Как мониторинг рантайма позволяет снижать риски при использовании контейнеров

Рост использования контейнеризации в ИТ-продуктах и сервисах сложно опровергнуть, как и гипотезу о важности защиты такой инфраструктуры. Обычно для подтверждения этого приходится опираться на зарубежную статистику, которая, впрочем, не всегда соответствуют отечественной специфике. Но недавно Positive Technologies совместно с "К2 Кибербезопасность" провела исследование "Настоящее и будущее российского рынка безопасной разработки и защиты контейнерных сред" [1], чтобы получить достоверное представление именно о российских реалиях.

Автор: Михаил Бессараб, руководитель продукта PT Container Security в Positive Technologies

Согласно исследованию, 65% опрошенных уже активно используют контейнеры для развертывания приложений, что даже выше оценки Red Hat в работе "The State of Kubernetes Security Report 2024 Edition". При этом более 80% опрошенных пользуются контейнеризацией год и более, то есть уже достаточно давно.

Почему выбирают контейнеры для доставки и запуска приложений?

В первую очередь, из-за автоматизации и шаблонизации инфраструктуры. Контейнеры позволяют ускорить выход продуктов на рынок и их доставку конечным пользователям, а в публичных и гибридных облаках – оптимизировать затраты с детализацией до конкретной бизнес-функции. Все это делает такие решения очень привлекательными для бизнеса, ИТ и разработки.

Во-вторых, компании в погоне за прибылью часто прибегают к использованию новых технологий, защиту которых выстроить сложно или невозможно, и службе ИБ приходится принимать связанные с этим риски. А для технологии контейнеризации существует набор функций и сервисов, позволяющих выстроить харденинг инфраструктуры и привести ее в соответствие стандартам, а также обеспечить мониторинг и реагирование на угрозы в реальном времени.

Риски и угрозы контейнеризации

Многие опубликованные аналитические материалы зачастую сосредоточены на угрозах, характерных исключительно для контейнерной инфраструктуры. В отличие от них, наше исследование опирается на риски, знакомые и понятные широкой аудитории специалистов по информационной безопасности.

Рис. Наиболее актуальные и опасные факторы риска

Мы видим, что респондентов волнуют DDoS-атаки (24%), утечки данных (15%) и уязвимости 0-day (9%). Такое распределение подтверждается статистикой и публичными кейсами. Например, в 2018 г. хакеры атаковали Tesla, запустив майнеры через публично доступные панели управления Kubernetes. В 2024 г. в XZ Utils был обнаружен бэкдор. А совсем недавно была обнародована информация об утечках данных из популярных ИИ-сервисов DeepSeek и Nvidia. И действительно, если заглянуть в известный поисковик открытых систем, то можно увидеть много доступных для исследования инфраструктурных сервисов на базе контейнеризации (конечно, учитывая некоторое количество honeypot, размещенных намеренно): 26488 публично открытых адресов – не рекорд, но достаточно много.

Однако мы выяснили, что лишь 8% опрошенных столкнулись с инцидентами, связанными с контейнерной безопасностью. И этому есть логичное объяснение. Согласно исследованию, лишь 35% опрошенных ранее использовали решения для защиты контейнеров. И даже это не гарантирует, что респонденты включали мониторинг атак на контейнеры в рантайме.

Классические средства защиты и атаки на контейнеры

Есть популярное на рынке мнение, что классические инструменты SOC не позволяют получить видимость контейнеров и обнаружить атаки. На самом деле это не совсем так, давайте разбираться.

По своей сути контейнеры являются изолированными процессами внутри операционной системы машины. Они видны для таких популярных инструментов мониторинга, как auditd и osquery, но дьявол, как всегда, кроется в деталях.

Сложность инфраструктуры

Контейнеры – основной инструмент реализации микросервисной архитектуры: части (сервисы) одного приложения могут быть распределены в инфраструктуре, а на одном узле в сети могут находиться десятки контейнеров разных приложений. Планирование их размещения зависит от доступных ресурсов и логики, заложенной в рамках DevOps. А это значит, что если раньше SOC и специалисты по Asset Management соотносили один сервис с узлом или фиксированной группой узлов, то теперь контейнер может находиться (а может, и нет) на произвольном узле из группы. Не стоит забывать, что контейнеризация вносит дополнительный уровень сложности – повышает риск атаки на инфраструктурные сервисы.

Масштаб инфраструктуры

Значительные изменения претерпел и масштаб инфраструктуры, в которой используется контейнеризация. Облако теперь – не просто арендованный сервер в чужом дата-центре, а целая платформа инфраструктурных сервисов для мониторинга, развертывания контейнеров, управления ими, а также для связи контейнеров с внутренней инфраструктурой. Это усложняет инвентаризацию и видимость процессов, запущенных в контейнерах. Вместе с тем возможность развертывания средств защиты часто зависит от договоренностей с провайдером, что может значительно расширить серую зону инфраструктуры.

Жизненный цикл контейнеров

Еще одним важным следствием использования контейнеров является изменение жизненного цикла ПО. Скорость релизов значительно возросла: контейнеры позволяют бизнесу быстро тестировать гипотезы и оказывать услуги пользователям. Как следствие, среднее время жизни контейнера обычно не превышает недели.

