Глоссарий

Словарь для специалиста по безопасности.

Для кого эта страница

В разделе «ИБ специалисту» используются термины инструментов (Kyverno, Trivy, Cilium, Vault, Cosign), протоколов (TLS, OIDC, LDAPS), стандартов, политик, отчётов и модулей платформы. На этой странице — краткие определения.


Сканирование и уязвимости

Термин Определение
Trivy Сканер безопасности: образы контейнеров (CVE, мисконфигурации, секреты, SBOM), хосты, Kubernetes (CIS Kubernetes Benchmark, NSA Kubernetes Hardening Guide). В платформе — модуль shturval-scanner.
CVE (Common Vulnerabilities and Exposures) Уникальный идентификатор в базе данных известных уязвимостей. Trivy сопоставляет компоненты образов по их идентификаторам (purl) с компонентами, которые включены в CVE.
CVSS (Common Vulnerability Scoring System) Система оценки критичности уязвимостей. В отчётах Trivy используется для уровней Low, Medium, High и Critical.
SBOM (Software Bill of Materials) Список компонентов программного обеспечения. Используется для анализа уязвимостей.
VEX (Vulnerability Exploitability eXchange) Формат документов о применимости уязвимости к конкретному продукту, компоненту или образу. Помогает отличать реально эксплуатируемые CVE от неприменимых в данном контексте.
БДУ ФСТЭК Банк данных угроз безопасности информации ФСТЭК России. В разделе упоминается как один из источников сведений для агрегированной базы уязвимостей платформы.
NVD (National Vulnerability Database) Публичная база данных уязвимостей. Может подключаться как источник сведений для сканирования.
CIS Kubernetes Benchmark Рекомендации CIS по безопасной настройке Kubernetes. Trivy проверяет соответствие.
NSA Kubernetes Hardening Guide Руководство по укреплению безопасности Kubernetes.
Pod Security Standards (PSS) Стандарты Kubernetes (Baseline, Restricted) по ограничению возможностей подов.
Compliance Reports Отчёты о соответствии конфигурации кластера требованиям безопасности. В интерфейсе раздела отображаются отчёты Trivy.
ClusterComplianceReports Ресурсы отчётов Trivy по проверкам CIS, NSA и PSS, которые отображаются на странице БезопасностьРезультаты сканирования.

Модули и настройка платформы

Термин Определение
shturval-scanner Модуль сканирования образов контейнеров и конфигурации кластера на базе Trivy. Формирует отчёты по уязвимостям и соответствию требованиям безопасности.
shturval-policy-manager Модуль анализа конфигураций приложений и построения отчётов по политикам безопасности Kyverno.
shturval-log-collector Модуль локального сбора логов на базе Vector. Используется для сбора логов кластера и перенаправления логов безопасности во внешние системы.
shturval-networking Модуль управления сетями кластера на базе Cilium CNI. Обеспечивает сетевую связность и работу сетевых политик.
ShturvalServicePatch (SSP) Ресурс для изменения customvalues установленного сервиса платформы без полного переустановления сервиса. Используется, например, для настройки сканирования, логирования, Hubble UI и экспорта логов.
CustomValues Пользовательские значения конфигурации сервиса платформы, которые переопределяют или дополняют настройки сервиса.
NCI (NodeConfigItem) Конфигурация узлов. Через NCI настраиваются Seccomp-профили, политика аудита Kubernetes и другие файловые изменения на узлах.
container runtime Среда выполнения контейнеров, например containerd или CRI-O. Используется Kubernetes для запуска контейнеров и применения профилей безопасности.
containerd Среда выполнения контейнеров. В разделе упоминается в контексте логов и Seccomp-профилей.
CRI-O Среда выполнения контейнеров, совместимая с Kubernetes CRI. Профили Seccomp RuntimeDefault могут отличаться между CRI-O, containerd и версиями runtime.

