Как бизнесы выигрывают от безопасной контейнеризации

Три из четырех организаций в мире используют гибридные облака, и три четверти из них называют свои проекты по миграции и обновлению ИТ успешными. Но что такое успех и как успешный ИТ-проект влияет на бизнес и возможности компании? Этим вопросом задались авторы исследования «Модернизация корпоративных приложений» и обобщили доступную информацию о том, как переход к облачной и контейнерной инфраструктуре повлиял на деятельность компаний, совершивших эту трансформацию.

Экономические аргументы в пользу перехода получились весомые. В изученных организациях в среднем на 31% снизились операционные расходы на ИТ, а инфраструктурные затраты — на 45%, в том числе затраты на рутинное обслуживание уменьшаются на 52%. Что более важно — впервые за многие годы бизнесы смогли разгрузить свои ИТ-команды от задач по техподдержке старого кода в пользу новых разработок. В крупных организациях ИТ-службы тратят до 80% бюджета на поддержку legacy, и переход на современную разработку не только ее ускоряет, но и высвобождает дополнительные кадры для инноваций. Циклы обновлений ПО ускоряются в итоге на 65%, обеспечивая быструю реакцию на рыночные изменения и лучшее удовлетворение нужд пользователей.

«Тремя китами» эффективности, которые отвечают за все эти радикальные улучшения, авторы называют переход на контейнерные и микросервисные архитектуры в облачной среде, а также автоматизированные сборочные конвейеры.

Часть исследования посвящена вопросам информационной безопасности. Благодаря этому можно увидеть, какой вклад вносят различные инструменты ИБ в повышение эффективности ИТ-разработки и к каким показателям стоит стремиться в своей организации. Мы решили проанализировать основные принципы и инструменты и объяснить, как они реализованы в обновленной версии Kaspersky Cloud Workload Security.

Автоматическое применение и отслеживание политик ИБ

Ключевым вызовом для ИТ и ИБ является сохранение видимости и контроля над всеми ИТ-активами, и эта задача усложнилась с переходом на гибридные облачные инфраструктуры. Разнообразие активов и инструментов управления ими оборачивается для компании ростом расходов и затрат времени на менеджмент этого «зоопарка». Поэтому унификация управления, контроля соответствия (Compliance), создания и применения политик должна быть одной из приоритетных целей в проектах ИТ-трансформации. Если выбранный набор инструментов ИБ способен решать эту задачу в облачной инфраструктуре компании, службы ИТ и ИБ сэкономят 73% времени, затрачиваемого на менеджмент политик и достижение Security Compliance.

Практическое воплощение этого принципа можно увидеть в новой версии Kaspersky Cloud Workload Security, решения, обеспечивающего комплексную защиту контейнерных инфраструктур, облачных серверов и виртуальных машин. Сразу несколько инструментов упрощают работу с политиками и дают администраторам централизованный обзор и управление всей инфраструктурой.

Функция анализа безопасности оркестратора и его кластеров помогает быстро находить проблемы, структурируя их по типам проблем. Автоматическое профилирование контейнеров позволяет с минимальным участием людей улучшать политики безопасности, применяемые в инфраструктуре, а также находить аномально работающие контейнеры для детального анализа.

Унифицированная облачная консоль Kaspersky Security для виртуальных и облачных сред дает общий обзор облачной или гибридной инфраструктуры и позволяет мгновенно обновлять политики для больших групп ИТ-активов или одновременно запускать на них задачи.

Что касается виртуальных и физических серверов, то легкий агент, осуществляющий их защиту, выполняет несколько функций, связанных с Compliance и Security Posture, в автоматическом режиме: от автоматического патч-менеджмента и харденинга системы до детального протоколирования событий и применения ролевой системы управления доступом (RBAC).

