Добавить в корзинуПозвонить
Найти в Дзене
SecureTechTalks
21 подписчик

🌊 Bluerock: добавляем runtime-безопасность в Kubernetes

2
1 мин
Kubernetes отлично умеет оркестрировать контейнеры. Но с безопасностью в runtime у него всегда были проблемы. Вы настраиваете RBAC, network policies, admission controllers и сканирование образов и ждете отсутствия рисков ИБ. Однако всё это в основном работает до запуска workload’а. После старта контейнера Kubernetes почти не понимает, что внутри него происходит на самом деле. ⚙️ Что же делать? Bluerock - это runtime security layer для Kubernetes. Платформа наблюдает за поведением контейнеров уже после запуска и анализирует: - запуск процессов - syscall activity - сетевые соединения - доступ к файловой системе взаимодействие pod’ов между собой - обращения к Kubernetes API Вместо анализа YAML-манифестов или образов система начинает смотреть на реальное поведение workload’а. 🧪 Так так так Bluerock активно использует eBPF, что позволяет перехватывать события прямо на уровне ядра Linux без модификации контейнеров: process execution, fork/exec chains, network flows, filesystem access

🌊 Bluerock: добавляем runtime-безопасность в Kubernetes

Kubernetes отлично умеет оркестрировать контейнеры. Но с безопасностью в runtime у него всегда были проблемы.

Вы настраиваете RBAC, network policies, admission controllers и сканирование образов и ждете отсутствия рисков ИБ. Однако всё это в основном работает до запуска workload’а.

После старта контейнера Kubernetes почти не понимает, что внутри него происходит на самом деле.

⚙️ Что же делать?

Bluerock - это runtime security layer для Kubernetes. Платформа наблюдает за поведением контейнеров уже после запуска и анализирует:

- запуск процессов

- syscall activity

- сетевые соединения

- доступ к файловой системе

взаимодействие pod’ов между собой

- обращения к Kubernetes API

Вместо анализа YAML-манифестов или образов система начинает смотреть на реальное поведение workload’а.

🧪 Так так так

Bluerock активно использует eBPF, что позволяет перехватывать события прямо на уровне ядра Linux без модификации контейнеров: process execution, fork/exec chains, network flows, filesystem access и другие runtime-события.

Дальше поверх этих данных строится policy engine. Политики задают допустимое поведение контейнера:

- какие процессы могут запускаться,

- какие outbound-соединения разрешены,

- какие filesystem paths доступны,

- какие действия считаются аномальными.

Например: контейнеру можно разрешить только конкретные бинарники (python, nginx, node) и заблокировать запуск shell или неизвестных процессов.

Или: разрешить обращения только к определённым API endpoints, запретив весь остальной outbound traffic.

🔒 Чем это отличается от обычной Kubernetes-защиты

Большинство Kubernetes security-инструментов работают со статикой: сканируют образы, проверяют конфигурации или анализируют манифесты.

Bluerock работает с runtime. Система анализирует не то, «как контейнер должен работать», а то, что он реально делает после запуска.

Для современных AI- и agent-based workload’ов это особенно актуально, потому что их поведение может меняться динамически в зависимости от prompt’ов, контекста или внешних данных.

🔗 GitHub: https://github.com/bluerock-io/bluerock

Stay secure and read SecureTechTalks 📚

#кибербезопасность #AI #LLM #Kubernetes #CloudSecurity #RuntimeSecurity #eBPF #DevSecOps #OpenSource #SecureTechTalks