Entre as v\u00e1rias ferramentas no portf\u00f3lio da Kaspersky est\u00e1 uma plataforma dedicada para proteger ambientes em cont\u00eaineres. Mas nesta postagem, quero falar sobre o Kaspersky Container Security (KCS), n\u00e3o como um representante do fornecedor, mas como membro de uma equipe que usa ativamente essa solu\u00e7\u00e3o em sua rotina de trabalho. Nossa Equipe de Seguran\u00e7a de Produto \u00e9 respons\u00e1vel por estabelecer processos de desenvolvimento seguros em toda a empresa. Estamos envolvidos em todas as etapas do ciclo de vida de desenvolvimento de software, e nossa prioridade \u00e9 ajudar as equipes de produto a detectar problemas de seguran\u00e7a com anteced\u00eancia para que possam cumprir o cronograma de seus lan\u00e7amentos. Para isso, criamos v\u00e1rios fluxos de trabalho, um dos quais se concentra especificamente na seguran\u00e7a do cont\u00eainer. \u00c9 nesse contexto que contamos com nossa pr\u00f3pria plataforma Kaspersky Container Security.<\/p>\n
As solu\u00e7\u00f5es de seguran\u00e7a para cont\u00eaineres geralmente s\u00e3o vistas principalmente como verificadores de imagens para registros de cont\u00eaineres. No entanto, o Kaspersky Container Security (KCS) \u00e9 uma plataforma de seguran\u00e7a mais abrangente para ambientes de cont\u00eainer que lida com v\u00e1rias tarefas em virtude de sua integra\u00e7\u00e3o de ponta a ponta no fluxo de trabalho do cont\u00eainer. Embora certamente inclua um cen\u00e1rio de verifica\u00e7\u00e3o do cont\u00eainer, o que \u00e9 inegavelmente importante, nossa experi\u00eancia com o KCS mostrou que seu valor real se torna aparente quando ele \u00e9 integrado em v\u00e1rios pontos ao longo do fluxo de trabalho de uma s\u00f3 vez:<\/p>\n
Em sua ess\u00eancia, o processo \u00e9 padr\u00e3o. O KCS verifica as imagens em busca de problemas comuns em cont\u00eaineres: vulnerabilidades conhecidas, malware, segredos codificados diretamente no c\u00f3digo (hardcoded) e configura\u00e7\u00f5es incorretas. No entanto, o resultado da verifica\u00e7\u00e3o n\u00e3o \u00e9 apenas um veredicto \u00fanico e abstrato. O sistema calcula uma classifica\u00e7\u00e3o de risco com base nas descobertas, fornecendo uma imagem clara da postura de seguran\u00e7a do ativo. Na pr\u00e1tica, isso \u00e9 incrivelmente \u00fatil porque as equipes n\u00e3o veem apenas uma mensagem de \u201cimagem ruim\u201d; elas obt\u00eam um detalhamento claro do que est\u00e1 de fato gerando o risco e do que precisa ser corrigido primeiro.<\/p>\n
Mas isso n\u00e3o \u00e9 tudo. O KCS funciona bem para cen\u00e1rios em que n\u00e3o \u00e9 suficiente apenas encontrar um problema: \u00e9 necess\u00e1rio vincul\u00e1-lo ao ciclo de vida do artefato. Quando uma equipe gerencia centenas de compila\u00e7\u00f5es, a verifica\u00e7\u00e3o peri\u00f3dica do registro n\u00e3o \u00e9 suficiente e quase sempre requer interven\u00e7\u00e3o manual. \u00c9 preciso saber qual pipeline introduziu o risco, quais pol\u00edticas foram acionadas e quais s\u00e3o as pr\u00f3ximas etapas. O KCS fornece esse v\u00ednculo essencial.<\/p>\n
Uma caracter\u00edstica menos conhecida do KCS \u00e9 seu recurso de verifica\u00e7\u00e3o em grande escala dentro de pipelines de CI\/CD. Para nossa equipe, essa \u00e9 a maneira mais eficaz de usar o KCS. A l\u00f3gica \u00e9 direta: voc\u00ea integra o verificador no pipeline e os resultados da verifica\u00e7\u00e3o aparecem diretamente nos logs de execu\u00e7\u00e3o. Eles tamb\u00e9m s\u00e3o enviados para o console central da solu\u00e7\u00e3o, onde s\u00e3o registrados em uma se\u00e7\u00e3o de CI\/CD dedicada que vincula as descobertas ao nome do artefato, hor\u00e1rio de verifica\u00e7\u00e3o, pipeline e n\u00edvel de gravidade.<\/p>\n
Em um ambiente de CI\/CD, \u00e9 poss\u00edvel verificar imagens de arquivos compactados TAR ou diretamente de reposit\u00f3rios Git. Pronto para uso, \u00e9 compat\u00edvel com GitLab, Jenkins, TeamCity e GitHub Actions; na pr\u00e1tica, o KCS pode ser integrado em qualquer orquestrador de pipeline.<\/p>\n
Outro aspecto cr\u00edtico do uso do KCS no CI\/CD envolve as pol\u00edticas de seguran\u00e7a. Nossa solu\u00e7\u00e3o usa um modelo em que as pol\u00edticas permitem n\u00e3o apenas coletar resultados, mas tamb\u00e9m controlar o comportamento do pr\u00f3prio pipeline. Isso \u00e9 \u00fatil para implementa\u00e7\u00f5es em fases. Voc\u00ea pode iniciar no modo de auditoria e, em seguida, avan\u00e7ar gradualmente para compila\u00e7\u00f5es com falha quando forem detectados segredos, configura\u00e7\u00f5es incorretas cr\u00edticas ou vulnerabilidades. Essa abordagem evolutiva geralmente funciona melhor do que simplesmente apertar um bot\u00e3o para bloquear tudo de uma vez.<\/p>\n
