Technologie kontenerowe otwierają przed zespołami informatyków nowe możliwości. Pozwalają na tworzenie oprogramowania w sposób szybszy, bardziej spójny i wyjątkowo prosty. Zanim jednak da się odczuć korzyści płynące z ich wdrożenia, wymagają przygotowania skomplikowanej infrastruktury. Potrzebny jest klaster hostów dla środowiska runtime kontenerów, warstwa zarządzająca oraz, rzecz jasna, rozwiązania zabezpieczające na wszystkich obszarach.
W celu uproszczenia tej infrastruktury większość działów informatycznych korzysta z ofert dostawców usług przetwarzania w chmurze, takich jak AWS. Nowe rozwiązanie Amazon Elastic Container Service for Kubernetes (EKS), które uzupełnia możliwości usługi Amazon Elastic Container Service (ECS), eliminując ze stosu kontenerów nakłady operacyjne generowane przez oprogramowanie Kubernetes.
Rozwiązanie Trend Micro Deep Security od dawna chroni hosty Amazon ECS za pomocą mechanizmów zabezpieczeń wdrażanych w środowisku wykonawczym. W 2017 roku ochrona ta została rozszerzona na same kontenery dzięki platformie, która umożliwia stosowanie mechanizmów zapobiegania włamaniom (IPS) i ochrony przed malware w odniesieniu do poszczególnych kontenerów. W tym tygodniu wzbogaciliśmy nasz system ochrony kontenerów o rozwiązanie Deep Security Smart Check skanujące obrazy kontenerów.
Deep Security Smart Check, czyli przesunięcie w lewo
W fazie produkcyjnej ochrona kontenerów zajmuje ważne miejsce w systemie zabezpieczeń przedsiębiorstwa. Jak jednak wygląda kwestia bezpieczeństwa na wcześniejszych etapach procesu programowania? W jaki sposób zmniejszyć koszty i ograniczyć skutki ewentualnych problemów?
Oto odpowiedź na te pytania: zagrożenia trzeba zidentyfikować i zneutralizować na wcześniejszych etapach procesu programowania. Inaczej mówiąc, mechanizmy zabezpieczeń należy przesunąć w lewą stronę łańcucha CI/CD (ang. continuous integration and development). Jest to możliwe dzięki nowemu rozwiązaniu Deep Security Smart Check.
Deep Security Smart Check to nowy skaner obrazów przeznaczony dla kontenerów. Poprzez połączenie z rejestrami popularnych środowisk prywatnych i chmurowych, takich jak Amazon ECR, w trybie ciągłym skanuje obrazy pod kątem znanych podatności i szkodliwego oprogramowania.
Skaner Deep Security Smart Check został zaprojektowany z myślą o jego bezproblemowym włączeniu w łańcuch CI/CD, co umożliwi automatyzację podejmowania decyzji nie tylko na podstawie nieudanych integracji i testów jednostkowych, lecz również testów zabezpieczeń.
Automatyzacja kluczem do sukcesu
Szybkość procesu programowania zależy od stopnia jego automatyzacji. Wprowadzenie funkcji bezpieczeństwa na wcześniejszych etapach łańcucha CI/CD stwarza ryzyko spowolnienia działań na całej jego długości. Trzeba zrobić wszystko, aby tego uniknąć.
Deep Security Smart Check może przyspieszyć działania w łańcuchu CI/CD dzięki pełnemu interfejsowi API, który można wykorzystać, aby dodać skanowanie do procesu budowania kontenerów jako dodatkowy krok przed publikacją.
Jeśli kontener przejdzie kontrolę Smart Check z pozytywnym wynikiem, można go automatycznie zatwierdzić i promować w wybranym rejestrze. Jeśli zaś wynik kontroli będzie negatywny, można wysłać szczegółowe wyniki do używanego narzędzia wspomagającego współpracę, takiego jak Slack lub ServiceNow. Pozwoli to wyeliminować ręczne procesy związane z zabezpieczeniami oraz uprościć cykl życia kontenerów.
Jak to działa?
