Глоссарий
Словарь для специалиста по безопасности.
Раздел «ИБ специалисту»: быстрый переход по подразделам
Для кого эта страница
В разделе «ИБ специалисту» используются термины инструментов (Kyverno, Trivy, Cilium, Vault, Cosign), протоколов (TLS, OIDC, LDAPS), стандартов, политик, отчётов и модулей платформы. На этой странице — краткие определения.
Сканирование и уязвимости
| Термин | Определение |
|---|---|
| Trivy | Сканер безопасности: образы контейнеров (CVE, мисконфигурации, секреты, SBOM), хосты, Kubernetes (CIS Kubernetes Benchmark, NSA Kubernetes Hardening Guide). В платформе — модуль shturval-scanner. |
| CVE (Common Vulnerabilities and Exposures) | Уникальный идентификатор в базе данных известных уязвимостей. Trivy сопоставляет компоненты образов по их идентификаторам (purl) с компонентами, которые включены в CVE. |
| CVSS (Common Vulnerability Scoring System) | Система оценки критичности уязвимостей. В отчётах Trivy используется для уровней Low, Medium, High и Critical. |
| SBOM (Software Bill of Materials) | Список компонентов программного обеспечения. Используется для анализа уязвимостей. |
| VEX (Vulnerability Exploitability eXchange) | Формат документов о применимости уязвимости к конкретному продукту, компоненту или образу. Помогает отличать реально эксплуатируемые CVE от неприменимых в данном контексте. |
| БДУ ФСТЭК | Банк данных угроз безопасности информации ФСТЭК России. В разделе упоминается как один из источников сведений для агрегированной базы уязвимостей платформы. |
| NVD (National Vulnerability Database) | Публичная база данных уязвимостей. Может подключаться как источник сведений для сканирования. |
| CIS Kubernetes Benchmark | Рекомендации CIS по безопасной настройке Kubernetes. Trivy проверяет соответствие. |
| NSA Kubernetes Hardening Guide | Руководство по укреплению безопасности Kubernetes. |
| Pod Security Standards (PSS) | Стандарты Kubernetes (Baseline, Restricted) по ограничению возможностей подов. |
| Compliance Reports | Отчёты о соответствии конфигурации кластера требованиям безопасности. В интерфейсе раздела отображаются отчёты Trivy. |
| ClusterComplianceReports | Ресурсы отчётов Trivy по проверкам CIS, NSA и PSS, которые отображаются на странице Безопасность → Результаты сканирования. |
Модули и настройка платформы
| Термин | Определение |
|---|---|
| shturval-scanner | Модуль сканирования образов контейнеров и конфигурации кластера на базе Trivy. Формирует отчёты по уязвимостям и соответствию требованиям безопасности. |
| shturval-policy-manager | Модуль анализа конфигураций приложений и построения отчётов по политикам безопасности Kyverno. |
| shturval-log-collector | Модуль локального сбора логов на базе Vector. Используется для сбора логов кластера и перенаправления логов безопасности во внешние системы. |
| shturval-networking | Модуль управления сетями кластера на базе Cilium CNI. Обеспечивает сетевую связность и работу сетевых политик. |
| ShturvalServicePatch (SSP) | Ресурс для изменения customvalues установленного сервиса платформы без полного переустановления сервиса. Используется, например, для настройки сканирования, логирования, Hubble UI и экспорта логов. |
| CustomValues | Пользовательские значения конфигурации сервиса платформы, которые переопределяют или дополняют настройки сервиса. |
| NCI (NodeConfigItem) | Конфигурация узлов. Через NCI настраиваются Seccomp-профили, политика аудита Kubernetes и другие файловые изменения на узлах. |
| container runtime | Среда выполнения контейнеров, например containerd или CRI-O. Используется Kubernetes для запуска контейнеров и применения профилей безопасности. |
| containerd | Среда выполнения контейнеров. В разделе упоминается в контексте логов и Seccomp-профилей. |
