Журнал "Директор по безопасности" Ноябрь 2020 | Page 20
Даже организации , которым не нужно соблюдать требования NIST 800-190 , должны рассматривать их в качестве полезной основы для повышения уровня безопасности организации . Их соблюдение с большой долей вероятности гарантирует что в организации будет поддерживаться высокая культура безопасной разработки
Использование безопасного соединения при загрузке или извлечении образов из реестра .
Мониторинг того , что контейнер всегда использует последнюю версию образа .
Сегментирование сетевого трафика , чтобы как минимум изолировать закрытые сети от общедоступных .
Использование Kubernetes для безопасного разворачивания и публикации рабочих и мастер-нод , а также ведения инвентаризации нод и их состояний подключения .
Контроль исходящего трафика от контейнеров ( Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition , Kubernetes ).
Обеспечение постоянного соблюдения стандартов конфигурации контейнера во время выполнения , например , стандартов CIS Docker , Kubernetes и т . п .
Использование средства управления безопасностью для обнаружения угроз и потенциальных вторжений на уровне контейнеров и инфраструктуры ( Aqua Cloud Native Security Platform и Prisma Cloud Compute Edition ).
Использование специфичной для контейнера ОС , прошедшей процедуру харденинга , для максимального уменьшения для злоумышленника поверхности потенциальной атаки .
Предотвращение несанкционированного вмешательства в файловую систему хоста , гарантируя , что контейнеры имеют как можно меньше разрешений для работы в соответствии с разрабатываемым приложением .
Даже организации , которым не нужно соблюдать требования NIST 800-190 , должны рассматривать их в качестве полезной основы для повышения уровня безопасности организации . Их соблюдение с большой долей вероятности гарантирует что в организации будет поддерживаться высокая культура безопасной разработки на всех этапах сборки , развертывания и выполнения , учитывая уникальные требования безопасности на каждом этапе .
Экспертиза группы компаний Angara в области защиты контейнеров и DevSecOps
Применение новых технологий приводит к росту векторов угроз безопасности . При этом классические ИБ-инструменты не закрывают регулярно появляющиеся типы угроз . Ускорение бизнес-процессов усугубляет ситуацию , и ИТ-ландшафт компаний становится все более уязвимым . Безопасность в разработке – ответ на возрастающие киберугрозы .
Предвосхищая потребности рынка , группа компаний Angara сформировала широкий спектр услуг : от дискретной защиты контейнеров до комплексного внедрения подхода DevSecOps . При обеспечении безопасной работы с такими технологиями , как контейнеризация , мы учитываем все особенности стека технологий и рекомендации российских и международных стандартов , в том числе рассмотренный нами NIST 800-190 . Также наши эксперты имеют в своем портфолио опыт крупных инсталляций уже упомянутого ПО Aqua Cloud Native Security Platform , Prisma Cloud Compute Edition , Trend Micro Deep Security SmartCheck , которые помогли нашим заказчикам упростить контроль безопасности контейнерной среды .
Наши эксперты готовы оказать услуги по следующим основным направлениям .
ЗАЩИТА КОНТЕЙНЕРИЗАЦИИ , В ТОМ ЧИСЛЕ С ПОМОЩЬЮ СПЕЦИАЛИЗИРОВАННОГО ПО , ОСУЩЕСТВЛЯЮЩЕГО :
Сканирование образов контейнеров в локальном реестре на наличие уязвимостей .
Сканирование контейнеров и хостов на уязвимости и вредоносный код .
Интеграция с инструментами оркестрации ( Kubernetes , OpenShift и др .) Интеграция с инструментами CI / CD . Анализ межконтейнерных сетевых взаимодействий .
Соответствие нормативным требованиям ИБ .
ЗАЩИТА ПРОЦЕССОВ РАЗРАБОТКИ , В ТОМ ЧИСЛЕ С ПОМОЩЬЮ СПЕЦИАЛИЗИРОВАННОГО ПО , ОСУЩЕСТВЛЯЮЩЕГО :
Аудит зрелости уровня безопасности разработки . OWASP SAMM ( Software Assurance Maturity Model ).
Инвентаризация инфраструктуры сред разработки . Защита контейнеризации . Технический аудит инфраструктуры . Проверка технологических платформ на соответствие рекомендаций CIS Benchmarks .
Комплексная защита вебприложений ( в том числе для микросервисной архитектуры ).
Формирование метрик ИБ на всем цикле DevOps . Список метрик для регулярного анализа уровня защищенности от новых векторов угроз .
Проведение статического и динамического анализа кода приложений .