ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОНТЕЙНЕРИЗИРОВАННЫХ ПРИЛОЖЕНИЙ НА ЭТАПЕ РАЗРАБОТКИ

SECURING CONTAINERIZED APPLICATIONS DURING DEVELOPMENT

Pavel Kharchenko

student, department of information systems in the digital economy, Russian University of Transport (MIIT),

Russia, Moscow

Vera Morozova

scientific supervisor, Ph.D. econ. Sciences, Associate Professor Russian University of Transport (MIIT),

Russia, Moscow

АННОТАЦИЯ

В статье рассказывается о проблемах кибербезопасности при использовании технологии контейнеризации, современном стандарте развертывания приложений в облачных средах. Описываются основные риски информационной безопасности, связанные с эксплуатацией контейнеризации. Приводятся аргументы в пользу использования технологий обеспечения безопасности для выявления уязвимостей на этапе разработки программного обеспечения с помощью сканеров образов приложений.

ABSTRACT

The article talks about cybersecurity issues when using containerization technology, the modern standard for deploying applications in cloud environments. The main information security risks associated with the operation of containerization are described. Arguments are made for using security technologies to identify vulnerabilities during software development using application image scanners.

Ключевые слова: контейнеризация; информационная безопасность; безопасная разработка; сканеры образов.

Keywords: containerization; information Security; secure development; image scanners.

В век информационных технологий и цифровой экономики одним из ключевых направлений развития являются решения для автоматизации бизнес-процессов и цифровизации их услуг. Существует множество различных готовых и разработанных автоматизированных решений корпоративного уровня для автоматизации процессов документооборота, бухгалтерского и кадрового учета, систем аналитики и многих других направлений работ компании и предприятий. Применение программных решений позволяет увеличить скорость и эффективность работы бизнес-процессов компании. Улучшить продвижение различных материальных и не материальных благ. С увеличением уровня зрелости цифровизации и использования технологий, актуальнее становятся вопросы, связанные с обеспечением информационной безопасности эксплуатируемых продуктов. В настоящее время технологическим стандартом развертывания приложений является контейнеризация. Технология контейнеризации позволяет собирать на основе образов изолированное на уровне ядра операционной системы (ОС) окружение с необходимыми для работы приложения кодом и библиотеками, позволяет легко масштабировать и эксплуатировать разрабатываемые системы, разработчики получают возможность устранять ошибки и обновлять кодовую базу без вмешательства в работу ОС.

Контейнеризация, как и любая другая технология заставляет задуматься о потенциальных рисках кибербезопасности, являясь средой выполнения приложений.

Выделяют основные риски связанные с использованием технологии контейнеризации:

1. Использование базовых образов с уязвимостями при создании новых для приложения.
2. Установка упакованных утилит в rpm или deb пакеты из сторонних репозиториев.
3. Установка не проверенных библиотек и зависимостей для приложения.
4. Наличие открытых паролей.

Согласно статистике, представленной российским интернет ресурсом tadviser.ru [1] в более 1600 тыс. проанализированных образов в популярном публичном registry Docker Hub найдены приватные ключи и идентификационные данные, позволяющие получить доступ к различным API. Обнаружили 22 тысячи скомпрометированных сертификата. Интернет-издание bleepingcomputer [2] приводит в пример более полторы тысячи найденных образов с наличием уязвимых библиотек и зависимостей. Такая ужасающая статистика говорит об отсутствии культуры и практик безопасной разработки контейнеризированных приложений.

Технология контейнеризации широко используется в современной разработке программного обеспечения и часто развертываются в облачных средах что делает их потенциальной мишенью для кибератак [3]. Безопасность контейнеров имеет важное значение для соблюдения различных нормативных требований таких как GDPR, PSI DSS, HIPAA. Несоблюдения требований может привести к значительным штрафам и репутационному риску. Контейнеры могут иметь разные зависимости и конфигурацию, в связи с чем обеспечить их согласованную защиту может быть не просто [3].

Незаменимыми помощниками в организации безопасного контейнеризированного окружения являются статические анализаторы кода SAST, позволяющие находить уязвимости в коде относящихся к категории OWASP TOP 10, а также сканеры собранных образов для приложения. Использование сканеров образов позволяет:

1. Вовремя обнаружить наличие в открытом виде паролей и API ключей.
2. Определить использование базового образа с зарегистрированными уязвимостями.
3. Обнаружить сигнатуру программных утилит с уязвимостями, позволяющими получить несанкционированный доступ к управлению вычислениями в окружении контейнера.
4. Предупредить о наличии запуска основных процессов под привилегированным пользователем root.

