Поделиться
Контейнеры под защитой: в Kaspersky поделились кейсами на российском рынке
«Лаборатория Касперского» в сентябре представила новую версию Kaspersky Container Security (KCS) — специализированное решение по защите контейнерных сред и приложений на всех стадиях жизненного цикла. За неполные два года с момента первого релиза продукт достиг уровня западных решений и был внедрен в десятки крупных компаний.
Популярны, но уязвимы
Контейнерные технологии — по-прежнему один из главных трендов в разработке ПО. Согласно исследованиям CNCF, 84% компаний в мире используют контейнеры в различных средах. В России объём рынка контейнерных платформ на 2024 г. оценивается в 9,7 млрд руб., и в предстоящие годы прогнозируется его рост более чем на 25% ежегодно. Причины очевидны: контейнеризация ускоряет разработку и доставку ПО, повышает его отказоустойчивость и адаптируемость.
Однако за удобство и скорость разработчикам приходится расплачиваться повышенным вниманием со стороны злоумышленников. Исследования «Лаборатории Касперского» свидетельствуют, что 85% компаний сталкиваются более чем с одним инцидентом в среде Kubernetes за год. Финансовые потери и потери конфиденциальной информации, а также утрата доверия со стороны клиентов — в числе самых распространенных последствий брешей в среде разработки.
Ситуацию осложняет специфика контейнерных сред. Из-за особой архитектуры, динамической природы и высокой степени изоляции традиционные средства защиты информации оказываются здесь малоэффективны. Вдобавок в 2022 г. ведущие мировые вендоры, практически целиком занимавшие нишу контейнеров в России, значительно ограничили поддержку российских заказчиков. Предвидя общий тренд на потребность в специализированной контейнерной безопасности, «Лаборатория Касперского» уже в 2021 году добавила отдельные функции по защите контейнеров в продукт Kaspersky Security для виртуальных и облачных сред и приступила к разработке отдельного продукта. Как итог, летом 2023 г. компания выпустила первую версию Kaspersky Container Security — решения по защите контейнерных сред и приложений.
Релиз за релизом
Перед «Лабораторией Касперского» стояла цель обеспечить российский рынок качественным отечественным решением — таким, которое могло помочь компаниям выйти на новый уровень защиты контейнерных сред. Причем функциональность должна была не уступать ушедшим зарубежным аналогам, а само решение — отвечать требованиям российского законодательства и специфике инфраструктуры отечественных компаний.
В начале 2023 года «Лаборатория Касперского» приобрела 49% компании XimiPro — разработчика платформы для защиты контейнерных сред — и интегрировала его команду в свою структуру. Достичь поставленной задачи по развитию продукта предстояло за счет накопленной экспертизы и полностью собственной разработки на базе технологий XimiPro. Таким образом компания добилась полного контроля над продуктом, без использования сторонних open-source-компонентов. Многолетний опыт «Лаборатории Касперского» также был призван обеспечить и удобство в настройке и эксплуатации. В приоритете было создание «коробочного» решения, которое заказчики смогут развернуть без особых усилий или посторонней помощи.
Уже в первой версии KCS обеспечил покрытие сценариев выстраивания процессов безопасной разработки. С технической точки зрения KCS встраивался в CI-пайплайны и интегрировался в инфраструктуру. Отличительной чертой решения стал фокус на безопасность, которая благодаря большому опыту «Лаборатории Касперского» была заложен на этапе разработки.
«Лаборатория Касперского» сразу анонсировала выход следующих версий, обещавших развитие функциональности и обеспечение защитой всех компонентов контейнерных сред. Так и произошло: в версиях 1.1 и 1.2 появилась полнофункциональное API и интеграция с публичными облаками Yandex, AWS и Azure, включая контейнерные сервисы. В части runtime-защиты вышедшие версии стали выявлять нарушения в конфигурации контейнеров и защищать от файловых угроз, а в части оповещения — визуализировать трафик между контейнерами, внешними сервисами и ресурсами.
Список нововведений далеко не исчерпывающий. Например, дифференцированный подход к угрозам и настройка ограничений по портам, IP-адресам и типам соединений — всего лишь два новшества версии 1.1 из куда более обширного перечня. Динамичное развитие продолжилось и в последующих релизах. Так, версия 1.2 получила механизм Health Check — своего рода диспансеризацию разрабатываемого продукта, а также позволила получать отчеты — о том, отвечают ли узлы кластера стандартам Kubernetes или нет. Список опять-таки не полный, но стоит отметить, что развитие KCSна этом не закончилось. В KCS 1.2.1 и 1.2.2 появились важные, но столь технические возможности, оценить значимость которых под силу специалистам.
