Prisma Cloud продолжает усиливать безопасность хостов и контейнеров

Prisma Cloud становится единственной в отрасли интегрированной платформой с межсетевым экраном веб-приложений (WAF), защитой API, защитой во время исполнения и защитой от ботов

Компания Palo Alto Networks анонсировала целый ряд обновлений платформы Prisma Cloud, которые повысят безопасность рабочих нагрузок на хостах и контейнерах.

Palo Alto Networks стремится к тому, чтобы обеспечить комплексную защиту рабочих нагрузок в облачной нативной среде на основе своей CWP-платформы (Cloud Workload Protection) для всех элементов инфраструктуры (хосты, контейнеры и кластеры Kubernetes), а также для функций бессерверных технологий — как во время выполнения приложения, так и на протяжении всего остального его жизненного цикла.  

Отрасли нужны интегрированные инструменты

Интегрированные и комплексные платформы становятся жизненно необходимыми по мере того, как растёт использование облачных нативных технологий.  Результаты опроса, проведенного фондом Cloud Native Computing Foundation в 2020 году, показали следующее:

  • Применение контейнеров стремительно растёт. Например, их использование в production-среде, начиная с 2016 года, увеличилось на 300%, при том, что только в прошлом году этот рост составил 84%.
  • Kubernetes используется шире и чаще, чем когда-либо. Так, 91% респондентов используют Kubernetes, причем 83% — в production-среде.
  • Внедрение бессерверных архитектур продолжается. Из числа опрошенных 30% сообщили, что используют бессерверные технологии в своих production-средах.
  • Технологии CI/CD жизненно важны для пользователей нативных облачных сред. Более 80% респондентов используют пайплайны CI/CD в production-среде.

Стремясь повысить эффективность, организации внедряют разные сочетания  нативных облачных архитектур, объединяют их с различными конвейерными технологиями и интегрируют всё это в короткие циклы релиза. Однако зачастую организации составляют «лоскутное одеяло» из множества разрозненных, точечных решений для безопасности своих технологических стеков, что создает повышенную нагрузку на персонал и пробелы в защите.

Новейшие возможности Prisma Cloud позволяют командам DevOps максимально быстро создавать и разворачивать свои приложения и рабочие нагрузки, а службам безопасности — обеспечивать комплексную защиту.

Комплексный подход к безопасности веб-приложений и API

При запуске Prisma Cloud 2.0 Palo Alto Networks представила свою новейшую разработку — Web Application and API Security (WAAS) — модуль обнаружения и защиты веб-приложений и облачных API-интерфейсов. В модуле можно настраивать проверки на соответствие требованиям OWASP Top 10, а также функции защиты API и среды исполнения приложений. Единая панель управления, интегрированная с унифицированной системой программных агентов Defender, даёт возможность легко и быстро развернуть и включить защиту для нативных облачных приложений.

Чтобы продемонстрировать потенциал модуля, команда разработчиков провела внутренний сравнительный анализ с передовыми решениями других вендоров. Команда массировано атаковала более 200.000 легитимных онлайн-транзакций, используя широкий набор новейших техник атаки и замеряя при этом количество ложно-позитивных и ложно-негативных срабатываний.

В новом сравнительном отчете детально изложено, каким образом возможности Prisma Cloud WAAS превосходят шесть других существующих решений от разных производителей. У межсетевого экрана Prisma Cloud самый высокий показатель точности — 99,3%; он показывает, насколько точно экран фильтрует ложно-положительные срабатывания. При этом уровень неотфильтрованных ложных срабатываний также оказался ниже всех — всего 0,02%.

Новые возможности управления ботами и усиленная защита от DoS-атак

Рис. 1. Панель управления защитой от ботов на Prisma Cloud

Помимо публикации результатов сравнительного тестирования, компания Palo Alto Networks также представляет новые продвинутые возможности WAAS. Среди них:

  • Защита от ботов. Пользователи WAAS имеют возможность решать, как обрабатывать запросы от ботов разных типов. Есть возможность настроить видимость тех или иных ботов для системы и защиту от них; настроить эти параметры можно по известным и неизвестным ботам, а также по тем, которые определяются самим пользователем. Каждый вид настройки может применяться к конкретным приложениям по выбору специалистов службы безопасности.
  • Усиленная защита от DoS-атак. Теперь в WAAS входит функция защиты от DoS-атак на прикладном уровне, которая реализуется через настройки ограничений скорости подключения.