Политики безопасности

Термин Определение
Kyverno Движок политик для Kubernetes. Политики типов Generate, Mutate, Validate. Платформа — Менеджер политик безопасности.
ClusterPolicy Кластерная политика Kyverno. Действует во всех неймспейсах кластера.
Policy Неймспейсная политика Kyverno. Ограничена конкретным namespace.
Generate Тип правила Kyverno, которое создаёт или обновляет связанные ресурсы.
Mutate Тип правила Kyverno, которое изменяет ресурс перед сохранением или запуском.
Validate Тип правила Kyverno, которое проверяет ресурс и при необходимости блокирует его.
PolicyReport Неймспейсный отчёт о результатах проверки ресурсов политиками. Используется для отображения результатов в GUI.
ClusterPolicyReport Кластерный отчёт о результатах проверки ресурсов политиками. Используется для сводных отчётов.
Audit Режим политики, при котором несоответствия фиксируются в отчёте, но создание или изменение ресурса не блокируется.
Enforce Режим политики, при котором ресурс блокируется при несоответствии требованиям политики.
failurePolicy Настройка поведения webhook при ошибке проверки политики. Например, Ignore не блокирует запрос при недоступности проверки.
Seccomp Механизм Linux для ограничения системных вызовов в контейнерах. Снижает поверхность атаки. Профили задаются через NCI.
RuntimeDefault Тип Seccomp-профиля Kubernetes, при котором используется профиль по умолчанию от container runtime.
Localhost Тип Seccomp-профиля Kubernetes, при котором применяется JSON-профиль, размещённый на узле.
Unconfined Режим запуска без ограничений Seccomp.
securityContext Поле Kubernetes-манифеста, в котором задаются параметры безопасности Pod или контейнера, включая Seccomp-профиль и privileged-режим.
privileged Режим контейнера с расширенными привилегиями. Для таких контейнеров Seccomp не ограничивает системные вызовы.
Service Account Token Токен сервисного аккаунта Kubernetes. В политиках безопасности может контролироваться автоматическое монтирование такого токена в Pod.
Capabilities Возможности Linux, которые можно добавить или убрать у процесса контейнера. Capability SYS_ADMIN считается особенно рискованной.
NodePort Тип Kubernetes Service для публикации приложения через порт на узлах кластера. В разделе рассматривается как вариант, который лучше заменять Ingress в прикладных сценариях.

Сетевые политики Cilium

Термин Определение
Cilium Сетевой компонент Kubernetes на базе eBPF. В платформе используется модулем shturval-networking.
Cilium CNI CNI-плагин Cilium, который обеспечивает сетевое взаимодействие подов и применение политик.
Cilium Network Policies Сетевые политики на базе Cilium eBPF. Фильтрация трафика на уровне L3-L7.
CiliumNetworkPolicy Неймспейсная политика Cilium. Применяется к pod внутри namespace, где создана политика.
CiliumClusterwideNetworkPolicy Кластерная политика Cilium. Действует на уровне всего кластера и не привязана к одному namespace.
NetworkPolicy Стандартная политика Kubernetes для управления ingress- и egress-трафиком на уровне L3/L4.
eBPF Технология ядра Linux, которую Cilium использует для сетевой фильтрации, наблюдаемости и применения политик.
Ingress Входящий сетевой трафик к выбранным pod или endpoints.
Egress Исходящий сетевой трафик от выбранных pod или endpoints.
Default deny Модель, при которой трафик запрещён, если он явно не разрешён политикой. В Cilium включается для выбранного направления после выбора pod политикой.
Allow-правило Правило, которое разрешает совпавший сетевой поток.
Deny-правило Правило, которое явно запрещает совпавший сетевой поток и имеет приоритет над allow-правилами.
endpointSelector Селектор Cilium, который выбирает pod, к которым применяется политика.
fromEndpoints / toEndpoints Селекторы источников ingress-трафика и назначений egress-трафика.
Entities Специальные категории Cilium для описания источников или назначений трафика, например world, cluster, host, remote-node, kube-apiserver.
CIDR Запись IP-подсети. В Cilium используется для правил к внешним сетям со стабильными IP-адресами.
FQDN (Fully Qualified Domain Name) Полное доменное имя. В Cilium используется в toFQDNs для egress-доступа к внешним сервисам по DNS-имени.
DNS proxy Механизм Cilium, который учитывает DNS-ответы для FQDN-политик и связывает доменные имена с IP-адресами.
kube-dns DNS-сервис Kubernetes в namespace kube-system. В сетевых политиках часто требуется явно разрешать egress к kube-dns.
shturval-caching-dns Платформенный DNS-компонент, который может использоваться вместе с kube-dns для резолва имён в кластере.
Ingress Controller Компонент, который принимает внешний трафик и направляет его к приложениям в кластере. В Cilium-политиках для опубликованных приложений часто разрешают ingress от Ingress Controller.
L3/L4/L7 Уровни фильтрации: L3 — адреса и endpoints, L4 — порты и протоколы, L7 — прикладные правила HTTP, DNS и других протоколов.
SNI (Server Name Indication) Расширение TLS, по которому можно ограничивать TLS-трафик в правилах уровня L4/L7 при включённом L7 proxy enforcement.
Hubble UI Интерфейс наблюдаемости Cilium Hubble для просмотра сетевых потоков и диагностики сетевых политик.

