Комплекс стратегий, процессов и технологий, направленных на защиту развёртываний и эксплуатации окружений, обеспечивающий целостность, конфиденциальность и доступность данных и приложений
Безопасность
в Deckhouse Kubernetes
Platform
Как Dеckhouse Kubernetes Platform обеспечивает информационную безопасность
Сокращение затрат на обеспечение безопасности
Комплексное решение «из коробки» с единой поставкой, обновлениями и техподдержкой всего стека безопасности снижает до 80 % ручных операций за счёт автоматизации и устраняет необходимость интеграции отдельных инструментов
Управление секретами и криптографией
Предусмотрены централизованное хранение и управление секретами в кластере, автоматическая ротация сертификатов и интеграция с корпоративными Vault и HSM
Глубокая изоляция и сегментация
В Deckhouse Kubernetes Platform (DKP) реализованы мультиарендность с полной изоляцией ресурсов, микросегментация сети с автогенерацией политик и VLAN-изоляция рабочих сред
Forensics и расследование инцидентов
Платформа обеспечивает детальный аудит событий ядра и K8s API, хранение и структурирование логов для ретроспективного анализа, интеграцию с внешними SIEM-системами и визуализацию цепочек событий через дашборды
Снижение времени реакции на инциденты
Обнаружение угроз в реальном времени, 300+ преднастроенных алертов с маршрутизацией по уровням критичности и диагностика за 30 секунд через 60+ дашбордов ускоряют реагирование и минимизируют ущерб от инцидентов
Готовые механизмы для DevSecOps
Встроенные shift-left политики, интеграция с CI/CD, контроль доверенных registry и запрет небезопасных практик, включая использование latest-тегов и отсутствие лимитов ресурсов, помогают выстраивать безопасную разработку с самого начала
Минимизация рисков нарушения compliance
Сертифицированная по требованиям ФСТЭК и регулярно ресертифицируемая платформа готова к эксплуатации в КИИ 1-й категории, с ПДн 1-го уровня и в ГИС 1-го класса
Для кого
CISO и руководители ИБ
Специалисты ИБ
Команды эксплуатации
Минимизация рисков нарушения compliance
- Первая и регулярно ресертифицируемая платформа контейнеризации по требованиям ФСТЭК (приказы №118, №76)
- Готовность к работе с объектами КИИ 1-й категории, ПДн 1-го уровня, ГИС 1-го класса
Сокращение затрат на обеспечение безопасности
- Комплексное решение «из коробки» вместо необходимости интеграции отдельных инструментов безопасности
- Единая поставка, обновления и техподдержка всего стека безопасности
- Снижение до 80 % ручных операций по управлению безопасностью благодаря автоматизации
Управление секретами и криптографией
- Централизованное управление секретами в кластере
- Автоматическая ротация сертификатов
- Интеграция с корпоративными Vault и HSM
Глубокая изоляция и сегментация
- Мультиарендность на уровне проектов с полной изоляцией ресурсов
- Микросегментация сети с автогенерацией сетевых политик
- VLAN-изоляция на уровне проектов
Forensics и расследование инцидентов
- Детальный аудит всех действий (kernel events, K8s API)
- Хранение и структурирование логов с возможностью ретроспективного анализа
- Интеграция с внешними SIEM-системами
- Дашборды для визуализации цепочек событий
Снижение времени реакции на инциденты
- Диагностика проблем безопасности за 30 секунд через 60+ готовых дашбордов
- 300+ преднастроенных алертов с интеллектуальной маршрутизацией по уровням критичности
- Автоматическое обнаружение угроз в режиме реального времени
Готовые механизмы для DevSecOps
- Интеграция с CI/CD для автоматизации проверок безопасности
- Политики shift-left для раннего обнаружения проблем
- Контроль использования только доверенных registry
- Запрет небезопасных практик (latest-теги, отсутствие лимитов ресурсов)
Компоненты системы безопасности DKP
Identity and Access Management
Единый центр аутентификации, авторизации и управления ролями
Мультиарендность на базе проектов
Квотирование, изоляция ресурсов и политики доступа для создания безопасных пользовательских окружений
Сontainer Security
Политики запуска контейнеров, проверка подписи контейнеров, поиск угроз безопасности и сканирование образов в runtime
