Компания Positive Technologies выпустила обновление для своего решения по защите контейнерных сред — PT Container Security 0.8. Ключевыми нововведениями стали публичный API для администрирования продукта, расширенные настройки правил реагирования, автоматическая выдача сертификатов для защищённого взаимодействия сервисов, а также устойчивое обнаружение угроз в режиме реального времени даже при сбоях. Об этом CNews сообщили в Positive Technologies.
В версии 0.8 управлять PT Container Security можно не только через веб-интерфейс, но и посредством открытого API. Для этого пользователю с токеном доступа достаточно направлять HTTPS-запросы через скрипты или специализированные утилиты. Это позволяет аналитикам SOC обрабатывать события мониторинга в реальном времени с помощью сопряжённых инструментов, включая системы класса SIEM. Обновление также дало возможность автоматизировать создание правил безопасности для защищаемых кластеров в масштабах всей корпоративной инфраструктуры.
«Для повышения удобства администрирования PT Container Security мы предусмотрели широкий набор параметров для каждого токена. Специалисты по информационной безопасности могут устанавливать желаемый срок жизни токена и перечень доступных прав. Эти права можно строго ограничить, например, разрешив пользователю только просматривать журнал событий, — отметил Никита Ладошкин, руководитель разработки PT Container Security в Positive Technologies. — Безопасность обеспечивается за счёт возможности администратора мгновенно отозвать все выданные токены».
Новая версия PT Container Security поддерживает запросы для работы с правилами реагирования и просмотра событий в реальном времени. Для реализации обработки других типов запросов следует обратиться в службу технической поддержки.
В PT Container Security 0.8 появились дополнительные параметры правил реагирования для проверок через admission controller и мониторинга событий в рантайме. Были добавлены такие критерии, как поды, контейнеры, образы из определённых репозиториев, а также репозитории и узлы для событий реального времени. Усовершенствованные правила позволяют точнее учитывать особенности контролируемых ресурсов и эффективнее реагировать на инциденты, уменьшая нагрузку на систему.
Теперь анализ событий в реальном времени в PT Container Security продолжается, даже если один из детекторов в цепочке проверки дал сбой. Аналитик SOC может дополнительно изучить возникшие ошибки и перечень детекторов, которые не смогли завершить проверку. Непрерывность анализа экономит время специалиста по ИБ, избавляя его от необходимости вручную искать причину остановки и заново запускать проверку всеми модулями обнаружения.
Работа с сертификатами для настройки TLS-соединений между компонентами реализована с помощью инструментов Helm, причём сертификаты создаются автоматически, что упрощает задачи пользователя. По умолчанию они сохраняются в конфигурационном файле Helm-чарта values.yaml, однако сотрудники службы ИБ могут использовать для хранения сертификатов отдельный файл.
Обновленная версия PT Container Security предоставит пользователям доступ к новым возможностям после установки последнего релиза продукта.
