Creazione di criteri personalizzati, piena portabilità della configurazione di sistema, audit approfondito del cluster del piano di controllo e prevenzione degli attacchi alla supply chain: la nuova versione della soluzione di sicurezza di Kaspersky per gli ambienti containerizzati accelera i flussi di lavoro relativi allo sviluppo e alla conformità, proteggendo al contempo l’infrastruttura da sofisticate minacce informatiche.
La containerizzazione rappresenta ormai il nuovo standard per lo sviluppo software moderno. La sua capacità di aumentare la produttività degli sviluppatori, ridurre i costi infrastrutturali e accelerare il time-to-market ha portato il tasso di adozione da parte delle aziende a raggiungere il 98%. Tuttavia, la velocità operativa e l’efficienza garantite da questa tecnologia possono essere compromesse dal crescente volume e dalla complessità degli attacchi informatici, oltre che dai rigorosi requisiti di conformità normativa. L’ultimo aggiornamento di Kaspersky Container Security (KCS) è stato progettato proprio per aiutare le aziende ad affrontare queste nuove sfide, preservando al contempo i principali vantaggi dello sviluppo basato sui container.
KCS è una soluzione specializzata e completa che garantisce la sicurezza in ogni fase del ciclo di vita delle applicazioni containerizzate ed è disponibile sia per implementazioni on-premise sia per reti isolate. La nuova versione rende la soluzione ancora più intuitiva e maggiormente adattabile alle esigenze degli sviluppatori.
Parametri di sicurezza personalizzati, Dynamic Admission Controller (DAC) e policy di garanzia
Le aziende fanno spesso affidamento su parametri di riferimento interni e su norme di sicurezza personalizzate, privilegiando regole proprietarie rispetto alle impostazioni predefinite dei prodotti. Per rispondere a questa esigenza, KCS consente ora di creare criteri personalizzati per la verifica delle immagini, il controllo dinamico degli accessi (DAC) e il benchmarking della sicurezza.
La possibilità di implementare policy specifiche per l’organizzazione, oltre alle impostazioni predefinite già disponibili, riduce il carico di lavoro dei team di sicurezza, accelera l’integrazione dell’infrastruttura e rafforza il livello complessivo di protezione. Inoltre, la creazione di controlli di conformità personalizzati consente alle aziende di adattarsi più rapidamente ai cambiamenti della normativa locale o all’introduzione di nuovi requisiti normativi.
Importazione/esportazione della configurazione di sistema
Gli utenti possono ora esportare la configurazione completa del sistema, comprese policy, gruppi di agenti, profili e altre impostazioni, per eseguire backup o replicarla su altre istanze del prodotto. Il file esportato può essere generato sia come pacchetto crittografato sia in formato aperto, così da consentire eventuali modifiche manuali prima dell’importazione. Questa nuova funzionalità di importazione/esportazione è particolarmente utile per le grandi imprese che operano in ambienti complessi e multi-sito. Se una filiale gestisce un’infrastruttura IT dedicata e indipendente dalla casa madre, è infatti possibile esportare un file di configurazione dalla sede centrale e importarlo localmente. Questa funzione ottimizza le procedure di backup e semplifica il trasferimento di impostazioni e criteri nelle implementazioni su larga scala, agevolando il lavoro degli specialisti della sicurezza.
Monitoraggio esteso e protezione avanzata
Gli agenti di sicurezza sono ora supportati anche sui nodi master, consentendo verifiche avanzate del piano di controllo. Questa funzionalità permette di rilevare configurazioni vulnerabili e potenziali compromissioni a livello critico dell’orchestrazione del cluster, garantendo al contempo un controllo centralizzato della sicurezza dell’intera infrastruttura tramite una console di gestione unificata.
Per mitigare i rischi legati alla supply chain, la nuova versione introduce inoltre regole specifiche per individuare eventuali configurazioni errate di GitHub Actions. Tra queste rientrano trigger di workflow non sicuri, gestione impropria di dati di input non attendibili e policy di versioning non adeguate, che possono consentire agli aggressori di dirottare i workflow automatizzati, iniettare codice dannoso nelle build di produzione o compromettere le chiavi dell’infrastruttura. I team di sicurezza possono rilevare e mitigare questi rischi durante la scansione dei repository GitHub, sia integrando lo scanner KCS nei workflow CI/CD sia utilizzandolo in modalità standalone.
Tra gli ulteriori miglioramenti introdotti nella nuova versione di KCS troviamo:
· Ottimizzazione delle prestazioni del node-agent, con un incremento di 2,5 volte. La nuova implementazione consente di elaborare centinaia di regole senza alcun impatto sul consumo di CPU e memoria del pod.
· Incremento di 10 volte della velocità del DAC. È stata aggiunta una funzione opzionale di memorizzazione nella cache dei risultati della scansione sul lato kube-agent, eliminando le query aggiuntive al nucleo del prodotto e accelerando le richieste al DAC.
· Controllo degli accessi ai risultati delle scansioni CI. Gli utenti possono ora configurare l’accesso ai risultati delle scansioni CI in base alle policy aziendali relative alla visibilità dei progetti e al loro isolamento.
· Visualizzazione della SBOM nei dettagli dell’analisi delle immagini. Le immagini dei container sottoposte a scansione possono ora essere esportate come SBOM (Software Bill of Materials), semplificando l’integrazione con gli strumenti di gestione delle vulnerabilità e con i registri e garantendo una completa tracciabilità della supply chain del software.
Aggiornamenti dinamici degli agenti senza necessità di ridistribuzione. Le modifiche istantanee alla configurazione dei gruppi eliminano la necessità di ridistribuire i pod degli agenti sui nodi, riducendo i tempi di inattività e semplificando la gestione su larga scala. Questo consente di ottimizzare le risorse in tempo reale durante i picchi di carico, mitigando i rischi di interruzione della produzione.
"Riteniamo che la sicurezza dei container debba essere flessibile e veloce quanto la containerizzazione stessa. Le nuove funzionalità di Kaspersky Container Security sono state progettate per soddisfare le esigenze dei moderni team SevOps. Ad esempio, la nuova funzionalità di scansione di GitHub Actions individua le vulnerabilità direttamente all’interno del codice di configurazione, consentendo ai team di identificare e correggere gli errori il prima possibile, quando l’intervento è più conveniente in termini di costi e permette di evitare ritardi nel rispetto delle scadenze”, ha commentato Anton Rusakov-Rudenko, Senior Product Marketing Manager, Cloud & Network Security di Kaspersky. “Questa versione contribuisce a colmare efficacemente il divario tra implementazione rapida e rigorosa conformità, proteggendo l’infrastruttura dalle più recenti minacce informatiche senza costi operativi aggiuntivi”.
Per ulteriori informazioni su Kaspersky Container Security, cliccare il seguente link.