Управление секретами и сертификатами
Управление жизненным циклом SSL-сертификатов и секретов, интеграция с внешним системами Certificate Authority и Secret Management
Контроль конфигураций и оповещение о событиях ИБ
Compliance проверки на соответствие отраслевым стандартам, встроенные механизмы оповещений о событиях ИБ, сбор, обработка и отправка аудит-логов в SIEM-системы
Web-интерфейсы к инструментам ИБ
Решение задач ИБ через web-интерфейс платформы
Сетевая безопасность
Микросегиментация и визуализация сетевого стека, возможности Service mash, включая мультикластер и федерацию, поддержка Ingress / Egress gateway
Интеграция с наложенными средствами безопасности
Взаимная сертификация с решениями класса Container Security, SIEM, ASOC и антивирусами в случае необходимости выполнения специфичных требований от подразделений ИБ и регуляторов
Поддержка российских ОС
Поддержка сертифицированных российских ОС, интеграция с CVE-листами от вендоров ОС, БДУ и ФСТЭК
Безопасность при разработке платформы
Разработка платформы в соответствии с ГОСТ 56939-2024
Обучение в Deckhouse Академии
Программы обучения и сертификационные экзамены
| Коммерческие редакции | |||||||
|---|---|---|---|---|---|---|---|
| Community Edition | Basic Edition | Standard Edition | Standard Edition+ | Enterprise Edition | Certified Security Edition Lite | Certified Security Edition Pro | |
| Подсистема Identity and Access Management | |||||||
| Встроенная возможность управления пользователями | |||||||
| Готовая интеграция с провайдерами/ протоколами аутентификации | Провайдеры: GitHub, GitLab, BitBucket Cloud, Crowd, Blitz, Okta, Keycloak, Gluu, Active Directory, Dex, Basealt, Astra, Red и другие Протоколы: LDAP, OIDC, OAuth2, SAML |
||||||
| Возможности мультиарендного использования кластера | |||||||
| Поддержка двухфакторной аутентификации встроенными средствами | |||||||
| Парольная политика для локальных пользователей | |||||||
| Подсистема Container Security | |||||||
| Политики безопасности (кроме запрета на запуск контейнеров с уязвимостями и проверки подписи образов контейнеров) | |||||||
| Проверка подписи образов контейнеров | |||||||
| Запрет на запуск контейнеров с уязвимостями | |||||||
| Поиск угроз безопасности | |||||||
| Сканирование образцов в runtime на уязвимости | |||||||
| Управление секретами и сертификатами | |||||||
| Базовые возможности управления жизненным циклом секретов (хранение, создание, доставка, отзыв и ротация секретов, базовое автоматическое распечатывание хранилища) на основе Stronghold CE | |||||||
| Расширенные возможности управления жизненным циклом секретов (пространства имён, безопасное автоматическое распечатывание хранилища, репликация данных, резервное копирование данных по расписанию) на основе Stronghold EE / CSE | |||||||
| Интеграция с внешним хранилищем секретов | |||||||
| Управление SSL-сертификатами | |||||||
| Контроль конфигураций и оповещение о событиях ИБ | |||||||
| Оповещения о событиях безопасности | |||||||
| Контроль конфигураций на соответствие CIS Benchmark | |||||||
| Сетевая безопасность | |||||||
| Сетевые политики на базе cilium (микросегментация) | |||||||
| Возможности Service Mesh (кроме создания мультикластера и федерации, кроме управления авторизацией доступа между сервисами) | |||||||
| Управление авторизацией доступа между сервисами с помощью ресурса AuthorizationPolicy | |||||||
| Возможность объединения кластеров в режиме мультикластера или федерации | |||||||
| Возможность определения выходных узлов (Egress Gateway) | |||||||
| Визуализация сетевого стека кластера в случае если включен Cilium CNI | |||||||
| Интеграция с наложенными средствами безопасности | |||||||
| Встроенная платформа безопасности контейнеров полного жизненного цикла | |||||||
| Подтвержденная совместимость с партнёрскими решениями по безопасности | НОТА КУПОЛ, Kaspersky Container Security, Kaspersky Endpoint Security для Linux, Luntry, PT Container Security, BI.ZONE EDR, Webmonitorx ПроWAF и другие | ||||||