Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный. Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности. Превентивный подход подразумевает обнаружение и минимизацию возможных угроз.
Для выстраивания комплексной системы безопасности следует внедрять оба подхода. Но ресурсов собственного штата ИБ-специалистов не всегда хватает. Чтобы решить кадровую проблему и повысить безопасность, компания может обратиться к облачному провайдеру, который обеспечивает безопасность с помощью портфеля готовых сервисов.
Так у МТС есть собственный Security Operation Center для комплексной защиты всех ресурсов клиентов от киберугроз при помощи мониторинга и реагирования 24/7 на инциденты ИБ. Изначально SOC защищал исключительно инфраструктуру МТС и дочерних предприятий, но со временем ИБ-услуги стали доступны всем клиентам.
В другом сценарии (который, впрочем, легко реализовать не вместо облачных сервисов, а вместе с ними) специалисты по кибербезу действуют своими силами и используют открытые технологии. Сегодня мы остановимся на знакомстве с некоторыми интересными open source (Apache License 2.0) инструментами для ИБ-аудита, превентивной защиты и организации безопасных инфраструктурных решений.
Trivy
Этот инструмент выявляет уязвимости в образах контейнеров и конфигурационных файлах Docker, Kubernetes и Terraform. При этом утилита поддерживает разные форматы: Buildah, Podman, img, Kaniko. Отчеты по сканированию содержат не только описания потенциальных слабых мест и уровней критичности, но и рекомендуемые обновления. Результаты доступны в ряде поддерживаемых форматов: XML, SARIF, HTML и JSON.
Также Trivy Operator может автоматизировать сканирование кластера, например, запускать проверку безопасности при добавлении пода.
Инструмент вышел в 2019 году и за четыре года получил 19 тыс. звезд на GitHub. Это — максимум положительных оценок, если сравнивать с другими участниками подборки. Trivy хвалят за простоту интеграции в CI/CD-пайплайн и настройку автоматических функций.
Kube-bench
С помощью этого инструмента можно провести аудит безопасности К8-кластеров на соответствие рекомендациям международного Центра интернет-безопасности CIS Kubernetes Benchmark. Это — многоуровневый гайд для быстрого исправления проблем и общего совершенствования информационной безопасности. Также Центр выпускает рекомендации и для других решений, например, есть CIS Docker Benchmark.
Kube-bench проверяет конфигурацию кластера и его компонентов, а также права доступа к ним, учетные записи, открытые порты, сетевые настройки. Инструмент определяет версию Kubernetes, чтобы подтянуть соответствующий CIS Benchmark. Также Kube-bench распознает компоненты, запущенные на ноде, чтобы подобрать для них тесты.
После сканирования инструмент генерирует отчет с результатами. Рядом с каждой проверкой, вне зависимости от ее статуса, в отчете можно найти базовые рекомендации по устранению той или иной выявленной уязвимости.
Утилиту разработали на Go и опубликовали на GitHub в 2017-м. С тех пор решение заработало более 6,2 тыс. звезд. В ИТ-сообществе отмечают удобство Kube-bench с точки зрения пользовательского опыта и продуманной работы с решением с помощью CLI.
Docker Bench for Security
Утилита проверяет конфигурацию хоста по списку уязвимостей также из CIS Benchmark. По умолчанию Docker Bench запускает аудит по всем пунктам бенчмарка. Однако можно задать более точечные команды, например, на сканирование исключительно образов.
По результатам можно получить список найденных уязвимостей, плюс — общие рекомендации по корректировке конфигурации. Недостаток в том, что в отчете не будет ссылок на развернутые рекомендации по устранению той или иной уязвимости. В то же время после проверки можно увидеть общую оценку в баллах, что позволяет отслеживать прогресс в плане постепенной корректировки конфигураций и повышения безопасности.