Сканирование контейнеров в конвейере DevSecOps

Интеграция автоматизированных проверок ИБ на всех этапах разработки и эксплуатации ИТ-продукта — ключ к значительному повышению уровня безопасности при одновременном снижении загрузки ИТ- и ИБ-команд и повышении всех метрик «здоровья» ИТ-системы. Компании, внедрившие комплексный подход к безопасности контейнеров, сообщают об уменьшении числа инцидентов ИБ на 79% и устранении 94% известных уязвимостей на этапах перед выпуском (Deployment) ИТ-системы. В результате достижимо снижение риска инцидентов в эксплуатируемой системе на 89%, риск отказа на этапе развертывания снижается на 68%, а единообразие конфигурации однотипных контейнеров достигает 99,97%. Единообразие обусловлено тем, что сканирование контейнеров — это не только проверка на уязвимости компонентов и вредоносное ПО, но и обнаружение небезопасных конфигураций, а также типичных ошибок разработчиков, таких как внедренные прямо в код API-ключи и другие секреты. В Kaspersky Cloud Workload Security также имплементирована интеграция с HashiCorp Vault, позволяющая надежно хранить секреты решения в этом менеджере секретов. В Kaspersky Cloud Workload Security поддерживается контроль подписи образов контейнеров и интеграция всех проверок прямо в DevOps-пайплайн, что помогает разработчикам изначально отклонять и не брать за основу вредоносные и уязвимые образы, а также прерывать сборку продукта при обнаружении критических дефектов безопасности. В целом KCWS помогает команде разработки реализовывать подход Shift-Left, в котором тестирования и проверки качества производятся на ранних этапах разработки, в том числе верифицируются API, конфигурации контейнеров и взаимодействия микросервисов. Все это позволяет раньше находить и устранять ошибки, удешевляя сопровождение и тестирование готового продукта.

Эффективный мониторинг запущенных процессов

Несмотря на многочисленные предварительные проверки образов, среды исполнения и прочих компонентов инфраструктуры, критическим компонентом безопасности остается отслеживание запущенных контейнеров, виртуальных серверов, а также вычислительной среды, в которой это все происходит. По оценкам авторов исследования, эти меры позволяют обнаруживать 87% угроз в первые полминуты после их появления и предотвратить 96% попыток неавторизованного доступа.

Мониторинг оборачивается значительными расходами: дополнительной вычислительной нагрузкой на облачные сервисы, помноженной на число серверов и кластеров, а также человеко-часами работы SOC. Поэтому вычислительная и экономическая эффективность является критически важным требованием и к самой инфраструктуре контейнеризации, и к ее системе защиты.

Этот аспект детально продуман в Kaspersky Cloud Workload Security. Для виртуальных и физических серверов технология Light Agent экономит до 30% вычислительных ресурсов в частном облаке, а в контейнерной инфраструктуре агенты безопасности запускаются в отдельных контейнерах, чтобы не приводить к деградации производительности для всего кластера. Система обладает прекрасной масштабируемостью и может защищать кластеры с десятью тысячами узлов.

Экономия начинается уже с установки продукта — от гибких условий лицензирования, адаптированных к конкретной инфраструктуре, до эффективных настроек безопасности и правил «из коробки», значительно уменьшающих время начальной настройки защиты.

Оперативное реагирование на инциденты

Как подготовиться к ситуации, когда злоумышленник все же успешно проник в систему? На этот случай у ИБ-команды должны быть плейбуки по реагированию на инциденты, а системы ИБ должны предоставлять нужный инструментарий. В ИТ-инфраструктуре, снабженной комплексной системой облачной безопасности, время реагирования (MTTR), по данным исследования, снижается на впечатляющие 71%. В случае с быстротекущими атаками ransomware это может буквально разделять два мира: дежурный ИБ-инцидент или полномасштабный паралич всего бизнеса на несколько дней или недель.

Для упрощения реагирования в новой версии Kaspersky Cloud Workload Security появилась функция Container Forensic, позволяющая расследовать нарушения политик и глубже анализировать как конкретные нарушающие события, так и события, происходившие в близком временном промежутке. Журналы событий в запущенном контейнере содержат дополнительные поля, часто нужные при расследовании инцидента. Защита и протоколирование ведутся также на узлах оркестратора. Кроме того, журналы событий теперь могут отправляться напрямую с агентов в SIEM-системы. Комплексное журналирование упрощает обнаружение источника атаки, помогает сопоставлять события, которые являются ее развитием, обнаруживать уязвимости и другие риски.

Переход на контейнерные и облачные инфраструктуры обычно начинается с экономической необходимости и требований конкурентного рынка. Но чтобы успешно совершить переход и получить обещанные преимущества, важно не перечеркнуть их созданием новых высоких киберрисков или внедрением подхода к ИБ, который будет неэффективен экономически. Избежать этих негативных сценариев можно, внедрив комплексную и хорошо масштабируемую систему облачной безопасности, например Kaspersky Cloud Workload Security.