6 крупных проектов по обеспечению безопасности контейнеров Kubernetes на AWS re: Invent 2021

6 крупных проектов по обеспечению безопасности контейнеров Kubernetes на AWS re: Invent 2021

Источник · Перевод автора

Amazon Web Services (AWS) и его партнеры по кибербезопасности сделали основной упор на безопасности контейнеров Kubernetes в своих продуктах, представленных на этой неделе на конференции re: Invent 2021.

Объявления включали расширение инструментов безопасности AWS для охвата контейнеров, новую торговую площадку AWS для контейнерных приложений, которая предлагает преимущества безопасности, а также предварительную версию средств защиты рабочих нагрузок контейнеров для Amazon Elastic Kubernetes Service (EKS).

«По мере роста популярности контейнеров возрастает потребность в простой в управлении и масштабируемой безопасности контейнеров», – сказал во время re: Invent директор по информационной безопасности AWS Стивен Шмидт.

AWS «услышал это сообщение», сказал он, и поставщик облачных услуг «сейчас разрабатывает наборы функций, предназначенные для контейнерных сред».

Всплеск контейнеров

Опрос, проведенный Cloud Native Computing Foundation, показал, что использование контейнеров в производстве выросло на 300% с 2016 года, при этом 92% организаций использовали контейнеры в производстве в 2020 году. Это сделало контейнеры заманчивой целью для кибер-злоумышленников: недавнее исследование Aqua Security обнаружила, что 50% новых неправильно настроенных экземпляров Docker подвергаются атакам ботнетов в течение 56 минут после установки.

На re: Invent Шмидт сказал, что с учетом роста использования контейнеров и угроз, связанных с ними, явно существует «потребность в каких-то новых инструментах безопасности, относящихся к этому конкретному пространству».

«AWS очень приветствует то, что сосредоточение внимания на расширении возможностей безопасности для контейнерных технологий, используемых с AWS, а именно на доминирующей в настоящее время платформе оркестровки контейнеров Kubernetes», – сказал Джордж Бернс, старший консультант по облачным операциям в SPR, партнера AWS Advanced Consulting.

В то время как защита традиционных приложений следует «очень устоявшимся процессам, защита контейнеров – нет», – сказал Бернс VentureBeat. «Таким образом, многие инновации, которые мы увидим в течение следующих нескольких циклов, будут касаться безопасности контейнеров».

Ниже приведены шесть запусков системы безопасности контейнеров Kubernetes от Amazon Web Services и партнеров на re: Invent 2021.

Обнаружение угроз для контейнерных рабочих нагрузок

AWS заявила, что планирует запустить новые возможности обнаружения угроз для контейнерных рабочих нагрузок в первом квартале 2022 года. Шмидт сказал, что компания обычно не объявляет заранее о функциях, которые все еще находятся в стадии разработки. Но, учитывая растущее значение безопасности контейнеров, облачный гигант делает исключение, раскрывая свои новые функции обнаружения контейнерных угроз, сказал он.

По его словам, первые новые функции обнаружения угроз в контейнерах, которые появятся в первом квартале 2022 года, будут включать расширение службы обнаружения угроз Amazon GuardDuty на журналы аудита Amazon Elastic Kubernetes Service (EKS).

«Это предоставит клиентам интеллектуальное обнаружение угроз для их контейнерных рабочих нагрузок – сканирование на предмет необычных развертываний ресурсов [и] таких вещей, как злонамеренные изменения конфигурации или попытки повышения привилегий», – сказал Шмидт.

По его словам, компания ожидает, что ее Amazon Inspector для Amazon Elastic Container Registry (ECR) рассмотрит соответствующие вопросы. AWS также планирует расширение сервиса Amazon Detective, который, по его словам, «в ближайшем будущем внесет свой исследовательский анализ в контейнерное пространство».

