«Лаборатория Касперского» изучила современные тенденции в контейнерной разработке с акцентом на кибербезопасность. Об этом CNews проинформировали сотрудники «Лаборатории Касперского».
Глубокое внедрение ИИ-агентов в рабочие процессы. Искусственный интеллект становится неотъемлемой частью ежедневной деятельности разработчика. Основная угроза — возможная утечка корпоративных сведений из-за работы с конфиденциальными данными. Также опасны избыточные полномочия: агент способен совершать действия от лица пользователя — взаимодействовать с терминалом или кластером Kubernetes, где неверная трактовка команды может привести к удалению ресурсов или ослаблению защиты. Отдельный риск представляет канал связи между агентом и моделью, который при недостаточной защите может быть перехвачен. Чем сильнее ИИ интегрирован в процессы, тем важнее защита каналов и размещение сервисов внутри периметра. Как снизить риски. Ограничивать возможности ИИ-агентов, разграничивать права, внедрять аудит и подтверждение важных операций. Применять принципы нулевого доверия, минимальных привилегий и контролировать источники информации.
Развитие и специализация ИИ-моделей для разработки. Модели теперь работают не только с кодом, но и с контейнерной архитектурой в целом. Однако даже с увеличением контекста возникает эффект «близорукости»: исправляя одну часть системы, ИИ может нарушить другую. Сохраняются риски генерации небезопасных конфигураций и атак через подмену данных. Как снизить риски. Уменьшить эти угрозы можно лишь благодаря продуманной внутренней структуре проекта.
Чем лучше организована архитектура, тем легче модели понимать взаимосвязи между компонентами.
Автоматизация анализа кода и ревью с помощью ИИ. Искусственный интеллект все чаще используется для проверки Kubernetes-манифестов, Terraform-конфигураций, Helm-чартов и изменений в коде — это один из самых практичных подходов с точки зрения безопасности. При большом объеме конфигураций человек не способен одинаково тщательно проверять все вручную. Однако полностью доверять контроль ИИ нельзя: он хорошо справляется с повторяющимися шаблонами, но может упускать бизнес-контекст и реальные угрозы. Кроме того, сам инструмент ревью остается уязвимым: имея доступ к коду и репозиториям, он становится потенциальной точкой утечки данных. Как снизить риски. Необходимо настраивать инструменты на основе собственных шаблонов, внутренних политик и типовых конфигураций.
При этом окончательное решение по критическим изменениям должно оставаться за человеком.
Развитие Internal Developer Platform (IDP). IDP становится единой платформой доступа ко всей инфраструктуре — Kubernetes, CI/CD, шаблонам, GitOps и политикам безопасности.
Этот подход ускоряет разработку, однако создает единую точку отказа: ошибки в настройках сразу влияют на большое количество сервисов. Особую опасность представляют избыточные привилегии без каких-либо ограничений. Разработчик должен иметь возможность быстро создавать сервисы, но при этом не должен отключать механизмы защиты или разворачивать небезопасные конфигурации. Как снизить риски. Ключевым компонентом IDP становятся встроенные механизмы контроля.
Специализированные решения для cloud-native и Kubernetes-сред. Контейнерная разработка все чаще требует применения профильных инструментов для работы с Kubernetes как с полноценной инженерной платформой. Одна из главных проблем — несоответствие между локальной и рабочей средой: на локальном уровне все функционирует, но после развертывания возникают ошибки из-за сетевых политик, зависимостей и ограничений кластера. Важно не только обезличивать данные, но и предотвращать попадание конфиденциальной информации в локальное окружение. Отдельный риск связан с декларативным тестированием ресурсов и контроллеров. С увеличением числа объектов в Kubernetes инфраструктура становится сложнее, и ошибки возникают уже на уровне их логики.
Без проведения тестирования это может привести к появлению небезопасных конфигураций, удалению ресурсов или нарушению изоляции сервисов. Как минимизировать риски. Любые инструменты такого типа должны предусматривать обезличивание данных, ограничение объемов трафика и строгий контроль доступа. Чем активнее ИИ участвует в разработке, тем важнее контролировать его доступ к данным, инфраструктуре и выполняемым операциям.
«Инструменты безопасности для Kubernetes сегодня перестают быть только средствами контроля и начинают выполнять функцию анализа событий в кластере, а также поддержки оператора при принятии решений. Появляются продукты, которые для этих целей используют ИИ, например, решение Kaspersky Container Security с модулем Kaspersky Investigation and Response Assistant — KIRA (в лицензии Advanced Pro). Оно упрощает работу операторов в сложных инфраструктурных средах», — отметил Алексей Рыбалко, эксперт по контейнерной безопасности, «Лаборатория Касперского».
