Другие улучшения — расширенный аудит кластера плоскости управления и обнаружение ошибок в настройках GitHub Actions для защиты от атак на цепочки поставок
«Лаборатория Касперского» обновила решение для защиты контейнерных сред Kaspersky Container Security (KCS). Теперь у пользователей есть возможность создавать собственные политики безопасности, а также экспортировать полную системную конфигурацию. Среди других улучшений — расширенный аудит кластера плоскости управления, а также обнаружение ошибок в настройках GitHub Actions для защиты от атак на цепочки поставок. Обновлённый продукт помогает организациям упростить процесс разработки и соблюдения регуляторных требований, обеспечивая безопасность инфраструктуры от сложных киберугроз.
Пользовательские настройки безопасности. У многих компаний есть собственные внутренние правила безопасности, которым они зачастую доверяют больше, чем стандартным. Теперь в Kaspersky Container Security можно создавать пользовательские политики для защиты образов, динамического контроля доступа (DAC) и определения критериев безопасности. Это позволит снизить нагрузку на ИБ-команды, ускорить интеграцию инфраструктуры и повысить общий уровень защищённости. Кроме того, организации смогут быстрее адаптироваться к изменениям в законодательстве и новым требованиям регуляторов.
Импорт и экспорт системной конфигурации. Теперь пользователи могут экспортировать полную конфигурацию системы (включая политики, группы агентов, профили и другие настройки) для резервного копирования или замены на другие экземпляры продукта. Экспортируемый файл можно сгенерировать в зашифрованном виде или в открытом формате, доступном для ручного редактирования. Эта функция будет особенно удобна для крупных компаний со сложной географически распределённой структурой. Например, если дочерняя компания использует собственную ИТ-инфраструктуру, файл конфигурации можно экспортировать из центрального офиса и импортировать локально «дочкой». Это упрощает резервное копирование, а также передачу настроек и политик при масштабном развёртывании для ИБ-команд.
Расширенный мониторинг и поиск ошибок конфигурации в GitHub Actions. Агенты безопасности теперь поддерживаются на главных узлах (мастер-ноды), что позволяет проводить расширенный аудит плоскости управления. Это даёт возможность выявлять уязвимые конфигурации и потенциальные угрозы на критически важном уровне оркестрации кластера, обеспечивая централизованное управление безопасностью всей инфраструктуры через единую консоль.
Чтобы снизить риски, связанные с цепочками поставок, в KCS также появились специальные правила для обнаружения ошибок конфигурации в GitHub Actions — например, это может быть небезопасный запуск рабочих процессов, некорректная обработка ненадёжных входных данных и небезопасные политики версионирования. Злоумышленники могут воспользоваться этим, чтобы нарушить автоматизированные рабочие процессы, внедрить вредоносный код в производственные сборки или скомпрометировать ключи инфраструктуры. ИБ-специалисты смогут обнаруживать и устранять подобные риски во время сканирования репозиториев GitHub — через встраивание сканера KCS в рабочие процессы CI/CD или в автономном режиме.
Среди других улучшений:
· Производительность узлов-агентов улучшена в 2,5 раза. Это позволит обрабатывать сотни правил без влияния на потребление ресурсов центрального процессора и памяти пода.
· Скорость динамического контроля доступа (DAC) увеличена в 10 раз. В kube-agent также добавлена функция кэширования результатов сканирования. Это устраняет необходимость делать дополнительные обращения к ядру продукта и ускоряет запросы DAC.
· Контроль доступа к результатам сканирования CI. Теперь пользователи могут настраивать его в соответствии с логикой видимости и изоляции проектов в своей организации.
· Просмотр SBOM (спецификация программного обеспечения) в деталях анализа образов. Отсканированные образы контейнеров теперь можно экспортировать как SBOM. Это упрощает интеграцию с инструментами управления уязвимостями и реестрами, обеспечивая полную отслеживаемость цепочки поставок программного обеспечения.
· Динамические обновления агентов без повторного развёртывания. Мгновенные изменения конфигурации групп помогают избежать повторного развёртывания подов узлов-агентов и простоев, что упрощает управление масштабной инфраструктурой. Это позволяет оптимизировать ресурсы в режиме реального времени во время пиковых нагрузок, снижая риски сбоев в производстве.
«Безопасность контейнеров должна быть таким же быстрым и гибким процессом, как и сама контейнеризация. Новые функции Kaspersky Container Security были разработаны с учётом потребностей современного DevSecOps. Например, сканирование GitHub Actions позволяет выявлять уязвимости непосредственно в коде конфигурации — и оперативно устранять ошибки, чтобы предотвратить экономический ущерб и срыв сроков. Обновление поможет организациям найти компромисс между быстрым развёртыванием и строгим соблюдением требований регуляторов, защищая инфраструктуру от возникающих киберугроз без дополнительных операционных затрат», — комментирует Антон Русаков-Руденко, старший менеджер по маркетингу Kaspersky Container Security.
Узнать больше о возможностях Kaspersky Container Security можно на странице продукта.