Przedstawiony poniżej prosty przykład pokazuje, jak można wbudować rozwiązanie zabezpieczające w łańcuch CI/CD:
- Kod zostaje zatwierdzony do GitHub, a Jenkins automatycznie tworzy niestandardowy kontener.
- Deep Security Smart Check skanuje kontener pod kątem szkodliwego oprogramowania i podatności.Funkcja Image Assertion skanera Smart Check podpisuje i promuje w wybranym rejestrze obrazy, które spełniają wymagania w zakresie bezpieczeństwa. Funkcja Image Assertion pozwala na zdefiniowanie własnej polityki na
- podstawie ryzyka związanego z konkretnymi profilami szkodliwego oprogramowania i podatności.Rozwiązanie Deep Security – uruchomione na hostach Amazon ECS – można zintegrować z oprogramowaniem Kubernetes za pomocą inicjalizatora. Umożliwia to przechwytywanie wdrożeń pod’ów
- oraz weryfikowanie i egzekwowanie reguł środowiska wykonawczego (runtime) dla Deep Security.Kontener zostaje wdrożony w procesie produkcyjnym, bez znanych podatności czy złośliwego oprog
- ramowania oraz objęty pełną ochroną w środowisku wykonawczym przez rozwiązanie Deep Security.
Ochrona całej oferty AWS
Trend Micro, który jest od dawna partnerem AWS (Advanced Technology Partner), wspiera wiele kluczowych premier usług i programów tej firmy. Amazon EKS nie jest tu wyjątkiem.
Jedna z najbardziej oczekiwanych usług, Amazon EKS, jest wdrożeniem oprogramowania Kubernetes na dużą skalę, które nie wymaga praktycznie żadnych działań ze strony użytkownika.
Ta w pełni zarządzana usługa wyposażona w funkcje wysokiej dostępności i nadmiarowości udostępnia klastry Kubernetes, które są bezpieczne, mają certyfikat zgodności ze standardem Kubernetes (Certified Kubernetes Conformant) i są kompatybilne z pozostałą częścią środowiska K8S.
Oferuje najprostszą drogę do uruchomienia środowiska K8S w chmurze AWS. Sam skaner Deep Security Smart Check jest oparty na kontenerze, a rozwiązanie Amazon EKS można wykorzystać do zarządzania tym skanerem jako klastrem EKS. Trend Micro zawsze stara się zapewnić swoim klientom jak najprostsze rozwiązania, które są dopasowane do ich procesów.
Dzięki połączeniu rozwiązań Amazon EKS i Amazon ECS można uzyskać podwójne korzyści i uprościć środowisko kontenerów. Ale w modelu opartym na podziale odpowiedzialności klient, nawet jeśli ma do dyspozycji te znakomite usługi, wciąż odpowiada jednak za bezpieczeństwo zawartości swoich kontenerów i danych oraz konfigurację usług.
Aby zwiększyć bezpieczeństwo swoich systemów, klient powinien stosować rozwiązanie AWS IAM oraz inne zabezpieczenia środowiska chmury AWS. Pozostawia to jednak lukę, którą wypełniają rozwiązania Trend Micro Deep Security i Deep Security Smart Check.
Jak zyskać więcej przy mniejszych nakładach?
Celem kontenerów jest uproszczenie i przyspieszenie procesów wdrażania aplikacji. Jeśli dla kontenerów zostaną zastosowane tradycyjne platformy zabezpieczeń, może to spowolnić działania w łańcuchu CI/CD i zmusić informatyków do pracy nad problemami, których można było uniknąć.
Nowoczesny zestaw narzędzi będzie bezproblemowo wspierać i usprawniać łańcuch CI/CD poprzez przesunięcie mechanizmów zabezpieczeń w jego lewą stronę. Zapewni również ochronę kontenerów działających w środowisku produkcyjnym.
Znakomitym przykładem takiego modelu jest nowy skaner obrazów Deep Security Smart Check w połączeniu z platformą Deep Security.
Ta kombinacja zabezpieczeń, zapewniająca pełną obsługę zarówno środowisk lokalnych, jak i hybrydowych, ochroni aplikacje kontenerowe niezależnie od miejsca ich wdrożenia.