| CRI-O | Среда выполнения контейнеров, совместимая с Kubernetes CRI. Профили Seccomp RuntimeDefault могут отличаться между CRI-O, containerd и версиями runtime. |
Политики безопасности
| Термин | Определение |
|---|---|
| Kyverno | Движок политик для Kubernetes. Политики типов Generate, Mutate, Validate. Платформа — Менеджер политик безопасности. |
| ClusterPolicy | Кластерная политика Kyverno. Действует во всех неймспейсах кластера. |
| Policy | Неймспейсная политика Kyverno. Ограничена конкретным namespace. |
| Generate | Тип правила Kyverno, которое создаёт или обновляет связанные ресурсы. |
| Mutate | Тип правила Kyverno, которое изменяет ресурс перед сохранением или запуском. |
| Validate | Тип правила Kyverno, которое проверяет ресурс и при необходимости блокирует его. |
| PolicyReport | Неймспейсный отчёт о результатах проверки ресурсов политиками. Используется для отображения результатов в GUI. |
| ClusterPolicyReport | Кластерный отчёт о результатах проверки ресурсов политиками. Используется для сводных отчётов. |
| Audit | Режим политики, при котором несоответствия фиксируются в отчёте, но создание или изменение ресурса не блокируется. |
| Enforce | Режим политики, при котором ресурс блокируется при несоответствии требованиям политики. |
| failurePolicy | Настройка поведения webhook при ошибке проверки политики. Например, Ignore не блокирует запрос при недоступности проверки. |
| Seccomp | Механизм Linux для ограничения системных вызовов в контейнерах. Снижает поверхность атаки. Профили задаются через NCI. |
| RuntimeDefault | Тип Seccomp-профиля Kubernetes, при котором используется профиль по умолчанию от container runtime. |
| Localhost | Тип Seccomp-профиля Kubernetes, при котором применяется JSON-профиль, размещённый на узле. |
| Unconfined | Режим запуска без ограничений Seccomp. |
| securityContext | Поле Kubernetes-манифеста, в котором задаются параметры безопасности Pod или контейнера, включая Seccomp-профиль и privileged-режим. |
| privileged | Режим контейнера с расширенными привилегиями. Для таких контейнеров Seccomp не ограничивает системные вызовы. |
| Service Account Token | Токен сервисного аккаунта Kubernetes. В политиках безопасности может контролироваться автоматическое монтирование такого токена в Pod. |
| Capabilities | Возможности Linux, которые можно добавить или убрать у процесса контейнера. Capability SYS_ADMIN считается особенно рискованной. |
| NodePort | Тип Kubernetes Service для публикации приложения через порт на узлах кластера. В разделе рассматривается как вариант, который лучше заменять Ingress в прикладных сценариях. |
Сетевые политики Cilium
| Термин | Определение |
|---|---|
| Cilium | Сетевой компонент Kubernetes на базе eBPF. В платформе используется модулем shturval-networking. |
| Cilium CNI | CNI-плагин Cilium, который обеспечивает сетевое взаимодействие подов и применение политик. |
| Cilium Network Policies | Сетевые политики на базе Cilium eBPF. Фильтрация трафика на уровне L3-L7. |
| CiliumNetworkPolicy | Неймспейсная политика Cilium. Применяется к pod внутри namespace, где создана политика. |
| CiliumClusterwideNetworkPolicy | Кластерная политика Cilium. Действует на уровне всего кластера и не привязана к одному namespace. |
| NetworkPolicy | Стандартная политика Kubernetes для управления ingress- и egress-трафиком на уровне L3/L4. |
| eBPF | Технология ядра Linux, которую Cilium использует для сетевой фильтрации, наблюдаемости и применения политик. |
| Ingress | Входящий сетевой трафик к выбранным pod или endpoints. |
| Egress | Исходящий сетевой трафик от выбранных pod или endpoints. |
| Default deny | Модель, при которой трафик запрещён, если он явно не разрешён политикой. В Cilium включается для выбранного направления после выбора pod политикой. |
| Allow-правило | Правило, которое разрешает совпавший сетевой поток. |
