API вместо кликов. Positive Technologies открыла программный доступ к защите контейнеров
API вместо кликов. Positive Technologies открыла программный доступ к защите контейнеров
Alexander Antipov
Компания представила новую версию продукта для защиты контейнерных сред .
Positive Technologies объявила о выходе версии 0.8 решения для защиты контейнерных сред PT Container Security. В обновлении реализован публичный API для управления продуктом, расширены параметры правил реагирования, автоматизирована генерация сертификатов для межсервисного взаимодействия, а также обеспечено непрерывное детектирование угроз в рантайме даже при возникновении ошибок отдельных детекторов.
С выходом версии 0.8 PT Container Security можно управлять не только через веб-интерфейс, но и по публичному API. Пользователи с токеном доступа могут отправлять запросы по протоколу HTTPS с помощью скриптов или утилит, что позволяет оператору SOC обрабатывать события мониторинга рантайма в связке с внешними инструментами, включая системы класса SIEM. Обновление также упрощает автоматизацию создания правил для защищаемых кластеров по всей инфраструктуре компании. Для каждого токена можно задать срок действия и набор привилегий, вплоть до минимального доступа только на чтение истории событий. При необходимости администратор может разом отозвать все выданные токены. На текущем этапе через API поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма, а расширение набора запросов предлагается согласовывать через техническую поддержку.
В PT Container Security 0.8 расширены параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. В правила добавлены условия, учитывающие конкретные поды, контейнеры, образы из заданных репозиториев, сами репозитории и ноды. Это позволяет точнее учитывать специфику защищаемых ресурсов и снижать нагрузку на систему за счет более адресного реагирования на инциденты.
Отдельное изменение касается обработки ошибок детекторов. Теперь проверка события рантайма продолжается, даже если один из детекторов в цепочке завершился с ошибкой. Оператор SOC может дополнительно проанализировать список детекторов, которые не завершили проверку, и связанные с ними ошибки. В интерфейсе строки с такими событиями выделяются красным цветом, что упрощает их последующую обработку и избавляет специалиста от необходимости вручную разбираться с причиной остановки проверки и повторно запускать ее для всех детекторов.
Механизм работы с сертификатами для обеспечения TLS-соединения между компонентами продукта реализован средствами Helm. Сертификаты генерируются автоматически и по умолчанию сохраняются в конфигурационном файле Helm-чарта values.yaml, при этом сотрудники службы информационной безопасности могут вынести их в отдельный файл.
С выходом версии 0.8 PT Container Security можно управлять не только через веб-интерфейс, но и по публичному API. Пользователи с токеном доступа могут отправлять запросы по протоколу HTTPS с помощью скриптов или утилит, что позволяет оператору SOC обрабатывать события мониторинга рантайма в связке с внешними инструментами, включая системы класса SIEM. Обновление также упрощает автоматизацию создания правил для защищаемых кластеров по всей инфраструктуре компании. Для каждого токена можно задать срок действия и набор привилегий, вплоть до минимального доступа только на чтение истории событий. При необходимости администратор может разом отозвать все выданные токены. На текущем этапе через API поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма, а расширение набора запросов предлагается согласовывать через техническую поддержку.
В PT Container Security 0.8 расширены параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. В правила добавлены условия, учитывающие конкретные поды, контейнеры, образы из заданных репозиториев, сами репозитории и ноды. Это позволяет точнее учитывать специфику защищаемых ресурсов и снижать нагрузку на систему за счет более адресного реагирования на инциденты.
Отдельное изменение касается обработки ошибок детекторов. Теперь проверка события рантайма продолжается, даже если один из детекторов в цепочке завершился с ошибкой. Оператор SOC может дополнительно проанализировать список детекторов, которые не завершили проверку, и связанные с ними ошибки. В интерфейсе строки с такими событиями выделяются красным цветом, что упрощает их последующую обработку и избавляет специалиста от необходимости вручную разбираться с причиной остановки проверки и повторно запускать ее для всех детекторов.
Механизм работы с сертификатами для обеспечения TLS-соединения между компонентами продукта реализован средствами Helm. Сертификаты генерируются автоматически и по умолчанию сохраняются в конфигурационном файле Helm-чарта values.yaml, при этом сотрудники службы информационной безопасности могут вынести их в отдельный файл.