключение В России представлены несколько ком- мерческих решений класса Container Secu- rity. Вендоры стараются добавлять в них функции, которые сформировались на основе пользовательского опыта. С одной стороны, они упрощают администраторам выполнение рутинных действий, с дру- гой – дают большую информативность и детализацию по потенциальным уязви- мостям и подозрительным процессам. Вендоры также стараются расширять понятие Сontainer Security, добавляя в свои решения смежный функционал, который превращает их в полноценную платформу для безопасной разработки. Еще одним из интересных решений является использование песочниц для контейнеров. В России эта технология пока не получила широкого распростра- нения, однако по мере развития подоб- ных модулей в составе продуктов, она может стать востребованной, внеся значительный вклад в обеспечение без- опасности контейнерных сред. Стоит отметить попытки использова- ния механизмов машинного обучения, оптимизации выявления аномальных активностей в рамках рантайм-анализа. В первую очередь от этого тренда ожи- дается снижение количества ложнопо- ложительных срабатываний. l Руководство по повышению безопасности контейнерной инфраструктуры ложная архитектура контейнерных технологий и большое количество компонентов делают такие системы привлекательной целью для злоумышленников. Разберем на примерах, как защитить контейнерную инфраструктуру. С Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Crosstech Solutions Group Руслан Субхангулов, директор по продукту Crosstech Solutions Group 1 https://www.redhat.com/en/blog/state-kubernetes-security-2023