Инструмент увидел свет в 2017 году и к настоящему моменту набрал 8,6 тыс. звезд. Специалисты выделяют Docker Bench for Security за то, что его можно легко внедрить в CI/CD-пайплайн и по большей части автоматизировать задачи по ИБ-аудиту.
Kube-hunter
Решение написали на Python и опубликовали в 2019-м году. На данный момент 4,5 тыс. пользователей GitHub отметили его звездой. С помощью Kube-hunter можно сканировать сетевые интерфейсы, подсети и прочее. Также Kube-hunter позволяет моделировать атаки на кластер (Active Hunting) — сканирует его и имитирует вредоносные действия.
Отчет по результатам проверок представлен в виде таблицы. Ее недостаток — не самый удобный формат отсылки к возможным корректировкам: информация о выявленных уязвимостях есть в базе разработчика, но в отчете развернутых пояснений нет.
Kubescape
Это более комплексное решение по сравнению с Kube-bench и Kube-hunter. Инструмент анализирует риски и выявляет ошибки конфигурации в кластере, YAML-файлах и Helm-чартах. Kubescape оценивает безопасность инфраструктуры сразу по трем ИБ-фреймворкам: NSA-CISA, MITRE ATT&CK и CIS Benchmark. Также можно запускать проверки не только по конкретному фреймворку, но и по определенным уязвимостям.
Для ознакомления с обнаруженными проблемами в отчетах содержатся ссылки на определенные разделы сводной базы уязвимостей и рекомендации по корректировкам. С момента релиза в 2021 году Kubescape набрал 9 тыс. звезд на GitHub.
Кстати, компания-разработчик решения в этом году передала его под управление CNCF (Cloud Native Computing Foundation) и одновременно с этим запустила собственную коммерческую платформу на базе Kubescape.
Open-appsec
Решение обеспечивает превентивную защиту приложений и API с помощью возможностей машинного обучения — анализа характера поступления запросов и их содержания. Open-appsec учитывает спектр параметров (user agent, индикаторы атаки (IoA) и прочие) в ходе обучения в среде развертки (формат unsupervised learning) и сканирования.
Бета-версия решения вышла в 2022 году. Сейчас команда open-appsec работает над расширением числа интеграций — например, решение служит дополнением для API-шлюза Kong Gateway (открытый cloud-native инструмент, о котором мы рассказывали в этой статье).
APIClarity
Инструмент позволяет выявлять риски, связанные с безопасностью API. Для этого — отслеживает API-трафик и проверяет подход к его обработке на соответствие спецификации (может автоматически распознать ее при использовании OpenAPI). Также предоставляет специализированные модули для анализа запросов, BOLA (Broken Object Level Authorizations) и BFLA (Broken Function Level Authorization) проверок.
На GitHub проект опубликовали в 2021-м году. Специалисты видят ценность этого cloud-native решения в его гибкости и интеграциях, например, со шлюзом Kong API Gateway, который мы отметили чуть выше.
Открытое и проприетарное
В подборке представлены открытые инструменты, на основе некоторых компании-разработчики построили свои платные решения: например, на базе Kong API Gateway и Kubescape. Это обычная история, когда инструмент стараются удержать в категории open source и параллельно с этим занимаются его коммерциализацией, что не отменяет ценности и доступности оригинальных и открытых для сообщества разработок.
Хотя использование открытых технологий обычно не влечет за собой прямых затрат, за разработку и обеспечение безопасности работающего решения приходится платить. Требуется постоянная поддержка и настройка под конкретные задачи.
Чтобы поддерживать общий высокий уровень защищенности, в том числе приложений и сервисов, построенных на базе open source разработок, мы предлагаем возможности нашей облачной платформы:
Подход с использованием open source инструментов обеспечивает прозрачность и минимизацию встроенных закладок, однако эффективное использование таких решений требует участия компетентных команд. Популярные проекты с открытым исходным кодом часто имеют большую кодовую базу, что затрудняет их поддержку на протяжении всего жизненного цикла.