Харденинг и соответствие политикам безопасности

Первое, чему стоит уделить внимание при построении системы безопасности контейнеризации, – это харденинг. Существует множество рекомендаций как от некоммерческих организаций (Center of Information Security, Cloud Native Computing Foundation, Cloud Security Alliance), так и от вендоров и провайдеров (Docker, Google, Red Hat, VMware). И действительно, систему можно настроить так, чтобы решились почти все проблемы, перечисленные выше. Однако в таком случае, как правило, полезные для ИТ-специалистов и бизнеса функции контейнеров становятся недоступными, теряется экономический эффект их внедрения. Это почти наверняка приведет к конфликту интересов.

Решения по безопасности рантайма в помощь специалистам SOC

При внедрении практик безопасности необходимо найти компромисс между снижением уровня риска и негативным влиянием принятых мер. В последние пару лет активно развивается технология eBPF, которая позволяет выстроить мониторинг контейнерной инфраструктуры и повысить видимость контейнеров для SOC, специалистов по ИБ и ИТ. В чем же ее преимущества?

1. Управление потребляемыми ресурсами на единицу информации. Настроить сбор событий можно и для auditd и osquery, однако eBPF выводит мониторинг на новый уровень. Можно журналировать только нужные вызовы в ядре ОС с определенными аргументами. При этом потребление ресурсов (в отличие от того же auditd) значительно ниже, поскольку технология встроена в ядро ОС.
2. Безагентный мониторинг. При работе с SIEM-системами заявления о безагентном мониторинге, которые заключаются исключительно в степени интеграции агента в ОС, вызывают вопросы. Решение на базе eBPF является наиболее интегрированным вариантом, так как входит в состав ядра Linux и не зависит от дистрибутива. Технология позволяет реализовать мониторинг на базе универсального набора вызовов, используемых контейнерами в ядре.
3. Внедрение контекста контейнеризации в процессы SOC. Для того чтобы мониторинг с eBPF по-настоящему заработал в вашем SOC, все еще не хватает образ применяется, какие контейнеры, как запустили процесс, на каком узле, какие метки используются. Именно этот контекст мы и реализовали в продукте PT Container Security [2]. А чтобы выстроить управление рисками, добавили к мониторингу производительный движок правил для выявления аномалий с расширяемым набором экспертизы "из коробки". Система правил реагирования позволяет интегрироваться не только с SIEM по протоколу Syslog, но и с другими решениями, такими как IRP, SOAR-платформы, инструменты для Workflow Automation, мессенджеры (через механизм Webhook). Это позволяет видеть угрозы в контейнерах и оперативно на них реагировать.

Как внедрить мониторинг рантайма?

Переходим к заключительной части нашей статьи. Мы в Positive Technologies уверены, что ключевыми аспектами при защите рантайма контейнеров являются:

• Максимальное покрытие инфраструктуры мониторингом. Для этого мы реализовали в PT Container Security функцию мультикластерности и удобный пошаговый установщик, который позволит быстро сгенерировать скрипт установки системы и тиражировать его на все кластеры. Вы можете самостоятельно проверить, как все работает, а для этого, например, взять на бесплатное пилотирование PT Container Security. 
• Threat Hunting и поиск существующих угроз в сети. Согласно исследованиям Positive Technologies, перед активными действиями хакеры могут незаметно находиться в инфраструктуре до двух лет. Мы реализовали возможность гибкой фильтрации для удобного поиска событий в интерфейсе системы, а также добавили страницу с деревом событий, чтобы аналитик мог понять контекст и выявить атаку.
• Создание кастомизированной экспертизы. Например, мы включили в комплект поставки PT Container Security экспертизу в части мониторинга угроз по матрице MITRE ATT&CK для наиболее популярных сервисов и дали возможность управлять исключениями. Однако для покрытия собственных рисков часто нужна кастомизированная экспертиза, поэтому мы создали уникальный движок на базе технологии WebAssembly, подготовили SDK для ее разработки и набор примеров.
• Настройка глубины мониторинга. Важно проводить мониторинг не только самих контейнеров, но и инфраструктурных сервисов, отвечающих за управление ими. Для этого в PT Container Security мы реализовали возможность защиты контейнеров на управляющих (master) узлах, а также внедрили гибкую фильтрацию сбора событий, чтобы SOC получал только ту информацию, которая действительно полезна.

Каким мы видим развитие безопасности контейнеров

• Интерес к контейнерам и их защите будет только расти. Уже сейчас сообщество активно обсуждает практики в сфере защиты контейнеров, и мы будем активно участвовать в обмене экспертизой.
• Атаки будут становиться сложнее. Мы видим, что с каждым релизом в средствах контейнеризации появляется все больше встроенных инструментов защиты и параметров харденинга. Процент атак, в которых используются уязвимости в конфигурациях, снизится. Акцент сместится в сторону эксплуатации уязвимостей в инфраструктурном и прикладном ПО. Это сделает мониторинг рантайма еще более актуальным для подразделений ИБ.
• Ценность решений для безопасности будет смещаться в сторону быстрой поставки и адаптации экспертизы. Количество средств защиты и мониторинга контейнеров уже сейчас значительно. Однако в сообществе ИБ не хватает обмена экспертизой, и мы планируем это исправить. К общим рекомендациям также стоит отнести повышение уровня знаний специалистов по защите контейнеров, построение мониторинга рантайма и налаживание тесного взаимодействия между подразделениями ИТ (инфраструктурные инженеры, специалисты DevOps) и ИБ (SOC, Red Team) для повышения видимости контейнеров.

1. https://research.cybersecurity.k2.tech/containersecurity 
2. https://ptsecurity.com/ru-ru/products/cs/ 

Реклама: АО «Позитив Текнолоджиз». ИНН 7718668887. Erid: 2SDnjeQzq4Z