Компания «Лаборатория Касперского» выпустила обновление для своего решения по защите контейнерных сред Kaspersky Container Security (KCS). В новой версии пользователям стала доступна возможность формировать индивидуальные политики безопасности, а также выполнять экспорт полной конфигурации системы. В число других доработок вошли усиленный аудит кластера плоскости управления и выявление некорректных настроек GitHub Actions для предотвращения атак на цепочки поставок. Обновленный продукт дает возможность организациям оптимизировать процессы разработки и соответствия нормативным требованиям, одновременно защищая инфраструктуру от сложных киберугроз. Эту информацию CNews предоставили представители «Лаборатории Касперского».
Настраиваемые политики безопасности. Многие компании имеют собственные внутренние регламенты безопасности, которым они нередко отдают предпочтение перед типовыми. Теперь в Kaspersky Container Security доступно создание пользовательских политик для защиты образов, динамического контроля доступа (DAC) и установки критериев безопасности. Такой подход позволяет уменьшить нагрузку на команды информационной безопасности, ускорить интеграцию инфраструктуры и улучшить общий уровень защищенности. Кроме того, организации получают возможность быстрее реагировать на изменения в законодательстве и новые предписания регулирующих органов.
Экспорт и импорт системной конфигурации. Теперь пользователи могут выгружать полную конфигурацию системы (включая политики, группы агентов, профили и прочие параметры) для создания резервных копий или переноса на другие экземпляры продукта. Файл для экспорта можно создать как в зашифрованном виде, так и в открытом формате, допускающем ручное редактирование. Эта возможность будет особенно полезна крупным компаниям со сложной географически распределенной структурой. К примеру, если дочернее предприятие использует собственную ИТ-инфраструктуру, конфигурационный файл можно экспортировать из центрального офиса и импортировать локально на стороне «дочки». Это упрощает резервное копирование, а также передачу настроек и политик при масштабном развертывании для команд ИБ.
Улучшенный мониторинг и выявление ошибок конфигурации в GitHub Actions. Агенты безопасности теперь поддерживаются на главных узлах (мастер-нодах), что открывает возможности для расширенного аудита плоскости управления. Это позволяет обнаруживать уязвимые конфигурации и потенциальные риски на критически важном уровне оркестрации кластера, обеспечивая централизованное управление безопасностью всей инфраструктуры через единую консоль.
Для минимизации рисков в цепочках поставок в KCS были внедрены специализированные правила, предназначенные для выявления ошибок конфигурации в GitHub Actions. К таким ошибкам относятся, например, небезопасный запуск рабочих процессов, некорректная обработка ненадёжных входных данных и небезопасные политики версионирования. Злоумышленники могут использовать эти уязвимости, чтобы нарушить автоматизированные процессы, внедрить вредоносный код в производственные сборки или скомпрометировать ключи инфраструктуры. Специалисты по информационной безопасности смогут выявлять и устранять подобные угрозы в процессе сканирования репозиториев GitHub — как путём интеграции сканера KCS в конвейеры CI/CD, так и в автономном режиме.
Другие улучшения
Производительность узлов-агентов была повышена в 2,5 раза. Это даёт возможность обрабатывать сотни правил, не оказывая влияния на загрузку центрального процессора и использование памяти пода.
Скорость работы механизма динамического контроля доступа (DAC) выросла в 10 раз. В kube-agent также была добавлена функция кэширования результатов сканирования, что позволяет избежать лишних обращений к ядру продукта и ускоряет выполнение запросов DAC.
Добавлена возможность контроля доступа к результатам сканирования CI. Теперь пользователи могут настраивать этот контроль в соответствии с логикой видимости и изоляции проектов, принятой в их организации.
Реализован просмотр SBOM (спецификации программного обеспечения) в деталях анализа образов. Отсканированные образы контейнеров теперь можно экспортировать в формате SBOM. Это упрощает интеграцию с инструментами управления уязвимостями и реестрами, обеспечивая полную прослеживаемость цепочки поставок программного обеспечения.
Динамические обновления агентов без необходимости повторного развёртывания. Мгновенные изменения конфигурации групп позволяют избежать повторного развёртывания подов узлов-агентов и связанных с этим простоев, что упрощает управление крупномасштабной инфраструктурой. Это даёт возможность оптимизировать использование ресурсов в реальном времени во время пиковых нагрузок, снижая риск сбоев в производственных процессах.
«Безопасность контейнеров должна быть таким же быстрым и гибким процессом, как и сама контейнеризация. Новые функции Kaspersky Container Security разработаны с учётом потребностей современного DevSecOps. Например, сканирование GitHub Actions позволяет выявлять уязвимости непосредственно в коде конфигурации — и оперативно исправлять ошибки, чтобы предотвратить финансовые потери и срывы сроков. Это обновление поможет организациям найти баланс между быстрым развёртыванием и строгим соблюдением нормативных требований, защищая инфраструктуру от новых киберугроз без дополнительных операционных затрат», — отметил Антон Русаков-Руденко, старший менеджер по маркетингу Kaspersky Container Security.
