Nova Container Platform Special Edition от Orion soft получила сертификат ФСТЭК 4-го уровня доверия и готова к использованию в критически важных ИТ-контурах. О том, как платформа сочетает функциональность Kubernetes с встроенными средствами защиты и соответствием требованиям регуляторов, рассказывает IT-World.
ИТ-инфраструктура заказчиков в контурах КИИ и аналогичных контурах с повышенными требованиями к безопасности все чаще строится на базе микросервисной архитектуры и контейнеризации. Эти решения предоставляют гибкость и масштабируемость, в то же время повышают требования к контролю над безопасностью, особенно при работе с государственными информационными системами, персональными данными и объектами КИИ. Здесь важен не только функционал платформы, но и ее соответствие требованиям регуляторов.
Летом этого года платформа управления контейнеризированными приложениями Nova Container Platform от Orion soft получила сертификат ФСТЭК России (№ 4943), что позволяет использовать ее в защищенных ИТ-контурах. Сертифицированная редакция Nova Container Platform Special Edition включает всю базовую функциональность, дополненную встроенными средствами защиты от несанкционированного доступа в соответствии с требованиями к средствам контейнеризации ФСТЭК России 4-го класса защиты. На текущий момент это самая функциональная платформа контейнеризации с сертификатом ФСТЭК в России.
Что дает сертификация ФСТЭК
Сертификат соответствия подтверждает, что продукт прошел испытания, включающие в том числе проверку на наличие уязвимостей в продукте, а также в его компонентах, анализ архитектуры безопасности и корректности конфигурации, проверки исходного кода программного обеспечения, предусматривающие статический, динамический анализы, а также фаззинг-тестирование, анализ безопасности сборочной инфраструктуры и автоматизации сборки, тестирование на проникновение и оценку соответствия требованиям к защите информации.
При наличии сертификата ФСТЭК России по 4-му уровню доверия платформа может быть использована в том числе и в качестве средства защиты информации:
- в АСУ ТП до 1-го класса защищенности, включая опасные и потенциально опасные производственные объекты;
- в государственных информационных системах (ГИС) до 1-го класса защищенности;
- в инфраструктуре компаний, обрабатывающих персональные данные до 1-го уровня защищенности);
- на значимых объектах КИИ 1-й категории значимости включительно.
Безопасность на уровне платформы
Nova Container Platform Special Edition содержит встроенные механизмы защиты, которые применимы как на уровне инфраструктуры, так и на уровне приложений:
- Сканирование контейнеров и компонентов кластера — анализируются версии Kubernetes, образы, runtime-среда, внешние registry. Используется база CVE с классификацией уязвимостей и рекомендациями по устранению. Также подключена Российская база уязвимостей — bdu.fstec.
- Контроль целостности образов и контейнеров — реализована система доверенной загрузки, контроль подписей, управление политиками запуска.
- Аутентификация и управление доступом — поддержка RBAC, интеграция с внешними IDM (например, FreeIPA, Keycloak), разграничение прав доступа.
- Журналирование событий безопасности — централизованная система логирования с собственной возможностью выгрузки отчетов, а также фильтрации и настройки дашбордов, с возможностью интеграции с SIEM.
- Поддержка политики безопасности на уровне сети — взаимодействие между контейнерами контролируется, возможна изоляция.
Эти составляющие снижают нагрузку на внешние средства защиты, позволяя закрывать часть требований средствами самой платформы.
Интеграции с инструментами безопасности
В состав Nova SE включена интегрированная комплексная платформа безопасности для сред контейнеризации, построенная на базе решения NeuVector. Она обеспечивает:
- комплексное observability всех уязвимостей внутри кластера. Встроенный NeuVector может на разных уровнях сканировать компоненты платформы и приложений, а именно: сканируется версия Kubernetes, ноды кластера, запущенные приложения и внешние registry. NeuVector анализирует приложение, работающее внутри Nova, и сообщает, из каких библиотек и компонентов оно состоит, какие содержит уязвимости, показывает степень их критичности, выдает ссылки на конкретные CVE и рекомендации по устранению;
- мощный движок написания собственных политик безопасности для уровня Kubernetes, запущенных приложений, трафика внутри Kubernetes;
- модуль аналитики отчетности о событиях безопасности. По клику можно получить отчет о найденных уязвимостях и инцидентах, с привязкой к компонентам и уровнем критичности. Для отчетности удобно выгружать и сопоставлять такие срезы по аналитике за разные периоды.
Все это управляется из одного GUI, в котором команда ИБ видит все, что происходит с кластером, а также управляет его политиками, сетевыми подключениями, отслеживает аномалии в трафике между контейнерами, выявляет нежелательные действия на основе поведенческого анализа.
Кроме этого, в Nova SE включено хранилище секретов StarVault. Оно применяется для централизованного управления учетными данными, токенами, сертификатами и ключами. Интеграция с LDAP/AD, а также возможность автоматического выпуска и ротации PKI-сертификатов упрощают управление секретами в микросервисной архитектуре.
Управление и инфраструктура
Кроме управления контейнерами, Nova SE интегрируется с другими решениями из экосистемы Orion soft:
- zVirt Max — сертифицированная редакция платформы виртуализации zVirt, соответствующая всем требованиям безопасности ФСТЭК (сертификат ФСТЭК № 4780). Совместимость с zVirt Max грантирована разработчиком. Интеграция с платформой позволяет управлять как контейнерами, так и виртуальными машинами «из единого окна».
- Cloudlink — CMP-платформа для мультикластерного управления, включая функции биллинга и учет ресурсов, совместимость сохраняется, как и в базовой редакции.
Также поддерживается CSI-драйвер, автоматическое масштабирование и обновление, API-first-подход, что облегчает интеграцию в существующие CI/CD-пайплайны и системы мониторинга.
Пример использования: ВСК
Одним из крупных заказчиков, использующих Nova, является Страховой дом ВСК. Выбор решения был обусловлен важными для ВСК модулями: набором инструментов для мониторинга, отказоустойчивым логированием и встроенной ИБ-платформой для централизованного управления безопасностью в кластерах. Специалисты Orion soft внедрили решение в несколько этапов: сначала настроили и протестировали решение внутри закрытого контура ВСК, интегрировали с комплексной платформой CI/CD Marlin, а затем подготовили платформу к масштабированию.
Отдельно стоит отметить наличие встроенной поддержки механизмов защиты, что позволило сократить количество внешних компонентов и упростить сопровождение.
Вывод
Nova Container Platform Special Edition — это платформа управления контейнерной инфраструктурой, которая сочетает полнофункциональную реализацию Kubernetes с дополнительными компонентами обеспечения безопасности и соответствия требованиям регуляторов. Она покрывает потребность при использовании сертифицированных средств защиты, поддерживает индустриальные стандарты работы с микросервисами и подходит для применения в критически важных секторах.
Платформа решает задачу импортонезависимости без снижения эксплуатационных характеристик, при этом предоставляя готовые механизмы соответствия требованиям к защите информации, что особенно актуально для государственного и промышленного сегментов.
Приглашаем тех, кто хочет узнать больше о практическом опыте внедрения контейнерных платформ и современных подходах к их построению на конференцию Orion Digital Day, которая пройдет 25 сентября. В программе — обсуждение актуальных решений в области контейнеризации, в том числе с акцентом на безопасность и соответствие требованиям регуляторов. Регистрация уже открыта по ссылке.