PCI Security Standards Council (PCI SSC) — организация, которая помогает разрабатывать, применять и улучшать стандарты безопасности для защиты платежных систем. Недавно PCI SSC опубликовала документ Guidance for Containers and Container Orchestration Tools («Руководство по контейнерам и инструментам оркестровки контейнеров»). В нем содержится список угроз, актуальных для технологий контейнеризации, которые используются в платежных системах. Также в документе приводятся «лучшие практики» устранения этих угроз.
Среди пользователей нашей Kubernetes-платформы Deckhouse есть банки, e-commerce- и финтех-компании, которые с особым вниманием относятся к вопросам ИБ. Поэтому мы решили проверить, насколько платформа соответствует рекомендациям регулятора, какие из возможных уязвимостей уже закрыты, а какие еще нет.
Скачать полную версию отчета можно на сайте Deckhouse. Главный вывод: платформа соответствует большинству рекомендаций PCI SSC. Она надежно защищена от угроз, актуальных для платежных систем, в которых используются контейнерные технологии. Ниже — подробнее о методологии.
Оценка соответствия критериям PCI SSC
Ключевой раздел руководства PCI SSC — 3.1. Угрозы и лучшие практики. Угрозы разделены по группам: аутентификация, авторизация, безопасность рабочих нагрузок, безопасность сети и так далее. Каждой из угроз соответствуют рекомендации по настройке связанных сервисов и компонентов системы контейнеризации. Также указаны области эксплуатации и разработки, на которые эти рекомендации ориентированы:
базовый уровень — общий случай применения инструментов оркестрации контейнеров;
разработка и тестирование контейнеризированных приложений;
управление сервисами, которые передают и обрабатывают данные учетных записей;
контейнеризация в пересекающихся областях (например, разработка + управление сервисами).
Мы проанализировали каждую из потенциальных уязвимостей, рекомендованные методы защиты — и сравнили их с тем, как это реализовано в Deckhouse. По итогам подготовили таблицу соответствия:
Для удобства каждая из угроз разделена по цветам:
зеленый — Deckhouse полностью соответствует лучшим практикам (69% от общего числа пунктов);
желтый — угроза закрывается по-другому, и у нас есть план, как реализовать лучшие практики (26%);
красный — уязвимость пока не закрыта, либо находится вне области контроля платформы — например, когда безопасность обеспечивается внутри ОС (5%).
О платформе Deckhouse
Deckhouse — разработка компании «Флант». Платформа с открытым исходным кодом для запуска Kubernetes-кластеров и и управления ими на любой инфраструктуре: публичные и приватные облака, bare-metal-серверы, гибридная среда. Deckhouse включает в себя upstream-версию Kubernetes и дополнительные модули для автомасштабирования, мониторинга, балансировки трафика, безопасного доступа, service mesh и других функций.
Платформа зарегистрирована в едином реестре российского ПО, сертифицирована для работы с «Ред ОС», Astra Linux и AlterOS.
Недавно Deckhouse прошла испытания на совместимость с российским решением для безопасности контейнеров Luntry.
P.S.
Читайте также в нашем блоге:
