Новая версия PT Container Security позволяет покрыть мониторингом всю инфраструктуру Kubernetes

Positive Technologies выпустила новую версию продукта для защиты контейнерных сред — PT Container Security 0.7. Главное в релизе — мультикластерность, поддержка защиты всех кластеров в инфраструктуре из единой точки управления.

Теперь PT Container Security позволяет развернуть все агенты защиты — мониторинга рантайма, сканирования образов, admission controller, сканирования конфигураций — в защищаемых кластерах по всей инфраструктуре клиентов. Это дает возможность централизовать контроль безопасности контейнеров, снизить время реагирования на инциденты безопасности в контейнерах и значительно повысить удобство расследования и пост-анализа инцидентов специалистами SOC и отделов ИТ-мониторинга.

Архитектура мультикластерности PT Container Security позволяет инженерам и аналитикам SOC:

• подключать в каждом дочернем кластере только необходимые сенсоры безопасности и таким образом экономить вычислительные ресурсы;
• использовать внешние менеджеры очередей, СУБД конфигураций и хранилища событий, что снижает потребление ресурсов и уменьшает затраты на сетевую инфраструктуру сбора и обработки больших потоков событий;
• использовать общий механизм аутентификации для всех кластеров, для контроля доступа к чувствительной информации, обрабатываемой в системе.
  

«Наш подход к организации процесса обработки данных от сенсоров и микросервисная архитектура позволяют построить оптимальную инфраструктуру безопасности мультикластерных сред контейнеризации, в которой пользователь получит лучшее соотношение потребляемых ресурсов к величине обрабатываемого потока событий безопасности», — отметил Михаил Бессараб, руководитель продукта PT Container Security.

В рамках версии 0.7 PT Container Security получил ряд новых функций.

• Появились новые возможности, облегчающие для аналитиков SOC расследование инцидентов в рантайме. Добавлена отдельная страница события рантайма, на которой отображается вся информация о родителе и братьях процесса.
• Реализована функциональность передачи в нотификации ссылки на событие, зарегистрированное сенсорами, для оперативного уведомления команд реагирования.
• Оптимизирован движок поиска аномалий, что повысило производительность обработки больших потоков событий: в случае ошибки в одном из правил пайплайн выявления угрозы не останавливается, а продолжается для всех остальных правил.

Кроме того, для удобства инженеров развертывания в новом релизе появился графический пошаговый установщик, который позволяет удобно сконфигурировать скрипт установки PT Container Security для подключения дополнительных кластеров за считаные минуты.