Управление уязвимостями для рабочих нагрузок контейнеров

На re: Invent AWS сообщила о расширении своей службы управления уязвимостями Amazon Inspector для включения контейнерных рабочих нагрузок. Amazon Inspector теперь может оценивать рабочие нагрузки контейнеров на основе ECR в дополнение к рабочим нагрузкам Elastic Compute Cloud (EC2), сообщает AWS.

Кроме того, по словам компании, оценочное сканирование с помощью Amazon Inspector теперь является непрерывным и автоматизированным, заменяя ручное сканирование, которое выполняется только периодически.

Использование обновленного Amazon Inspector обеспечит автоматическое обнаружение и начнет непрерывную оценку клиентских рабочих нагрузок контейнеров на основе ECR и рабочих нагрузок EC2, в конечном итоге оценивая состояние безопасности клиента «даже при изменении базовых ресурсов», – написала AWS в своем блоге.

Защита контейнеров из публичных реестров

Чтобы помочь командам разработчиков защитить контейнеры, полученные из общедоступных реестров, AWS объявила о поддержке репозитория сквозного кеширования в Amazon Elastic Container Registry.

Поддержка «предложит разработчикам улучшенную производительность, безопасность и доступность Amazon Elastic Container Registry для образов контейнеров, которые они получают из общедоступных реестров», – говорится в блоге AWS.

«Изображения в репозиториях сквозного кэша автоматически синхронизируются с вышестоящими общедоступными реестрами, что исключает ручную работу по извлечению изображений и периодическому обновлению», – говорится в блоге. «Репозитории сквозного кеширования предоставляют преимущества встроенных возможностей безопасности в Amazon Elastic Container Registry, таких как AWS PrivateLink, позволяющих сохранить конфиденциальность всего сетевого трафика, сканирование изображений для обнаружения уязвимостей, шифрование с помощью AWS Key Management Service (KMS). ) ключей, межрегиональной репликации и политик жизненного цикла».

AWS Marketplace для контейнеров в любом месте

AWS запустила новую торговую площадку re: Invent 2021, AWS Marketplace для Containers Anywhere, которая позволяет клиентам находить сторонние контейнерные приложения, которые проверяются и сканируются на наличие проблем с безопасностью. Затем эти приложения можно развернуть в Amazon Elastic Container Service (Amazon ECS) и Amazon Elastic Kubernetes Service (Amazon EKS).

«Многие клиенты, которые запускают приложения Kubernetes на AWS, хотят развернуть их локально из-за ограничений, таких как требования к задержке и управлению данными. Кроме того, после развертывания приложения Kubernetes им потребуются дополнительные инструменты для управления приложением посредством отслеживания лицензий, выставления счетов и обновлений», – написала AWS в своем блоге.

AWS Marketplace для Containers Anywhere позволяет клиентам развертывать сторонние приложения Kubernetes «в любом кластере Kubernetes в любой среде», – заявили в компании. «Эта возможность делает AWS Marketplace более полезным для клиентов, выполняющих контейнерные рабочие нагрузки».

По заявлению AWS, клиенты могут развертывать сторонние приложения Kubernetes в локальных средах через Amazon EKS Anywhere или в любом управляемом клиентом кластере Kubernetes, расположенном локально, или в Amazon EC2. В конечном итоге это позволяет клиентам «использовать единый каталог для поиска образов контейнеров независимо от того, где они в конечном итоге планируют развернуть», – заявили в компании.

«Безопасность – одно из главных преимуществ AWS Marketplace for Containers Anywhere», – сказал Гаурав Риши, вице-президент по продуктам Kasten by Veeam, поставщика защиты данных Kubernetes, принимающего участие в новом рынке. Все приложения, представленные на торговой площадке, сканируются на предмет Common Vulnerabilities and Exposures (CVE), что обеспечивает «повышенную безопасность» для клиентов, сказал Риши в электронном письме VentureBeat.

