BIS-комментарий к статье Александра Бодрика «Нашествие маленьких контейнеров»
Отдельно хотелось заметить, что широкое распространение технологий контейнеризации также поднимает и различные смежные проблемы, и вызовы для ИБ.
Так, будучи программными продуктами, системы оркестрации и контейнеризации порой сами привносят проблемы, которые были присущи программному обеспечению прежде. Эти системы точно так же состоят из компонентов, которые могут быть уязвимы к различным проблемам безопасности. Точно так же в этих системах могут быть установлены небезопасные настройки - доступа, сетевых параметров, правил. И, безусловно, сам исходный код таких систем тоже может содержать уязвимости.
При этом стоит понимать, что компрометация систем контейнеризации и оркестрации в максимуме способна нанести даже больший урон организации, нежели атака на одну выделенную систему, выполняющую бизнес-задачу. Это происходит в том числе и потому, что, получая доступ к одной из подобных систем, злоумышленник имеет возможность получить доступ ко многим другим системам, которые управляются или разворачиваются в инфраструктуре организации.
К сожалению, этим сложности и вызовы, стоящие перед командами информационной безопасности, не заканчиваются. Ведь если посмотреть на уровень ниже, в контейнерах заключены всё те же приложения, которые и раньше выполняли бизнес-функции для организаций, и необходимость проведения анализа защищённости этих приложений никуда не пропала. Как и прежде, необходимо следить, чтобы программное окружение было построено на защищённой базе, чтобы все компоненты программного комплекса, заключённые в контейнер, были максимально последней версии и не содержали общеизвестных уязвимостей и, опять же, чтобы программный код самих приложений был написан безопасным образом.
Ввиду критической нехватки специалистов в области систем контейнеризации и оркестрации в данный момент также наблюдается и специфическая нехватка экспертизы по безопасности таких систем - как построить оптимальную систему оркестрации, как наилучшим образом обеспечить защиту компонентов этой системы, какие основные угрозы существуют как для систем контейнеризации, так и непосредственно для контейнеров, содержащих приложения. И, наконец, как максимально продуктивно наладить обоюдную коммуникацию по вопросам безопасности между командами разработки, командами, внедряющими реализованные решения, и командой инфраструктурной безопасности.
.png)