Executamos nosso pr\u00f3prio sistema de an\u00e1lise de composi\u00e7\u00e3o, portanto, n\u00e3o tratamos o KCS como uma fonte de verdade \u00fanica. Em vez disso, serve como uma poderosa camada extra em nossos fluxos de trabalho, e \u00e9 nesse aspecto que ele entrega mais valor.<\/p>\n
Enquanto nosso sistema interno de an\u00e1lise de composi\u00e7\u00e3o lida com rastreamento de componentes, depend\u00eancias e avalia\u00e7\u00e3o de risco em n\u00edvel de c\u00f3digo, o KCS se destaca na prote\u00e7\u00e3o do per\u00edmetro do cont\u00eainer. Ele cuida da verifica\u00e7\u00e3o t\u00e9cnica de imagens e da seguran\u00e7a de CI\/CD, ao mesmo tempo em que agrega relat\u00f3rios sobre artefatos de cont\u00eainer. N\u00e3o entra em conflito com nossa an\u00e1lise interna; ele a refor\u00e7a exatamente no ponto em que os cont\u00eaineres recebem cargas de trabalho reais.<\/p>\n
Isso \u00e9 particularmente \u00fatil para n\u00f3s em dois cen\u00e1rios. Primeiro, ele fornece controle de artefatos em est\u00e1gio inicial durante o desenvolvimento. Em segundo lugar, ele atua como um gatekeeper durante o aprova\u00e7\u00e3o de vers\u00e3o. N\u00e3o debatemos mais os riscos algum tempo depois do lan\u00e7amento; n\u00f3s os detectamos no ponto exato em que a equipe ainda pode corrigir rapidamente um Dockerfile, um gr\u00e1fico do Helm ou um conjunto de configura\u00e7\u00f5es sem uma longa cadeia de aprova\u00e7\u00e3o.<\/p>\n
O modo como ele lida com uma lista de materiais de software (SBOM) tamb\u00e9m merece destaque. Nosso sistema depende principalmente de SBOMs relevantes e atualizados. O KCS oferece modos espec\u00edficos para o processamento de SBOMs e pode at\u00e9 mesmo gerar resultados de verifica\u00e7\u00e3o no mesmo formato. Nesse sentido, o KCS se integra perfeitamente aos nossos processos internos, permitindo incorpor\u00e1-lo aos nossos fluxos de trabalho existentes, em vez de precisarmos adaptar nossos fluxos a ele.<\/p>\n
Sua outra camada poderosa \u00e9 a seguran\u00e7a do cluster. Neste est\u00e1gio, o KCS evolui para al\u00e9m de ser apenas uma ferramenta de verifica\u00e7\u00e3o de imagens. Ele apresenta pol\u00edticas de tempo de execu\u00e7\u00e3o para cont\u00eaineres e n\u00f3s, modos de auditoria e bloqueio, al\u00e9m de um conjunto de perfis de seguran\u00e7a. Em termos pr\u00e1ticos, isso significa que o KCS pode ser usado n\u00e3o apenas para encontrar vulnerabilidades em uma imagem, mas tamb\u00e9m para monitorar o que o cont\u00eainer est\u00e1 realmente fazendo quando ativo. As pol\u00edticas podem considerar a proveni\u00eancia da imagem, assinaturas digitais, restri\u00e7\u00f5es de recursos e volumes, bem como at\u00e9 mesmo os processos e as conex\u00f5es de rede em execu\u00e7\u00e3o dentro do cont\u00eainer.<\/p>\n
Quando um problema \u00e9 detectado, voc\u00ea tem a op\u00e7\u00e3o de registrar os resultados no modo de auditoria primeiro, em vez de bloquear o processo imediatamente. Em ambientes de produ\u00e7\u00e3o, essa \u00e9 sempre a decis\u00e3o mais inteligente. Outra ferramenta vital \u00e9 garantir a proced\u00eancia confi\u00e1vel das imagens. O KCS \u00e9 compat\u00edvel com a verifica\u00e7\u00e3o de assinatura digital, o que muda o foco de simplesmente encontrar CVEs para proteger toda a cadeia de fornecimento de software da empresa.<\/p>\n
O KCS faz mais do que apenas exibir os problemas que detecta; ele serve como uma fonte abrangente de relat\u00f3rios. Ele pode gerar relat\u00f3rios sobre imagens, riscos aceitos e benchmarks do Kubernetes.<\/p>\n
Os relat\u00f3rios gerados est\u00e3o dispon\u00edveis nos formatos HTML, PDF, CSV, JSON e XML, com compatibilidade espec\u00edfica para SARIF em relat\u00f3rios detalhados, o que \u00e9 ideal para integra\u00e7\u00e3o em fluxos de trabalho AppSec. Quanto aos SBOMs mencionados acima, os cen\u00e1rios de verifica\u00e7\u00e3o podem gerar artefatos e resultados nos formatos CycloneDX e SPDX, facilitando a conex\u00e3o a processos existentes.<\/p>\n
Para simplificar, o KCS complementa nossos fluxos de trabalho perfeitamente: n\u00e3o porque resolve todos os problemas, mas porque se integra de forma muito eficaz aos cen\u00e1rios de engenharia.<\/p>\n
Tamb\u00e9m valorizamos o fato de que a equipe do produto considera o nosso feedback. A equipe do KCS realmente incorpora nossas solicita\u00e7\u00f5es operacionais pr\u00e1ticas em seu roteiro de desenvolvimento. Por exemplo, a integra\u00e7\u00e3o profunda do SBOM e os tipos de relat\u00f3rio espec\u00edficos foram adicionados ao KCS como resultado direto de nossa experi\u00eancia pr\u00e1tica.<\/p>\n