Безопасные решения на торговой площадке Containers Anywhere

Многие из первоначальных партнеров-поставщиков, запускающих приложения в AWS Marketplace для Containers Anywhere, рекламировали дополнительные встроенные возможности безопасности своих приложений:

  • HAProxy Technologies: Enterprise Ingress Controller, программный балансировщик нагрузки для предоставления приложений и веб-сайтов с высокой производительностью, а также надежной безопасностью и наблюдаемостью.
  • Isovalent: продукты с открытым исходным кодом и корпоративные продукты, включая Cilium и eBPF, которые решают проблемы безопасности, сети и наблюдаемости для облачной инфраструктуры.
  • JFrog: «жидкое программное обеспечение», целью которого является «обеспечение обновлений программного обеспечения во всем мире посредством непрерывного и безопасного потока двоичных файлов от разработчиков к периферии».
  • Kasten от Veeam: платформа управления данными Kasten K10, которая «специально создана» для Kubernetes как «простая в использовании, масштабируемая и безопасная система для резервного копирования и восстановления, аварийного восстановления и мобильности приложений».
  • Nirmata: корпоративные продукты и продукты с открытым исходным кодом для «безопасности на основе политик и автоматизации производственных рабочих нагрузок и кластеров Kubernetes».
  • Palo Alto Networks: межсетевой экран нового поколения для контейнеров серии CN, который «специально создан для защиты среды Kubernetes от сетевых атак».
  • Prosimo: Jumpstart, который объединяет облачные сети, безопасность, производительность, наблюдаемость и управление затратами, чтобы «снизить сложность и риски корпоративного облачного развертывания».

Интеграции для безопасности Kubernetes

Во время re: Invent 2021 ряд партнеров-поставщиков также объявили о новых интеграциях, которые могут помочь в обеспечении безопасности использования Kubernetes. В их число вошли:

  • Snyk: объявил, что AWS интегрировала свою службу анализа уязвимостей Snyk Security Intelligence в обновленный инструмент Amazon Inspector. По словам Сныка, преимущества для клиентов включают повышенную безопасность Kubernetes. Пользователи могут «обеспечить единый и превосходный источник данных об уязвимостях в системе безопасности AWS (Amazon Inspector), а также в инструментах разработчика (AWS CodeSuite, Amazon ECR, Amazon Elastic Kubernetes Service и AWS Lambda)», – говорится в сообщении компании.
  • Axonius: объявила, что интегрирована с обновленным Amazon Inspector. Возможности включают возможность «идентифицировать любые активы AWS, которые не были оценены с помощью Amazon Inspector», включая образы контейнеров, которые находятся в Amazon ECR, говорится в сообщении компании.
  • Vulcan Cyber: также объявила об интеграции с усовершенствованным Amazon Inspector с такими возможностями, как создание оценок риска для каждой обнаруженной уязвимости. «Уязвимости, обнаруженные в образах контейнеров, отправляются в Amazon ECR для владельцев ресурсов для просмотра и исправления», – говорится в сообщении компании.
  • Tigera: объявила об интеграции своей облачной платформы безопасности и наблюдения, Calico Cloud, с инструментом безопасности и управления AWS Control Tower с несколькими учетными записями. Интеграция упрощает получение «дополнительной безопасности кластера, детального контроля доступа к рабочим нагрузкам, возможности наблюдения в реальном времени и возможностей устранения неполадок в реальном времени для кластеров Amazon Elastic Kubernetes Service (EKS)», – говорится в пресс-релизе компании.
  • Anjuna Security: объявила, что ее программное обеспечение Confidential Cloud, которое использует аппаратную защиту для обеспечения физической изоляции данных, теперь может использоваться в тандеме с сервисом изолированного выполнения AWS Nitro Enclaves для безопасного запуска рабочих нагрузок Kubernetes на AWS. Это предлагает «корпоративным ИТ-организациям простой способ управлять рабочими нагрузками Kubernetes на AWS Nitro Enclaves», – говорится в сообщении компании.