contenitori
Gli strumenti della gamma Kaspersky annoverano una piattaforma dedicata alla protezione degli ambienti containerizzati. In questo post però voglio parlare di Kaspersky Container Security (KCS) non nella mia veste di rappresentante del marchio, bensì di membro effettivo di un team che usa attivamente questa soluzione nel lavoro di tutti i giorni. Il nostro team per la sicurezza dei prodotti ha il compito di stabilire processi di sviluppo sicuri per ogni aspetto aziendale. Siamo coinvolti in ogni fase del ciclo di vita dello sviluppo del software e la nostra priorità è aiutare i team di prodotto a individuare tempestivamente i problemi di sicurezza in modo da rispettare il ciclo di pianificazione delle versioni. A tale scopo abbiamo creato diversi flussi di lavoro, uno dei quali orientato specificamente alla sicurezza dei contenitori. Èd è esattamente per questo che ci affidiamo alla piattaforma Kaspersky Container Security.
Le soluzioni per la protezione dei contenitori sono in genere viste prima di tutto come scanner di immagini per il registro contenitori. In virtù della sua integrazione end-to-end nel flusso di lavoro dei contenitori, Kaspersky Container Security (KCS) va però considerata più come una piattaforma di protezione completa per ambienti di contenitori nella gestione di più attività. Sebbene includa uno scenario (innegabilmente importante) di scansione delle immagini di contenitori, la nostra esperienza con KCS ha dimostrato che il suo reale valore diventa evidente quando la piattaforma viene integrata in più punti del flusso di lavoro contemporaneamente:
- Build regolari
- Verifica degli artefatti prima del rilascio o della distribuzione
- Monitoraggio di contenitori già in esecuzione nel cluster
Scenario di base: come KCS scansiona le immagini
Il processo è sostanzialmente standard. KCS controlla le immagini per individuare i problemi tipici dei contenitori: vulnerabilità note, malware, segreti con codifica hardware e configurazioni errate. Tuttavia, il risultato della scansione non è solamente un singolo verdetto astratto. Il sistema calcola una classificazione del rischio in base ai risultati e fornisce un quadro chiaro dello stato di sicurezza della risorsa. Nella pratica tutto ciò si rivela incredibilmente utile perché i team non vedono solo un messaggio di “immagine errata” ma ottengono un’analisi trasparente di cosa esattamente determina il rischio e cosa debba essere subito corretto.
Ma non è tutto. KCS funziona bene negli scenari in cui non basta trovare un problema, ma lo si deve anche associare al ciclo di vita dell’artefatto. Quando un team gestisce centinaia di build, la scansione periodica del registro non è più sufficiente e richiede quasi sempre interventi manuali. È necessario sapere quale pipeline ha introdotto il rischio, quali criteri sono stati attivati e quali sono i passaggi successivi. KCS fornisce questo collegamento essenziale.
Scenario avanzato: integrazione CI/CD
Una funzionalità meno nota di KCS è la capacità di scansione completa all’interno delle pipeline CI/CD. Nel nostro team, questo è il modo più efficace di usare KCS. La logica è semplice: si integra lo scanner nella pipeline e i risultati della scansione vengono visualizzati direttamente nei registri di esecuzione. I risultati sono poi inviati alla console centrale della soluzione, dove vengono registrati in una sezione CI/CD dedicata che li collega al nome dell’elemento, al tempo di scansione, alla pipeline e al livello di gravità.
In un ambiente CI/CD è possibile eseguire la scansione delle immagini da archivi tar o direttamente da archivi Git. Per impostazione predefinita, supporta GitLab, Jenkins, TeamCity e GitHub Actions. In pratica, KCS può essere integrato in qualsiasi strumento di orchestrazione della pipeline.
Un altro aspetto critico dell’uso di KCS in CI/CD riguarda i criteri di protezione. La nostra soluzione usa un modello in cui i criteri consentono non solo di raccogliere i risultati, ma anche di controllare il comportamento della pipeline. Ciò risulta utile nelle implementazioni graduali. È possibile iniziare in modalità di controllo e passare poi gradualmente alla generazione di errori quando vengono rilevati segreti, configurazioni errate critiche o vulnerabilità. Questo approccio evolutivo generalmente funziona meglio di un semplice interruttore che blocca tutto in una volta.
