Новости

PT Container Security 0.8: публичный API для управления продуктом

Positive Technologies, один из лидеров в области результативной кибербезопасности, представил новую версию продукта для защиты контейнерных сред PT Container Security — 0.8. Главное в релизе — публичный API для управления продуктом, расширение параметров в правилах реагирования, автоматическая генерация сертификатов для межсервисного взаимодействия, а также бесперебойное детектирование угроз рантайма1 даже при возникновении ошибки.

В версии 0.8 PT Container Security реализована возможность управлять продуктом не только через веб-интерфейс, но и с помощью публичного API. Для этого пользователю с токеном доступа достаточно отправлять запросы к API по протоколу HTTPS через скрипт или утилиты. Теперь оператор SOC может обрабатывать события мониторинга рантайма связанными инструментами, в том числе с помощью системы класса SIEM. Обновление также позволило автоматизировать создание правил для защищаемых кластеров по всей инфраструктуре компании.

1 Рантайм — среда выполнения контейнеризованных приложений.

«Чтобы повысить удобство управления PT Container Security, мы реализовали широкий спектр параметров для каждого токена. Сотрудники службы ИБ могут задавать необходимый срок действия токена и список привилегий. Их можно максимально ограничить, например предоставив пользователю только право на чтение событий истории. Обеспечить безопасность позволяет возможность администратора единовременно отзывать все токены».

Никита Ладошкин
Никита ЛадошкинРуководитель разработки PT Container Security в Positive Technologies

В новой версии PT Container Security поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма. Чтобы реализовать обработку других запросов, обратитесь в техническую поддержку.

Оператор SOC может настроить необходимые привилегии для каждого токена
Оператор SOC может настроить необходимые привилегии для каждого токена

 

PT Container Security 0.8 получил новые параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. Были добавлены такие параметры, как поды2, контейнеры, образы из указанных репозиториев, репозитории и ноды3 для событий рантайма. Обновленные правила позволяют учитывать специфику проверяемых ресурсов и точнее реагировать на инциденты, снижая нагрузку на систему.

Теперь проверка события рантайма в PT Container Security продолжается даже при возникновении ошибки на одном из детекторов в цепочке. Оператор SOC может дополнительно изучить возникшие ошибки и список детекторов, через которые не удалось завершить проверку. Непрерывность анализа экономит время специалиста по ИБ, освобождая его от необходимости вручную искать причину остановки и повторно запускать проверку всеми детекторами.

Строки с событиями, проверка которых завершилась с ошибками, выделяются красным цветом
Строки с событиями, проверка которых завершилась с ошибками, выделяются красным цветом

Работа с сертификатами для обеспечения TLS-соединения между компонентами реализована инструментами Helm, сертификаты генерируются автоматически, что упрощает работу пользователя. По умолчанию они записываются в конфигурационный файл Helm-чарта values.yaml, однако сотрудники службы ИБ могут создать отдельный файл для хранения сертификатов.

Новая функциональность PT Container Security станет доступна пользователям после обновления продукта до последней версии.

2 Под — базовая единица развертывания в Kubernetes, представляющая собой один или несколько контейнеров, которые совместно используют ресурсы нод (например, сеть, диск, пространство имен пользователей).

3 Нода — физическая или виртуальная машина в составе кластера, на которой запускаются поды с контейнерами и которая содержит все необходимые для их работы компоненты.

PT Container Security 0.8: публичный API для управления продуктом | Новости Positive Technologies