Nagyvállalatiigényeket lefedő biztonsági funkciók és szolgáltatások Kubernetes / OpenShift környezetek számára

Napjainkban a Kubernetes alapú konténerizációs megoldások sztenderd részeivé válnak a nagyválllati alkalmazáskörnyezeteknek. Ezzel a sztenderizációval együtt biztonsági és megfelelőségi szempontból is számos új elvárásnak kell megfelelni, amire Kubernetes / OpenShift környezetekben a Red Hat Advanced Cluster Security for Kubernetes (RHACS) szoftverkomponens optimális megoldást jelent.

A Red Hat Advanced Cluster Security for Kubernetes az OpenShift platform részeként intregrálódik a vállalati DevOps eszközökkel és folyamatokkal, ezáltal biztonságosabbá és compliance szempontból megfelelőbbé téve a konténer platformot, illetve a működést. A termék egyik központi eleme, a policy engine többszáz beépített és alapértelmezett szabályt tartalmaz, amik segítenek kikényszeríteni a DevOps-szal és biztonsággal kapcsolatos jógyakorlatokat, azok alkalmazását. Olyan, a különböző területeken elfogadott (és szabványként alkalmazott) ajánlások előírásainak betartását és vagy alkalmazását támogatja, mint a CIS benchmarkok vagy az NIST előírások, illetve a konténerek és a Kubernetes alapú konténer menedzsmentre, a konténerek futtatókörnyezetére vonatkozó konfigurációkezelési működés előírásait.

A Red Hat Advanced Cluster Security for Kubernetes komponens legfontosabb képességei a következők:

RH_features

A konténer-infrastruktúra átláthatóságának növelése

Teljeskörű nézetet ad a telepített konténer-platform környezetről, beleértve az image-eket, podokat és azok konfigurációját. Biztosítja a klaszterekre vonatkozó hálózati fogalom megtekintését namespace-eken, deploymenteken és podokon átívelően. Végezetül összegyűjti és megtekinthetővé teszi valamennyi konténer esetén a kritikus rendszerszintű eseményeket.

RH_features

Sérülékenység-menedzsment

Biztosítja a rendszer által kezelt image-ek biztonsági szkennelését, a felfedezett hibákra történő sérülékenységek vizsgálatát. Emellett a sérülékenység vizsgálata kiterjed az image-eken túl a futó környezetekre is. Az esetleges sérülékenységek esetén kikényszeríti a meghatározott policy-k alkalmazását a teljes CI/CD folyamatra vonatkozóan (build, integration, deployment, vagy runtime), mindezt szabványos Kubernetes kontolok használata mellett.

RH_features

Compliance-kezelés

Többszáz alapértelmezetten támogatott iparági szabványnak (CIS benchmark, PCI, HIPAA, NIST SP 800-190 stb.) megfelelően vizsgálja a konténer-platform megfelelőségét. A megfelelőség-vizsgálat áttekintéséhez grafikus dashboard-ot ad, ahonnan az adatok például az auditorok számára egyszerűen exportálhatók. Adott rendszkomponensekre, elemekre bontva (klaszterek, node-ok, namespace-ek) biztosítja a megfelelőség részleteinek áttekintését, a nem-megfelelőségek vizsgálatát.

RH_features

Hálózati szegmentáció támogatás

Megjeleníti az engedélyezett, illetve az aktív hálózati foglamat a különböző rendszerkomponenek (namespace, deployment, pod) között. A lehetséges kockázatok minimalizálását támogatja, hogy szimulációt biztosít a hálózati beállítások változtatásának, azok hatásainak ellenőrzésére. A hálózati tevékenységekről baseline-t tudunk készíteni és ez alapján ad javaslatokat arra, hogy milyen Kubernetes network policy-k használata javasolt a felesleges hálózati forgalom kiküszöböléséhez.

RH_features

Kockázatok osztályozása

A futó környezeteket ragsorolása a biztonsági kockázatok alapján lehetővé teszi, hogy priorizáljuk a konfigurációs és vagy telepítési feladatokat. Folyamatosan nyomon követi a Kubernetes környezetek biztonsági állapotát és az alapján határozza meg a biztonsági csapatok számára szükséges tevékenységeket.

RH_features

Konfiguráció-kezelés

Előre elkészített mintákat, jógyakorlatokat biztosít a DevOps és biztonsági szabályok, házirendek alkalmazásával kapcsolatban, ezek alapján ellenőrzi az esetleges eltéréseket, policy-sértéseket. A szerepkörök és jogosultságok (RBAC) folyamatos elemzésével ellenőrzi, hogy nem történt-e hibás, nem kívánt beállítás, konfiguráció. A secret-ek folyamatos nyomonkövetése ugyancsak azt szolgálja, hogy automatikusan felderíthetők legyenek az elvárt működéstől való eltérések, végezetül biztosítja a konfigurációs házirendek kikényszerítését a CI/CD folyamat tetszőleges (vagy akár teljes) elemeire.

RH_features

Futás-idejű ellenőrzések és válaszok

A konténereken belüli rendszerszintű események monitorozása azt szolgálja, hogy az esetleges anomáliák azonnal felderítésre kerüljenek és elinduljanak azok az automatikus folyamatok, amik natív Kubernetes kontrollok használatával azokat képesek megszüntetni. A normál működést jelentő processzek alapján létrejövő baseline biztosítja a whitelist (engedélyezett) processzek listájának automatikus meghatározását. Számos beépített policy támogatja a különféle rosszindulatú támadások kihasználhatóságának lezárását, legyen szó adathalászatról vagy éppen a privilégizált jogosultságok használatával kapcsolatos visszaélési kísérletekről. Végül rugalmas rendszer-szintű adatgyűjtést biztosít külső komponensek, mint eBPF ( external Berkeley Packet Finder) megoldás vagy kernel modulok számára.

RH_features

Integráció

Gazdag funkcionalitású API és kész pluginek állnak rendelkezésre a DevOps eszközökkel, mint CI/CD rendszerekkel, image szkennerekkel, image registry-kkel, konténer futtatókörnyezetekkel vagy SIEM eszközökkel történő integrálásra.