In che modo KCS ci aiuta nei nostri flussi di lavoro
Gestiamo il nostro sistema di analisi della composizione, quindi non trattiamo KCS come un’unica fonte di verità. La piattaforma funge invece da potente livello aggiuntivo nei nostri flussi di lavoro, ed è proprio in questa veste che offre il massimo.
Sebbene il nostro sistema interno di analisi della composizione gestisca tracciamento dei componenti, dipendenze e valutazioni del rischio a livello di codice, KCS eccelle nella protezione del perimetro del contenitore. Si occupa della scansione delle immagini tecniche e della sicurezza CI/CD aggregando i rapporti sugli artefatti del contenitore. Non è in conflitto con la nostra analisi interna, bensì la rafforza proprio dove i contenitori ricevono carichi di lavoro effettivi.
E questo ci è particolarmente utile in due scenari. In primo luogo, fornisce il controllo degli artefatti nella fase iniziale dello sviluppo. In secondo luogo, funge da gatekeeper durante l’accettazione del rilascio. Non discutiamo più di rischi a rilascio avvenuto: li intercettiamo nel punto esatto in cui il team può ancora correggere rapidamente un Dockerfile, un grafico Helm o un set di configurazione senza una lunga catena di approvazione.
Degno di nota è anche il modo in cui gestisce le distinte base software (SBOM). Il nostro sistema si basa principalmente su SBOM pertinenti e aggiornate. KCS offre modalità specifiche per l’elaborazione delle SBOM e può generare i risultati di scansione nello stesso formato. A questo proposito, KCS si integra perfettamente con i nostri processi interni, consentendoci di inserire la soluzione nei flussi di lavoro esistenti e non il contrario.
Perché consideriamo KCS più che un semplice scanner
L’altro potente livello è la sicurezza dei cluster. In questa fase KCS si eleva oltre un semplice strumento di scansione delle immagini. Presenta criteri di runtime per contenitori e nodi, modalità di controllo e di blocco e un set di profili di protezione. Nella pratica, questo significa che KCS è utilizzabile non solo per trovare vulnerabilità all’interno di un’immagine, ma anche per monitorare le operazioni effettivamente eseguite dal contenitore una volta attivato. I criteri possono tenere conto della provenienza delle immagini, delle firme digitali, delle restrizioni su capacità e volumi e persino dei processi e delle connessioni di rete in esecuzione all’interno del contenitori.
Anziché procedere all’immediato blocco del processo quando viene rilevato un problema, è possibile scegliere di registrare i risultati in modalità di controllo. Negli ambienti di produzione, questa è sempre la mossa più intelligente. Un altro aspetto fondamentale è garantire l’attendibile provenienza delle immagini. KCS supporta la verifica della firma digitale, che sposta l’attenzione dalla semplice ricerca dei CVE alla protezione dell’intera catena di fornitura del software dell’azienda.
Funzionalità di generazione dei rapporti
KCS non si limita a visualizzare i problemi rilevati, ma funge da fonte completa per i rapporti. Può generare rapporti su immagini, rischi accettati e benchmark Kubernetes.
I rapporti generati sono disponibili nei formati HTML, PDF, CSV, JSON e XML, con supporto specifico per la creazione di rapporti dettagliati in SARIF, ideale per l’integrazione nei flussi di lavoro AppSec. Come per le SBOM sopra menzionate, gli scenari di scansione possono generare artefatti e risultati nei formati CycloneDX e SPDX, facilitando il collegamento ai processi esistenti.
Perché continuiamo a usare KCS
In poche parole, KCS integra perfettamente i nostri flussi di lavoro, non perché risolva ogni singolo problema, ma perché si integra così bene negli scenari di progettazione.
Apprezziamo inoltre il fatto che il team del prodotto ascolti i nostri feedback. Il team KCS incorpora effettivamente nella tabella di marcia di sviluppo le nostre richieste operative pratiche. Ad esempio, un’integrazione approfondita con SBOM e tipi di rapporti specifici sono stati aggiunti a KCS come risultato diretto della nostra esperienza sul campo.
Per riassumere, la piattaforma Kaspersky Container Security, se integrata correttamente, aiuta a coprire diverse aree contemporaneamente: dalla scansione di base dei contenitori alla protezione di cluster e CI/CD. In base alla nostra esperienza, offre un solido apporto all’interno di un ecosistema di contenitori attivo. Ulteriori informazioni sulla soluzione sono a disposizione nella pagina ufficiale di KCS.
Consigli