Nová generace zabezpečení pro Linux

Zároveň BEST pro Linux v.7 přináší nové funkcionality, jako jsou modul pokročilý Anti-Exploit, rozšíření EDR funkcionalit, což znovu mění hrací pole v boji proti pokročilým rootkitům hlouběji ve prospěch obránců, a funkci doteď neviděnou – ochranu kontejnerizovaných prostředí.

Kontejnery. Kontejnery. Všude samé kontejnery… k čemu vlastně jsou?

V oblasti abstrakce zdrojů jsme od prvních krůčků v podobě mainframů přes virtualizaci a cloudy dorazili v tomto tisíciletí ke „kontejnerům“. 

Kontejnery nabízejí další možnost optimalizace nákladů na vlastnictví a provoz podnikových systémů. Jak ale udržet kontejnerizované prostředí zabezpečené? 

Nejdříve je třeba porozumět tomu, jak odlišné jsou kontejnery od běžné virtualizace.

• Na virtuálním stroji běží vlastní operační systém s „virtuálním“ přístupem k hostitelskému hardwaru pomocí abstrakční vrstvy v podobě hypervizora (např. VMware). Virtualizován je tedy hardware, ne software.
• Kontejnery jsou pak pouhým balíčkem knihoven a dalších závislostí (souborů) v prostředí s „virtuálním“ přístupem ke zdrojům podkladového operačního systému pomocí abstrakční vrstvy v podobě kontejnerizační aplikace (např. Docker). Virtualizován je pouze software.

Jelikož se mohu snažit sebelépe rozdíly popsat, obrázek řekne více než tisíc slov:

Je tedy jasné, že kontejnery jsou mnohem „lehčí“, zabírají méně místa a pro provoz potřebují méně prostředků. Je mnohem rychlejší je spustit a vypnout, a tudíž umožňují velmi snadné škálování.

Z tohoto pohledu se zdá, že kontejnery jsou méně bezpečné, a trochu pravdy na tom je, nicméně tato flexibilita je zároveň i výhodou – snazší a rychlejší nahrazení nezabezpečených kontejnerů jejich zabezpečenou verzí bez dopadu na chod podniku oproti náhradě celého virtuálního stroje (případně přeinstalace aplikací uvnitř virtuálního stroje) apod.

Jak zabezpečit kontejnerizované prostředí?

BEST pro Linux v.7 je dodáván ve dvou formách. Obě formy chrání jak hostitele kontejnerů, tak kontejnery běžící na tomto hostiteli.

1. Aplikace běžící na hostiteli kontejnerů. Toto je vhodné hlavně pro jednoduchá (statická) prostředí.
2. Bezpečnostní kontejner – vytvoří nový kontejner a rozběhne instanci tohoto kontejneru.

Toto řešení je vhodné zejména pro orchestrovaná (dynamická) prostředí (umí automaticky zajistit běh instance bezpečnostního kontejneru na každém hostiteli kontejnerů, ať se do orchestrovaného prostředí přidá jakýkoli počet nových hostitelů).

Autorem článku je Jaroslav Hromátka, Security Specialist, IS4 security