PT Container Security 0.8: публичный API для управления продуктом

Positive Technologies, один из лидеров в области результативной кибербезопасности, представил новую версию продукта для защиты контейнерных сред PT Container Security — 0.8. Главное в релизе — публичный API для управления продуктом, расширение параметров в правилах реагирования, автоматическая генерация сертификатов для межсервисного взаимодействия, а также бесперебойное детектирование угроз рантайма¹ даже при возникновении ошибки.

В версии 0.8 PT Container Security реализована возможность управлять продуктом не только через веб-интерфейс, но и с помощью публичного API. Для этого пользователю с токеном доступа достаточно отправлять запросы к API по протоколу HTTPS через скрипт или утилиты. Теперь оператор SOC может обрабатывать события мониторинга рантайма связанными инструментами, в том числе с помощью системы класса SIEM. Обновление также позволило автоматизировать создание правил для защищаемых кластеров по всей инфраструктуре компании.

В новой версии PT Container Security поддерживаются запросы для работы с правилами реагирования и просмотра событий рантайма. Чтобы реализовать обработку других запросов, обратитесь в техническую поддержку.

Оператор SOC может настроить необходимые привилегии для каждого токена

PT Container Security 0.8 получил новые параметры правил реагирования для проверки через admission controller и мониторинга событий в рантайме. Были добавлены такие параметры, как поды², контейнеры, образы из указанных репозиториев, репозитории и ноды³ для событий рантайма. Обновленные правила позволяют учитывать специфику проверяемых ресурсов и точнее реагировать на инциденты, снижая нагрузку на систему.

Теперь проверка события рантайма в PT Container Security продолжается даже при возникновении ошибки на одном из детекторов в цепочке. Оператор SOC может дополнительно изучить возникшие ошибки и список детекторов, через которые не удалось завершить проверку. Непрерывность анализа экономит время специалиста по ИБ, освобождая его от необходимости вручную искать причину остановки и повторно запускать проверку всеми детекторами.

Строки с событиями, проверка которых завершилась с ошибками, выделяются красным цветом

Работа с сертификатами для обеспечения TLS-соединения между компонентами реализована инструментами Helm, сертификаты генерируются автоматически, что упрощает работу пользователя. По умолчанию они записываются в конфигурационный файл Helm-чарта values.yaml, однако сотрудники службы ИБ могут создать отдельный файл для хранения сертификатов.

Новая функциональность PT Container Security станет доступна пользователям после обновления продукта до последней версии.

¹ Рантайм — среда выполнения контейнеризованных приложений.

² Под — базовая единица развертывания в Kubernetes, представляющая собой один или несколько контейнеров, которые совместно используют ресурсы нод (например, сеть, диск, пространство имен пользователей).

³ Нода — физическая или виртуальная машина в составе кластера, на которой запускаются поды с контейнерами и которая содержит все необходимые для их работы компоненты.

Источник: Positive Technologies