Similar presentations:
Разработка системы автоматизированного сканирования конфигураций Docker-контейнеров и Kubernetes-кластеров на предмет соответствия общеприняты
1.
2026Докладчик: Бочкарев Дмитрий
Евгеньевич
Руководитель: Журавская Анжелика
Михайловна
РАЗРАБОТКА СИСТЕМЫ АВТОМАТИЗИРОВАННОГО СКАНИРОВАНИЯ
КОНФИГУРАЦИЙ DOCKER-КОНТЕЙНЕРОВ И KUBERNETES-КЛАСТЕРОВ НА
ПРЕДМЕТ СООТВЕТСТВИЯ ОБЩЕПРИНЯТЫМ ТРЕБОВАНИЯМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.
Актуальность темы исследованияШирокое внедрение контейнерных технологий Docker и Kubernetes в корпоративных
информационных системах привело к усложнению архитектуры приложений и росту рисков
информационной безопасности. Существенная часть инцидентов в контейнерных средах связана с
ошибками конфигурации, а не с уязвимостями программного кода. В условиях динамического
масштабирования и использования CI/CD ручной контроль параметров безопасности становится
неэффективным, что обусловливает необходимость автоматизированных решений для мониторинга
и анализа конфигурационной безопасности контейнерных инфраструктур.
2
3.
Объект и предмет исследованияОбъектом исследования является контейнерная инфраструктура корпоративной информационной
системы, основанная на использовании технологий контейнеризации Docker и оркестрации
Kubernetes.
Предметом исследования являются методы, модели и программные средства автоматизированного
анализа, контроля и оценки конфигурационной безопасности Docker-контейнеров и Kubernetesкластеров.
3
4.
Цели и задачи исследованияЦель выпускной квалификационной работы – разработка системы автоматизированного сканирования
конфигураций Docker-контейнеров и Kubernetes-кластеров на соответствие требованиям информационной
безопасности с целью повышения уровня защищённости корпоративной контейнерной инфраструктуры.
Задачи исследования:
1. Проанализировать технологии Docker и Kubernetes, а также угрозы и уязвимости контейнерных и
кластерных инфраструктур с позиции конфигурационной безопасности.
2. Изучить существующие инструменты и подходы к автоматизированной проверке конфигураций
контейнерных сред и соблюдению требований информационной безопасности.
3. Определить требования к системе автоматизированного сканирования и разработать архитектуру
предлагаемого решения.
4. Реализовать программные модули анализа конфигураций Docker и Kubernetes с использованием средств
автоматизации и оркестрации.
5. Провести тестирование разработанной системы в контейнерной инфраструктуре ООО «БАСТИОН» и
оценить результаты её внедрения.
4
5. Обзор существующих решений и подходов
Существующие решения для обеспечения безопасности контейнерных сред Docker и Kubernetes восновном ориентированы на статический анализ контейнерных образов либо на мониторинг среды
выполнения.
При этом контроль конфигурационной безопасности контейнеров и кластеров, включая проверку
соответствия рекомендациям CIS Benchmarks, реализуется фрагментарно и, как правило, не
интегрирован в процессы CI/CD.
Кроме того, автоматизация сбора конфигурационных данных, их централизованный анализ и
формирование рекомендаций по устранению выявленных нарушений в большинстве инструментов
представлены ограниченно.
Указанные ограничения обусловливают необходимость разработки комплексной системы
автоматизированного сканирования конфигураций контейнерной инфраструктуры.
5
6. Сравнение подходов к обеспечению безопасности контейнерных сред
КритерийДо реализации
После реализации
Тип анализа
Статический или runtime
Комплексный конфигурационный
Контроль конфигураций
Фрагментарный
Полный, по требованиям ИБ
CIS Benchmarks
Частично
Да
Интеграция в CI/CD
Ограниченная
Да
Автоматизация сбора данных
Ограниченная
Да
Формирование рекомендаций
Не всегда
Да
6
7. Постановка задачи и подход
Проблема:Отсутствие автоматизированного контроля конфигурационной безопасности
Docker-контейнеров и Kubernetes-кластеров в условиях CI/CD.
