Runtime security, practica de a proteja aplicațiile containerizate în timp ce acestea sunt implementate în orchestrator, este esențială pentru apărarea împotriva amenințărilor cibernetice în timp real care pot compromite sarcinile de lucru active. Pentru companiile cu sedii multiple, care operează în mai multe locații și regiuni, provocările de gestionare a runtime security sunt mai complexe decât pentru companiile fără sucursale. În acest articol, Kaspersky explorează aceste provocări și sugerează strategii pentru contracararea riscurilor legate de runtime security în organizațiile cu sedii multiple.

Potrivit celui mai recent studiu Kaspersky „Managing geographically distributed businesses: challenges and solutions”, 85% dintre cei care folosesc metode de container development au declarat că au experimentat incidente de securitate cibernetică legate de containere și/sau Kubernetes în ultimele 12 luni. Aproximativ o treime au fost incidente cibernetice în timpul rulării (32%) care au creat vulnerabilități grave ale sistemului. În acest articol, Kaspersky împărtășește căror riscuri în protejarea timpului de execuție trebuie să li se acorde atenție în companiile cu sedii multiple și cum ar putea să facă față acestor riscuri.

Runtime security implică protecția aplicațiilor containerizate și a mediului lor în timp ce sunt implementate în orchestrator, ceea ce include monitorizarea și gestionarea mai multor aspecte și riscuri asociate cu acestea:

  • Trafic între containere. Într-o arhitectură de microservicii, mai multe containere comunică adesea între ele, formând o rețea complexă de interacțiuni. Pentru companiile geo-distribuite, acest trafic se întinde pe diferite regiuni, ceea ce îl face și mai dificil de monitorizat. Natura dinamică a orchestrării containerelor, în care containerele pot fi implementate, scalate și închise frecvent, adaugă complexitate. Traficul nemonitorizat poate fi exploatat de atacatori pentru a se deplasa lateral în cadrul rețelei, obținând acces la date și servicii sensibile.
  • Procese în interiorul containerelor. Fiecare container rulează procese care pot fi puncte de intrare potențiale pentru breșe de securitate. Monitorizarea acestor procese este crucială pentru a detecta orice comportament neobișnuit care ar putea indica un compromis. Cu toate acestea, natura efemeră a containerelor și volumul mare de procese care rulează în implementări la scară largă fac această sarcină dificilă. Pentru companiile cu sedii multiple, provocarea este amplificată de necesitatea de a monitoriza procesele în diferite locații, fiecare cu propriul set de cerințe de securitate și probleme de conformitate.
  • Vizibilitate și context. Obținerea vizibilității asupra a ceea ce se întâmplă în interiorul containerelor este în mod inerent dificilă, deoarece acestea funcționează ca medii izolate. Pentru companiile cu sedii multiple, menținerea vizibilității în mai multe regiuni este una dintre provocările majore. În plus, înțelegerea contextului anomaliilor detectate – indiferent dacă sunt benigne sau rău intenționate – necesită o perspectivă profundă asupra comportamentului normal al aplicației și a liniei de bază a mediului, care poate diferi de la o regiune la alta.

În ciuda acestor provocări, mai multe strategii pot ajuta la îmbunătățirea runtime security. Una este segmentarea rețelei, ceea ce înseamnă împărțirea ei în secțiuni mai mici, izolate, cu controale stricte de acces. Acest lucru poate limita capacitatea unui atacator de a se deplasa lateral în interiorul rețelei, dacă încalcă securitatea unui container.

O altă strategie presupune monitorizarea comportamentului containerelor și a proceselor acestora. Prin utilizarea instrumentelor avansate de monitorizare, o activitate neobișnuită poate fi rapid identificată și semnalată ca o potențială amenințare.

Soluțiile de securitate specializate cu funcții de scanare continuă joacă, de asemenea, un rol crucial. Astfel de instrumente scanează amenințările și răspund în timp real, ceea ce ajută la rezolvarea rapidă a oricăror probleme de securitate care apar, fără a necesita supraveghere umană constantă. Scanarea continuă poate oferi apărare imediată împotriva atacurilor, detectând și prevenind activitățile rău intenționate pe măsură ce se întâmplă.

În plus, este vitală păstrarea jurnalelor detaliate ale tuturor activităților containerelor și ale traficului din rețea. Aceste jurnale ajută la înțelegerea a ceea ce s-a întâmplat în timpul unui incident de securitate și contribuie în luarea de măsuri corective pentru a preveni viitoarele breșe. Pentru companiile cu sedii multiple, soluțiile de înregistrare centralizate, care adună date din diferite regiuni pot oferi o imagine cuprinzătoare a evenimentelor de securitate și pot eficientiza răspunsul la incident.