Автоматизация сканирования и анализа безопасности контейнеров и оркестраторов

Целью работы является повышение безопасности при использовании технологий контейнеризации и оркестрации в информационных системах.

Предметом исследования являются проблемы безопасности и средства сканирования безопасности контейнеров и оркестраторов. Задачи, решаемые в ходе исследования:

1. Изучить основные принципы работы контейнеризации и оркестрации, а также связанные с ними проблемы безопасности;

2. Провести сравнительный анализ средств сканирования безопасности контейнеров и оркестраторов;

3. Разработать экспертную систему, помогающую выбрать наилучшее средство для анализа безопасности контейнеров и оркестраторов.

В ходе работы были исследованы основные принципы работы технологий контейнеризации и оркестрации, проблемы и средства анализа безопасности, связанные с использованием контейнеров и оркестраторов.

В результате работы была разработана экспертная система, позволяющая выбрать наиболее подходящее средство сканирования и анализа безопасности контейнеров и оркестраторов, который будет способствовать обеспечению безопасности в современных информационных системах.

Полученные результаты могут быть использованы в качестве рекомендаций для специалистов по информационной безопасности и администраторов информационных систем.

Введение.....................................................................................................7

1 Изучение устройства контейнеров и оркестраторов................ 9

1.1 Контейнеризация.......................................................................... 9

1.1.1 Принцип работы........................................................................... 10

1.1.2 Жизненный цикл........................................................................... 10

1.1.3 Преимущества............................................................................... 11

1.2 Оркестраторы................................................................................ 12

1.3 Kubernetes...................................................................................... 12

1.3.1 Основные концепции.................................................................... 13

1.3.2 Главные компоненты.................................................................... 14

1.4 Выводы.......................................................................................... 15

2 Анализ проблем безопасности контейнеров и оркестраторов.. 17

2.1 Отсутствие фильтрации трафика………………………………. 18

2.2 Использование незащищенных узлов в кластере....................... 18

2.3 Отсутствие мониторинга безопасности...................................... 18

2.4 Использование одного пространства имен несколькими приложениями……………………………………… 19

2.5 Отсутствие контроля доступа к etcd………………………….. 20

2.6 Свободный доступ к API-серверу……………………………… 20

2.7 Запуск контейнеров в привилегированном режиме…………... 20

2.8 Отсутствие RBAC………………………………………………. 21

2.9 Неправильное хранение секретов……………………………… 22

2.10 Отсутствие проверки безопасности приложений…………….. 22

2.11 Отсутствие проверки безопасности контейнеров…………….. 23

2.12 Возможность атак Man in the Middle…………………………... 23

2.13 Плохая проверка манифество Kubernetes……………………... 24

2.14 CVE в Kubernetes……………………………………………….. 24

2.14.1 CVE-2024-3744…………………………………………………. 25

2.14.2 CVE-2024-3177…………………………………………………. 25

2.14.3 CVE-2023-3955…………………………………………………. 26

2.14.4 CVE-2023-3893…………………………………………………. 26

2.14.5 CVE-2023-3676…………………………………………………. 27

2.14.6 CVE-2023-2431…………………………………………………. 27

2.14.7 CVE-2023-2878…………………………………………………. 28

2.14.8 CVE-2022-3172…………………………………………………. 28

2.15 Выводы…………………………………………………………. 29

3 Сравнительный анализ средств анализа безопасности контейнеров и оркестраторов……………………… 30

3.1 Выбор средств анализа безопасности и формирование критериев…………………………………… 30

3.1.1 Kube-bench……………………………………………………… 30

3.1.2 Kube-hunter……………………………………………………... 30

3.1.3 Kubescape……………………………………………………….. 31

3.1.4 Trivy…………………………………………………………….. 31

3.1.5 Docker bench securit…………………………………………….. 31

3.1.6 Kubesec…………………………………………………………. 32

3.1.7 Kubeaudit………………………………………………………... 32

3.1.8 Checkov………………………………………………………..... 32

3.1.9 Clair……………………………………………………………... 32

3.1.10 Popeye…………………………………………………………... 33

3.1.11 Критерии………………………………………………………... 33

3.2 Построение сравнительной таблицы………………………….. 34

3.2.1 Развертка кластера Kubernetes………………………………… 34

3.2.2 Запуск средств анализа безопасности контейнеров и оркестраторов…………………………… 36

3.2.3 Пример анализа для kube-bench……………………………….. 38

3.3 Итоговая таблица и выводы…………………………………… 41

4 Разработка экспертной системы для выбора наиболее подходящего средства сканирования……………… 45

4.1 Описание концепта экспертной системы …………………..... 45

4.2 Полученные результаты……………………………………….. 48 Заключение................................................................................................. 51

Список использованных источников....................................................... 52

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Сайфан Д. Осваиваем Kubernetes. Оркестрация контейнерных архитектур //Питер. — 2019. — С. 120–126.

2. UNVER B. Automatic Detection of Security Deficiencies and Refactoring Advises for Microservices //Faculty of Computing. — 2022. — P. 20–25.

3. Morfonios I. Kubernetes Cybersecurity //University of Piraeus. — 2023. — P. 110–120.

всего 29 источников