Обеспечение безопасности с Deckhouse Kubernetes Platform

Команда информационной безопасности регионального банка столкнулась с двойным вызовом: необходимо было обеспечить соответствие требованиям Центрального Банка России и при этом ускорить вывод новых цифровых продуктов на рынок. В команде работало всего два специалиста, которые не справлялись с растущим объёмом проверок соответствия.

Решение с использованием DKP

Команда внедрила Deckhouse Kubernetes Platform Enterprise Edition, которая автоматизировала ключевые аспекты соответствия:

• Автоматическое соответствие CIS Kubernetes Benchmark
  Платформа помогла настроить кластер в соответствии с рекомендациями: ограничение сетевого доступа, запрет анонимного доступа, использование сертификатов и настройка прав доступа к файлам и каталогам. Проверки соответствия запускались автоматически, а результаты отображались в Grafana Dashboard. Это сократило время на ручные проверки на 85 %.
• Интеграция с требованиями
  DKP соответствует большинству рекомендаций Совета по стандартам безопасности платежных карт (PCI SSC). Автоматическое сканирование образов контейнеров на уязвимости, централизованное управление TLS-сертификатами и продвинутые сетевые политики на базе Cilium помогли соответствовать ключевым требованиям PCI DSS без дополнительных ресурсов.
• Система аудита безопасности
  Встроенная система аудита Kubernetes API и событий на уровне ядра позволила автоматизировать сбор и анализ безопасности событий, что критически важно для соответствия требованиям Банка России к аудиту. Настройка правил аудита и получение оповещений о подозрительной активности теперь выполняются через централизованный интерфейс без необходимости написания сложных скриптов.

Результаты

• Сокращение времени проверки соответствия с 3 недель до 2 дней
• Устранение более 90 % ручных операций, связанных с обеспечением соответствия необходимым требованиям к безопасности
• Возможность сосредоточиться на стратегических задачах вместо рутинных проверок
• Успешное прохождение аудита Банка России без замечаний по части безопасности Kubernetes-инфраструктуры

Вывод


DKP даёт возможность командам ИБ с ограниченными ресурсами эффективно справляться с регуляторными требованиями, превращая соответствие из «ручного» процесса в автоматизированную функцию платформы

Компания электронной коммерции запускала новый платёжный сервис за 6 недель. Сроки были ограничены из-за высокого конкурентного давления. Требовалось обеспечить соответствие PCI DSS, защиту персональных данных по ФЗ-152 и учесть санкционные ограничения. Команда ИБ из трёх человек не справлялась с задачей в установленные сроки по традиционному подходу.

Решение с использованием DKP

Компания выбрала Deckhouse Kubernetes Platform Enterprise Edition с возможностью развертывания в air-gapped окружении — это было критически важно для соблюдения регуляторных требований в ситуации санкционных ограничений.

• Air-gapped-развёртывание

  DKP поддерживает установку в полностью изолированных от интернета средах. Это позволило выполнить регуляторные требования и обеспечить физическую изоляцию критических систем без сложной предварительной настройки инфраструктуры.
• Автомасштабирование и безопасность
  Встроенные механизмы масштабирования, автоматической настройки управляющих компонентов, обнаружения и устранения угроз обеспечили стабильную работу платформы без постоянного участия ИБ-специалистов. Это помогло команде сосредоточиться на более важных задачах.
• Безопасные конфигурации «из коробки»
  DKP предоставляет набор проверенных политик безопасности: рекомендуемые конфигурации можно использовать сразу и при необходимости расширять. Это дало безопасную отправную точку для работы без необходимости разрабатывать политики с нуля.
• Модуль обнаружения угроз
  Встроенный модуль с набором правил и возможностью их расширения отслеживал подозрительную активность в реальном времени, что критично для платёжных систем. Всё это заменило необходимость внедрения отдельного SIEM-решения на начальных этапах.

Результаты

• Запуск платежного сервиса за 6 недель и в срок при полном соответствии требованиям безопасности
• Сокращение времени настройки безопасной среды с 3 недель до 2 дней
• Отсутствие критических уязвимостей в первом аудите безопасности
• Возможность масштабировать безопасность по мере роста продукта без значительного увеличения ИБ-ресурсов

Вывод


DKP позволяет командам ИБ поддерживать высокие темпы разработки, обеспечивая при этом необходимый уровень безопасности «из коробки», что особенно важно в условиях сжатых сроков и ограниченных ресурсов

Крупная телекоммуникационная компания имела более 50 Kubernetes-кластеров, развернутых в различных облаках и On-Premise, что создавало серьёзные проблемы для единой политики безопасности. Команда ИБ из пяти человек не справлялась с управлением политиками безопасности, аудитом и мониторингом в такой распределенной среде. Дополнительно требовалось соответствовать требованиям Роскомнадзора и ФСТЭК России, что усложняло задачу.