Задача:
Разработка системы автоматизированного сканирования конфигураций
контейнерной инфраструктуры на соответствие требованиям
информационной безопасности.
Подход:
● автоматизированный сбор конфигураций Docker и Kubernetes;
● анализ конфигураций по требованиям CIS Benchmarks;
● формирование отчётов и рекомендаций;
● интеграция проверок в CI/CD.
7
8. Архитектура разработанной системы
Рисунок 1 – Архитектура разработанной системыАрхитектура системы построена по модульному принципу и
включает уровень управления, сбора конфигураций,
анализа конфигурационной безопасности и хранения результатов.
8
9. Реализация разработанной системы
Разработанная система реализует автоматизированный процесс контроля конфигурационной безопасностиконтейнерной инфраструктуры на базе Docker и Kubernetes. В ходе реализации обеспечен автоматический сбор
конфигурационных параметров контейнеров и объектов Kubernetes, их анализ на соответствие требованиям
информационной безопасности, включая рекомендации CIS Benchmarks, а также формирование результатов
проверки и рекомендаций по устранению выявленных нарушений. Запуск процедур сканирования интегрирован в
существующие процессы CI/CD, что позволяет выполнять контроль конфигураций на регулярной основе без
ручного вмешательства.
9
10. Экспериментальная оценка разработанной системы
ПоказательРезультат
Среда эксперимента
Docker-контейнеры на базе
Ubuntu 20.04
Метод анализа
CIS Benchmark for Ubuntu 20.04
Механизм
исправления
Ansible playbook
Автоматически
исправлено
19 конфигурационных
параметров
Показатель
эффективности
Коэффициент защищённости
Прирост
защищённости
+36%
Результаты тестирования подтвердили
работоспособность автоматизированного
анализа и исправления конфигурационных
нарушений, обеспечив прирост
коэффициента защищённости
контейнерной среды.
10
11. Результаты эксперимента
РезультатПодтверждение
Реализована
система
Автоматизированный анализ и исправление
конфигураций Docker и Kubernetes
Методика
безопасности
CIS Ubuntu Benchmark 20.04
Полученные результаты подтверждают
практическую применимость
разработанного подхода для повышения
конфигурационной безопасности
контейнерной инфраструктуры.
Механизм
Ansible playbook
автоматизации
Эксперимент
Проведён в тестовой зоне инфраструктуры ООО
«БАСТИОН»
Исправлено
нарушений
19 конфигурационных параметров
Прирост
≈ 36% (Kдо = 0,535 → Kпосле = 0,894)
защищённости
11
12. Результаты эксперимента
Рисунок 2 – Полученные отчетыРисунок 3 – Пример описания критерия безопасности
12
13. Перспективы развития системы
Разработанная система ориентирована на статический анализ конфигураций контейнернойинфраструктуры. В качестве дальнейшего развития рассматривается внедрение runtime-мониторинга
для выявления аномалий в процессе выполнения контейнеров, а также механизмов контроля политик
безопасности Kubernetes, предотвращающих развертывание ресурсов с небезопасными параметрами.
Реализация указанных направлений позволит перейти от реактивного анализа к проактивному
управлению безопасностью контейнерной среды.
13
14. Итоговые выводы
Задачи, которые были выполнены в работе:● проведён анализ безопасности контейнерных сред Docker и Kubernetes и существующих подходов к
обеспечению конфигурационной безопасности;
● разработан метод автоматизированного анализа и исправления конфигурационных нарушений на основе
требований CIS Benchmark;
● реализованы Ansible-сценарии для автоматического сканирования и приведения конфигураций
контейнеров в соответствие требованиям информационной безопасности;
● разработана система автоматизированного развертывания и мониторинга компонентов Kubernetes с
интеграцией в CI/CD;
● проведено тестирование разработанного решения в корпоративной контейнерной инфраструктуре ООО
«БАСТИОН» и подтверждена возможность повышения уровня конфигурационной защищённости
контейнерной среды.
14
software