Сегодня мы поговорим о Project Narrows - новом решении, предназначенном для динамического сканирования безопасности контейнеров.
Сейчас многие пользователи Kubernetes применяют решение Harbor для хранения, сканирования и подписания контента для распространения Cloud Native приложений в рамках полной цепочки развертывания. Project Narrows представляет собой дополнение к Harbor, которое позволяет получить доступ к состоянию безопасности кластеров Kubernetes в реальном времени.
Образы, которые ранее не проверялись, теперь будут сканироваться на уязвимости не только в процессе добавления в кластер, то есть теперь можно будет своевременно обнаружить бреши в безопасности, пометить их и поместить рабочие нагрузки на карантин.
Администраторы кластеров сейчас используют Harbor для статического анализа уязвимости в образах, используя различные утилиты, такие как Trivy, Claiк и ArkSec. Эти утилиты позволяют сканировать образы только после выполненного действия, такого как обновление образа или добавление рабочей нагрузки в кластер. Однако угрозы безопасности могут возникнуть и во время исполнения рабочих нагрузок.
Project Narrows добавляет динамическое сканирование образов, что позволяет получить большую защищенность и контроль над исполнением рабочих нагрузок, чем при использовании традиционных средств.
Это даст следующие преимущества:
Немедленное оповещение об уязвимости во время исполнения рабочей нагрузки
Предотвращение атаки в процессе работы приложений
Ограничение эксплоитов в работающем приложении без необходимости уничтожать контейнер
Находить эксплоиты в более сложных приложениях и сервисах
Идентифицировать сложные, состоящие из нескольких шагов атаки
Суть сложных атак заключается в том, что они используют уязвимости в ПО различных вендоров, которые не обнаруживаются на уровне хранения образов, но во время работы приложений они активируются и могут быть использованы злоумышленниками.
Архитектура Project Narrows позволяет интегрироваться с Harbor как плагин (выделенный квадрат на рисунке) для кластеров Kubernetes, которым необходимо динамическое сканирование. Используя простой UI и интерфейс CLI, администратор может выполнять следующие действия:
Просматривать в реальном времени статус защищенности рабочих нагрузок
Создавать политики для сканирования, включая найденные ошибки в приложениях
Делать ревью базовых уровней политик и, при необходимости, предотвращать развертывание рабочих нагрузок из уязвимых образов
Настраивать политику карантина для незащищенных рабочих нагрузок
Просматривать, фильтровать и удалять отчеты о политиках
Генерировать отчеты о состоянии систем при каждом сканировании
Просматривать информацию о помеченных узлах с потенциальными рисками
RSS