Решение с использованием DKP

Компания внедрила Deckhouse Kubernetes Platform Enterprise Edition с возможностью мультикластерного управления:

• Единая точка управления безопасностью
  DKP предоставила централизованный интерфейс для управления, мониторинга и контроля всей экосистемы через API и графический интерфейс. Команда ИБ получила единый инструмент для управления политиками во всех кластерах, что позволило сократить рутину на 70 %.
• Механизм мультикластерной безопасности
  Использование Istio Service Mesh в мультикластерном режиме обеспечило безопасное взаимодействие сервисов между различными кластерами. Это критически важно для телекоммуникационных компаний, где сервисы часто распределены между различными средами.
• Автоматизированное сканирование на наличие уязвимостей
  Ежедневное сканирование образов контейнеров на уязвимости с автоматической генерацией отчётов позволило своевременно выявлять и устранять уязвимости без постоянного внимания ИБ-специалистов. Все уязвимости уровня S1 обрабатываются в течение 24 часов, а уязвимости уровня S2 ‑ S5 — в течение 72 часов.
• Система управления сертификатами
  Централизованное управление TLS-сертификатами, включая мониторинг срока действия, выдачу и перевыпуск, а также выдачу самоподписанных сертификатов, обеспечило единый подход к шифрованию данных и соответствие требованиям ФСТЭК России к защите информации.

Результаты

• Сокращение времени на управление политиками безопасности в мультикластерной среде на 75 %
• Устранение 85 % ручных операций по мониторингу безопасности
• Повышение уровня соответствия требованиям регуляторов с 65 % до 98 %
• Сокращение времени реагирования на инциденты безопасности с 4 часов до 20 минут

Вывод


DKP помогает командам ИБ справляться с вызовами безопасности в сложных распределенных средах, превращая управление множеством кластеров из проблемы в преимущество за счёт централизованного подхода

Крупной промышленной компании нужно было срочно перестроить ИТ-инфраструктуру из-за новых санкционных ограничений. При переходе с западных облаков на российские решения важно было сохранить непрерывность бизнес-процессов, высокий уровень безопасности и соответствие отраслевым стандартам. Команда ИБ, уже загруженная текущими задачами, не могла решить это стандартными методами

Решение с использованием DKP


Компания выбрала Deckhouse Kubernetes Platform Enterprise Edition с возможностью развертывания в air-gapped-среде для обеспечения безопасности в условиях санкционных ограничений:

• Поддержка air-gapped-сред
  DKP позволяет развёртывать и управлять кластерами в полностью изолированных от интернета средах, что важно для соответствия санкционным требованиям. Благодаря этому компания перешла на российские облака и On-Premise без потери уровня безопасности.
• Сертификация на соответствие требованиям
  DKP соответствует стандартам безопасности, включая поддержку SELinux и соответствие большинству требований PCI SSC, что помогло сохранить соответствие регуляторным требованиям во время миграции. Это сократило время на повторную сертификацию.
• Автоматизация обновлений безопасности
  Механизмы автоматического обновления компонентов DKP в соответствии с регламентами позволили своевременно применять патчи безопасности даже в отсутствии интернет-соединения. Это было критически важно в условиях, когда доступ к внешним репозиториям оставался ограничен.
• Интеграция с российскими решениями ИБ
  DKP поддерживает интеграцию с внешними системами мониторинга и безопасности, включая отправку логов в совместимые SIEM-решения. Это сохранило существующие процессы мониторинга безопасности при переходе на новую инфраструктуру.

Результаты

• Успешная миграция с западных облачных платформ на российские решения за 8 недель
• Сохранение 100 % соответствия требованиям безопасности и регуляторным стандартам
• Сокращение времени на применение критических патчей безопасности с 72 часов до 6 часов
• Отсутствие инцидентов безопасности во время миграции

Вывод


С DKP компании минимизируют риски,связанные с геополитической нестабильностью и санкционными ограничениями, и получают непрерывность бизнеса и высокий уровень безопасности

Компания в сфере здравоохранения, обрабатывающая персональные данные пациентов, испытывала острую нехватку специалистов по безопасности. При этом требования к защите данных по ФЗ-152 и отраслевым стандартам были крайне строгими. Внутренний аудит показал: команда ИБ не покрывает 65 % необходимых процессов из-за нехватки персонала.

Решение с использованием DKP


Компания внедрила Deckhouse Kubernetes Platform Enterprise Edition с акцентом на автоматизацию процессов безопасности:

• Автоматическая проверка соответствия CIS Benchmark
  DKP автоматически запускает тесты во всех кластерах для обеспечения соответствия рекомендациям CIS Benchmark, а результаты отображаются в Grafana Dashboard. Это позволило заменить ручные проверки, которые занимали до 30 часов в неделю, на автоматизированный процесс.
• Система управления ролями и правами
  Расширенная ролевая авторизация с возможностями, выходящими за рамки стандартного RBAC с семью предустановленными ролями и возможностью создавать собственные обеспечила чёткое разделение прав. Управление доступом было автоматизировано — раньше на это уходило слишком много ресурсов.
• Модуль аудита безопасности
  Встроенная в платформу система аудита безопасности (runtime-audit-engine) автоматически собирала и анализировала события на уровне ядра ОС и Kubernetes API, что сократило время на обработку и анализ событий аудита на 80 %.
• Политики безопасности на основе Pod Security Standards
  Поддержка Pod Security Standards с тремя предопределенными уровнями ограничений и возможностью их расширения позволила автоматизировать применение политик безопасности к контейнерам. Это заменило ручную проверку конфигураций безопасности для каждого нового сервиса.

Результаты

• Сокращение времени на рутинные операции безопасности до 75 %, что позволило сосредоточиться на стратегических задачах
• Увеличение покрытия процессов безопасности с 35 % до 95 % без увеличения штата
• Сокращение времени на реагирование на инциденты безопасности с 4 часов до 30 минут
• Успешное прохождение внешнего аудита безопасности без критических замечаний

Вывод


DKP позволяет командам ИБ с ограниченным штатом эффективно выполнять свои функции, автоматизируя рутинные задачи и фокусируясь на стратегических аспектах безопасности