Аутентификация и шифрование

Термин Определение
RBAC Role-Based Access Control. Управление доступом по ролям (Kubernetes, платформа).
TLS (Transport Layer Security) Протокол шифрования (HTTPS, LDAPS).
OIDC (OpenID Connect) Протокол аутентификации поверх OAuth 2.0. В платформе используется для подключения Keycloak или Blitz.
LDAP Протокол доступа к каталогу пользователей. Платформа может подключаться к LDAP-каталогу и искать пользователей и группы при назначении прав.
LDAPS LDAP over TLS. Защищённое соединение к каталогу.
AD (Active Directory) Каталог пользователей Microsoft. Может использоваться как источник аутентификации.
ServiceAccount Учётная запись Kubernetes для процессов внутри кластера. Используется, например, для аутентификации к Vault и доступа к API Kubernetes.
Token Reviewer JWT Токен ServiceAccount, который Vault использует для проверки токенов Kubernetes при настройке Kubernetes Auth Method.

Аудит и SIEM

Термин Определение
Audit Logs Логи аудита Kubernetes. Регистрируют API-запросы. Настраиваются через NCI.
Audit Policy Политика аудита Kubernetes, которая определяет, какие события API-сервера записывать и с каким уровнем детализации.
audit event Событие аудита Kubernetes, создаваемое для API-запроса на определённом этапе обработки.
kube-apiserver API-сервер Kubernetes. Формирует события аудита и записывает их в настроенный backend.
log backend Backend аудита Kubernetes, который записывает события в файл. В разделе используется для Audit Logs платформы.
webhook backend Backend аудита Kubernetes, который отправляет события во внешний webhook-приёмник.
Vector Агент сбора и маршрутизации логов. Используется модулем shturval-log-collector.
VLogs Сервис хранения и просмотра логов в платформе. Для Audit Logs используется проект kube audit.
ProjectID Идентификатор проекта логов в VLogs. Используется для фильтрации логов на вкладке Логи.
stream Набор логов с уникальным набором параметров. В интерфейсе логов отображается как _stream.
auditd Системные логи аудита Linux. Могут перенаправляться во внешние системы через модуль сбора логов.
journald Системные логи systemd, включая логи containerd, kubelet и shturvald.
k8s_audit Тип логов для событий аудита API Kubernetes в настройках перенаправления логов.
k8s_events Тип логов для событий Kubernetes в настройках перенаправления логов.
k8s_logs Тип логов контейнеров Kubernetes в настройках перенаправления логов.
sources Источники данных в конфигурации Vector.
transforms Преобразования и фильтры данных в конфигурации Vector.
sinks Получатели данных в конфигурации Vector: SIEM, Loki, Elasticsearch, OpenSearch, syslog и другие.
ClusterVectorPipeline Ресурс настройки pipeline для Vector. В разделе используется как источник перечня transforms для логов k8s_audit.
SIEM (Security Information and Event Management) Система приёма, накопления и анализа событий и данных о безопасности. В платформе «Штурвал» сбор и перенаправление логов во внешний SIEM выполняет модуль локального сбора логов.
Loki Система хранения и поиска логов. Может использоваться как внешний получатель логов.
Elasticsearch / OpenSearch Поисковые и аналитические системы, которые могут использоваться как внешние получатели логов.
syslog Стандарт передачи системных сообщений. Может использоваться для перенаправления логов во внешнюю систему.