Рис. 2. Обновлённая функция агрегирования событий в системе WAAS

Безопасность хоста: настраиваемые комплаенс- политики

Несмотря на продолжающийся стремительный рост использования контейнеров и Kubernetes, хосты и виртуальные машины по-прежнему остаются главными элементами стратегии облачной инфраструктуры. Неважно, как организация мигрирует в облако — просто переносит туда свои ресурсы или использует виртуальные машины для контейнеризации этих ресурсов — службам ИБ нужно защищать эти рабочие нагрузки. Обязательный функционал включает систему непрерывного управления уязвимостями, соответствия стандартам, защиту среды исполнения (мониторинг целостности файлов, проверку журналов, кастомизацию правил для среды исполнения), а также механизмы контроля доступа и форензику.

С помощью новых настраиваемых политик проверки хостов на соответствие стандартам ИБ пользователи могут проверят хосты с помощью Bash-скриптов. Такими скриптами можно проверять на соответствие требованиям политик операционные системы хоста, конфигурации оркестратора и среды исполнения.  

Рис. 3. Скриншот панели для редактирования хостовой политики комплаенса

Безопасность контейнеров: повышенное понимание кластера Kubernetes и проверка соответствия CRI-O

Новые возможности кластера Kubernetes

Службы безопасности должны отслеживать и обеспечивать защиту растущих и непрерывно изменяющихся сред Kubernetes, и нативные возможности компонентов Kubernetes для сопоставления политик и правил, а также просмотр аудитов во время исполнения экономит силы и время аналитикам ИБ. В дополнение к этому в новом релизе платформы Prisma Cloud были улучшены возможности использования имен кластеров Kubernetes.  

Рис. 4. Список инцидентов, полученный с помощью фильтра определений кластеров

В частности, имена кластеров можно использовать для сопоставления сред и политик и для просмотра аудитов и сред во время исполнения. Например:

  • Просмотр информации модуля Radar по определенному кластеру.  
  • Просмотр результатов сканирования образов по кластеру.
  • Составление и сопоставление политик для сред по кластерам.

На скриншоте выше изображена вкладка для просмотра данных об инциденте — Incident Explorer. На эту вкладку можно выводить инциденты ИБ, отфильтровав их по кластерам. Это позволяет быстрее выявлять инциденты, просматривать данные цепочки kill chain и хронологию развития атаки.  

Комплаенс-проверки в среде CRI-O

В силу того, что CRI-O продолжает своё становление как открытый стандарт для контейнерных сред исполнения, команды DevOps и ИБ должны быть уверены, что у них есть все необходимые правила политик для проверки этой среды на соответствие стандартам безопасности.  

Теперь Prisma Cloud позволяет делать 25 проверок в среде CRI-O — по конфигурациям контейнеров, образов и хостов. В редакторе правил комплаенса можно легко и быстро выбрать эти встроенные проверки в выпадающем меню, как это показано на скриншоте ниже.

Рис. 5. Скриншот экрана с новыми политиками комплаенс-контроля в среде CRI-O

Дополнительные важные компоненты

В последнем релизе были улучшены следующие компоненты:

  • Возможности агента Defender: теперь возможна поддержка до 10.000 агентов Defender для каждой консоли или проекта.
  • Служба Intelligence Stream: в физически изолированных или офлайн-средах консоль Compute Edition теперь автоматически управляет и распределяет собранные аналитические данные.
  • Уязвимости базового образа: отделение уязвимостей базового образа от уязвимостей прикладного уровня.  
  • Отсрочка устранения уязвимостей: сроки устранения уязвимостей согласуются с датами выхода исправлений вендоров.
  • Результаты анализа уязвимостей образов в реестре Harbour: наряду с отображением уязвимостей в Prisma Cloud, для пользователей Harbor результаты мониторинга уязвимостей отображаются непосредственно в данном реестре.

Все вышеперечисленные функции доступны в Prisma Cloud Compute Edition и в Prisma Cloud Enterprise Edition.   

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/