Проще, оперативнее, удобнее
Большим шагом вперед стала версия 2.0, вышедшая в конце 2024 г. Одно из главных новшеств в новом издании — отслеживание проблем в оркестраторе и соответствие конфигурации компонентов лучшим практикам. Те стали отображаться в отдельной вкладке — в удобном формате и сгруппированные по типам контроля. Понять причины и принять меры теперь гораздо проще. На упрощение эксплуатации работают и другие новации KCS. Так, если в прошлых версиях настроить профили контейнеров можно было только вручную, то в новой процесс автоматизирован. Автопрофиль создается на основе «золотого образа»: по заданным параметрам либо на основе уже существующего образа.
Расследовать инциденты по части безопасности тоже стало удобнее. Соответствующая карточка теперь более информативна — она содержит детальное описание и нарушенной политики, и всех связанных с инцидентом событий. Выстроить событийную цепочку и понять контекст произошедшего так становится точно легче.
Наряду с расследованием стало проще и предотвращать инциденты безопасности. Так, на появившейся в версии 2.0 отдельной странице можно оперативно проверить, есть ли в инфраструктуре компании угрозы Common Vulnerabilities and Exposures (CVE). Потому что, как известно, предупрежден — значит вооружен.
Оптимизация затронула и использование ресурсов. Так, технология Extended Berkeley Packet Filter (EBPF) применялась уже в предыдущих версиях совместно с агентом Kaspersky Endpoint Security для Linux, но работа последнего — ресурсозатратна. Поэтому в новой версии антивирусную проверку можно не только включать и выключать, но и отключать у нее лишние функции. Ко всему перечисленному стоит добавить и ряд других новаций — от интеграции с менеджерами секретов до логирования дополнительных полей в runtime-событиях.
Релиз 2.1 и последующие обновления, согласно дорожной карте — это целый ряд актуальных и ожидаемых рынком функций: анализ ОС нод (Node) на уязвимости (подобно анализу образов) и runtime защита ОС ноды оркестратора от файловых угроз, возможность отправки событий в Webhook, расширение поддержки отечественных и не только оркестраторов, реестров образов, операционных систем, в т.ч. различных версий дистрибутивов Linux, а также множество других полезных новинок. В планах внедрение ИИ-инструментов и дальнейшее развитие возможностей ИБ, расширение политик.
Примеры внедрения
С выходом на российский рынок KCS быстро нашло покупателей. Клиентами решения стали компании в самых разных отраслях — от ритейла и финансов до ИТ и телекома, и с разным размером инфраструктуры — от 50 до десятков тысяч нод. Все они располагают собственными отделами разработки. Первоочередные задачи при обращении к KCS тоже разные — от простой замены зарубежного решения до более покрытия уникальных сценариев защиты. Таким образом, только в 2025 году продуктовая команда внедрила около 20 фич непосредственно по просьбам заказчиков.
Одной из первых KCS внедрила компания «Магнит». Еще на этапе тестирования собственная DevSecOps команда ритейлера высоко оценила решение и теперь помогает развивать его в ходе эксплуатации. Использует KCS по прямому назначению — в целях повышения безопасности разработки и эксплуатации контейнерных приложений. Управление безопасностью контейнерных сред с решением от «Лаборатории Касперского» упростилось, а рутина ИБ — автоматизировалась. В итоге KCS стал неотъемлемой частью комплексной системы информационной безопасности компании «Магнит», и не в последнюю очередь — благодаря гибкой интеграции решения с ИТ-системами и другими средствами киберзащиты.
Пример внедрения из сферы финансов — банк МКБ. Он активно развивает цифровые сервисы, применяя новейшие методы и инструменты, включая технологии контейнеризации. Наряду с командой DevSecOps у банка есть и собственное подразделение R&D. Протестировав несколько решений от отечественных разработчиков, МКБ выбрал продукт от «Лаборатории Касперского». Решающими аргументами в пользу KCS стали уникальная на российском рынке функциональность, высокое качество клиентской поддержки и гибкость.
В 2025 году успешное внедрение подтвердил онлайн-сервис «Домклик». Рост нагрузки, повышение требований к стабильности сервисов и усложнение киберугроз, нацеленных на DevOps-процессы, привели к необходимости внедрения комплексного решения для безопасности контейнерной среды. Ключевыми аргументами в пользу KCS стали открытый API и широкие возможности по интеграции с внутренними системами сервиса, а также экспертиза в вопросах ИБ, поддержка 24/7 и готовность адаптировать продукт под требования заказчика.
Всего к осени 2025 г. реализовано больше 30 проектов по внедрению KCS. Решение не только продолжает проходить испытания в самых разных российских компаниях, но и оказывается востребованным в странах Латинской Америки, Средней Азии, Африки и Азиатско-Тихоокеанского региона. Несмотря на неполные два года с момента первого релиза, оно конкурирует с решениями международных вендоров, вышедших на рынок гораздо раньше.
■ Рекламаerid:2W5zFFxbUb2Рекламодатель: АО «Лаборатория Касперского»ИНН/ОГРН: 7713140469/1027739867473Сайт: https://www.kaspersky.ru/Поделиться
Короткая ссылка