Управление секретами

Термин Определение
HashiCorp Vault Система хранения и выдачи секретов. Платформа поддерживает интеграцию Vault с кластерами.
Cert-Manager Компонент Kubernetes для управления сертификатами. Может интегрироваться с Vault для выдачи TLS-сертификатов приложениям.
Issuer / ClusterIssuer Ресурсы Cert-Manager, которые описывают источник выпуска сертификатов. Issuer действует в namespace, ClusterIssuer — на уровне кластера.
Vault Agent Injector Механизм HashiCorp Vault для инъекции секретов в Pod в виде файлов или переменных окружения.
Kubernetes Auth Method Метод аутентификации Vault, при котором приложения или операторы проходят аутентификацию с помощью ServiceAccount Kubernetes.
Vault Secrets Operator Оператор синхронизации секретов из Vault в Kubernetes. В разделе используется сервис vault-secrets-operator.
External Secrets Operator Оператор синхронизации секретов из внешних хранилищ в Kubernetes Secret.
VaultConnection Ресурс Vault Secrets Operator с параметрами подключения к Vault.
VaultAuth Ресурс Vault Secrets Operator с настройками аутентификации в Vault.
VaultStaticSecret Ресурс Vault Secrets Operator, который синхронизирует статический секрет из Vault в Kubernetes Secret.
Secrets Engine Движок хранения или генерации секретов в Vault. В разделе используется KV Secrets Engine.
KV v2 Версия key-value Secrets Engine в Vault с поддержкой версионирования секретов.
ACL policy Политика доступа Vault, которая задаёт разрешённые действия над путями секретов. В разделе используется для выдачи прав на чтение секретов из Secrets Engine.

Подпись образов и безопасная сборочная

Термин Определение
Cosign Инструмент Sigstore для подписи образов контейнеров, проверки подписей и добавления аттестаций, включая отчёты об уязвимостях.
Sigstore Набор инструментов и сервисов для подписи, проверки и прозрачного учёта артефактов цепочки поставки ПО. Cosign входит в экосистему Sigstore.
Аттестация Подписанное утверждение об артефакте, например отчёт Trivy о найденных уязвимостях образа.
Rekor Журнал прозрачности Sigstore, который может использоваться при проверке подписей Cosign.
CT log Certificate Transparency log. В политиках проверки подписей может использоваться как часть проверки доверия.
SAST (Static Application Security Testing) Статический анализ исходного кода на уязвимости и слабые места.
SCA (Software Composition Analysis) Анализ зависимостей исходного кода на известные уязвимости и формирование SBOM.
DAST (Dynamic Application Security Testing) Динамическая проверка работающего приложения по доступным API и портам.
Image-Scan Сканирование собранных образов контейнеров на уязвимости, мисконфигурации и секреты.
Secret Detection Поиск секретов, ключей и токенов в исходном коде и артефактах.
Vulnerability Management Процесс учёта, приоритизации, устранения и разметки уязвимостей.
Dependency-Track Инструмент для анализа зависимостей и работы с SBOM в процессе SCA.
Syft Инструмент генерации SBOM.
gitleaks Инструмент поиска секретов в репозиториях.
OWASP ZAP Инструмент динамического анализа безопасности веб-приложений.
DefectDojo Система учёта и управления уязвимостями.
Security CI Процесс безопасной сборки, в котором артефакты проходят проверки SAST, SCA, DAST, Image-Scan и другие этапы контроля.
Helm-репозиторий Репозиторий Helm-чартов. Используется для установки наложенных средств безопасности через маркетплейс или подключение стороннего репозитория.
Helm-чарт Пакет описания Kubernetes-ресурсов для установки приложения или сервиса в кластер.

Наложенные средства безопасности

Термин Определение
Наложенные средства безопасности Внешние средства контейнерной безопасности, которые устанавливаются в кластер как отдельные сервисы и дополняют встроенные инструменты платформы.
PT CS (Positive Technologies Container Security) Средство контейнерной безопасности Positive Technologies для анализа образов, контейнеров, репозиториев и операционных систем узлов.
KCS (Kaspersky Container Security) Средство контейнерной безопасности Kaspersky для выявления проблем безопасности на этапах разработки и эксплуатации контейнерных приложений.
Luntry Средство безопасности для контейнеров и Kubernetes, которое повышает видимость и контроль процессов безопасности.

Глоссарии других разделов

Раздел Описание
Глоссарий администратора платформы Термины по установке, провайдерам, зеркалу, IAM
Глоссарий администратора кластера Термины по хранилищу, узлам, мониторингу
Глоссарий разработчика Термины по доставке приложений, GitOps, ArgoCD