Наличие средств обеспечения безопасности, влияющих на ход разработки программного продукта и прохождения этапов жизненного цикла систем, требуют моделирования процессов и этапов подготовки продукта к использованию в промышленных средах, во время которых системы помогающие в обеспечении соответствия современным требованиям информационной безопасности систем будут эксплуатироваться. Инструменты информационной безопасности такие как антивирусы, программные файрволлы, SIEM системы, сканеры контейнеров приложений на наличие подозрительных активностей во время работы сервисов помогают защитить ИС на этапе эксплуатации продукта, обеспечить мониторинг и реагирования на события кибербезопасности. Но не должны использоваться как средства тестирования на наличие уязвимостей, так как подобная практика обнаружения уязвимостей безопасности на этапе эксплуатации системы приводит к рискам взлома системы и удорожанию стоимости исправления уязвимостей разработчиками программного обеспечения. Исправление дефектов безопасности приводит к увеличению срока добавления нового функционала в сервисы, что может привести к репутационным, финансовым потерям и снижению конкурентоспособности цифрового продукта на рынке. Находить уязвимости быстрее и дешевле на этапе непосредственно разработки и сборки программного продукта что ускорит процесс устранения дефектов, снизит риски наличия уязвимостей, позволит в будущем сэкономить время на исправление изъянов безопасности. На Рис.1 представлены традиционные этапы сборки программного обеспечения с интеграцией в процесс системы хранения образов со сканером на наличие уязвимостей, подключенную к общей базе данных уязвимостей.

Рисунок 1. Применение средств безопасности в процессе разработки ПО

Программный продукт проходит непрерывные этапы компиляции, сборки и проверки безопасности без лишнего вмешательства и ручных действий со стороны участников производственного процесса. Если уязвимости не найдены, то сервис может быть готов к этапам установки на стенды тестирования, но, если средствами безопасности найдены уязвимости, благодаря подготовленному отчету и оповещению о наличии проблем, разработчики смогут своевременно приступить к устранению дефектов. В случае возникновения непонимания в устранении уязвимости, должна быть возможность создания обращения на консультацию с экспертом кибербезопасности для решения выявленных проблем.

Современные требования и стандарты вместе с новыми выявленными угрозами безопасности требуют своевременного реагирования и обеспечения информационной безопасности приложений на высоком уровне на постоянной основе. Пренебрежение проверками на уязвимости ИС на этапе разработки будет все чаще приводить к решению задач на устранение дефектов с последующей задержкой в развитии продукта, который благодаря позднему выходу на рынок может потерять конкурентное преимущество и принести финансовые потери для компании, привести к срыву планов по поэтапному развитию продукта. И хорошо, если наличием проблем и проведением ряда кибератак не воспользовались злоумышленники, и не смогли получить доступ к персональным или конфиденциальным данным. Современные системы сканирования кода и образов позволяют на этапе разработке и интеграции новой функциональности в продукт обнаружить и предупредить о проблемах безопасности, давая возможность вовремя среагировать и исправить дефекты, снизить риски возникновения киберугроз, и сконцентрироваться на развитии продукта для конечных потребителей.

Список литературы:

1. Сообщество ИТ-инженеров BleepingComputer: В репозиториях Docker Hub спрятано более 1650 вредоносных контейнеров [Электронный ресурс].– Режим доступа: https://www.bleepingcomputer.com/news/security/docker-hub-repositories-hide-over-1-650-malicious-containers/ (дата обращения 31.03.2024)
2. Информационный ресурс tadviser: Защита контейнерной инфраструктуры в российских организациях [Электронный ресурс]. - Режим доступа: https://www.tadviser.ru/index.php/Статья:Защита_контейнерной_инфраструктуры_в_российских_организациях:_полный_гид?erid=LjN8JyKUD (дата обращения 03.03.2024)
3. Цыбенко О. С. Контейнерная безопасность //Образование: исследовано в мире: Научная электронная библиотека «КиберЛенинка» 2023. URL: https://cyberleninka.ru/article/n/konteynernaya-bezopasnost (дата обращения 05.03.2024)