| Deny-правило | Правило, которое явно запрещает совпавший сетевой поток и имеет приоритет над allow-правилами. |
| endpointSelector | Селектор Cilium, который выбирает pod, к которым применяется политика. |
| fromEndpoints / toEndpoints | Селекторы источников ingress-трафика и назначений egress-трафика. |
| Entities | Специальные категории Cilium для описания источников или назначений трафика, например world, cluster, host, remote-node, kube-apiserver. |
| CIDR | Запись IP-подсети. В Cilium используется для правил к внешним сетям со стабильными IP-адресами. |
| FQDN (Fully Qualified Domain Name) | Полное доменное имя. В Cilium используется в toFQDNs для egress-доступа к внешним сервисам по DNS-имени. |
| DNS proxy | Механизм Cilium, который учитывает DNS-ответы для FQDN-политик и связывает доменные имена с IP-адресами. |
| kube-dns | DNS-сервис Kubernetes в namespace kube-system. В сетевых политиках часто требуется явно разрешать egress к kube-dns. |
| shturval-caching-dns | Платформенный DNS-компонент, который может использоваться вместе с kube-dns для резолва имён в кластере. |
| Ingress Controller | Компонент, который принимает внешний трафик и направляет его к приложениям в кластере. В Cilium-политиках для опубликованных приложений часто разрешают ingress от Ingress Controller. |
| L3/L4/L7 | Уровни фильтрации: L3 — адреса и endpoints, L4 — порты и протоколы, L7 — прикладные правила HTTP, DNS и других протоколов. |
| SNI (Server Name Indication) | Расширение TLS, по которому можно ограничивать TLS-трафик в правилах уровня L4/L7 при включённом L7 proxy enforcement. |
| Hubble UI | Интерфейс наблюдаемости Cilium Hubble для просмотра сетевых потоков и диагностики сетевых политик. |
Аутентификация и шифрование
| Термин | Определение |
|---|---|
| RBAC | Role-Based Access Control. Управление доступом по ролям (Kubernetes, платформа). |
| TLS (Transport Layer Security) | Протокол шифрования (HTTPS, LDAPS). |
| OIDC (OpenID Connect) | Протокол аутентификации поверх OAuth 2.0. В платформе используется для подключения Keycloak или Blitz. |
| LDAP | Протокол доступа к каталогу пользователей. Платформа может подключаться к LDAP-каталогу и искать пользователей и группы при назначении прав. |
| LDAPS | LDAP over TLS. Защищённое соединение к каталогу. |
| AD (Active Directory) | Каталог пользователей Microsoft. Может использоваться как источник аутентификации. |
| ServiceAccount | Учётная запись Kubernetes для процессов внутри кластера. Используется, например, для аутентификации к Vault и доступа к API Kubernetes. |
| Token Reviewer JWT | Токен ServiceAccount, который Vault использует для проверки токенов Kubernetes при настройке Kubernetes Auth Method. |
Аудит и SIEM
| Термин | Определение |
|---|---|
| Audit Logs | Логи аудита Kubernetes. Регистрируют API-запросы. Настраиваются через NCI. |
| Audit Policy | Политика аудита Kubernetes, которая определяет, какие события API-сервера записывать и с каким уровнем детализации. |
| audit event | Событие аудита Kubernetes, создаваемое для API-запроса на определённом этапе обработки. |
| kube-apiserver | API-сервер Kubernetes. Формирует события аудита и записывает их в настроенный backend. |
| log backend | Backend аудита Kubernetes, который записывает события в файл. В разделе используется для Audit Logs платформы. |
| webhook backend | Backend аудита Kubernetes, который отправляет события во внешний webhook-приёмник. |
| Vector | Агент сбора и маршрутизации логов. Используется модулем shturval-log-collector. |
| VLogs | Сервис хранения и просмотра логов в платформе. Для Audit Logs используется проект kube audit. |
| ProjectID | Идентификатор проекта логов в VLogs. Используется для фильтрации логов на вкладке Логи. |
| stream | Набор логов с уникальным набором параметров. В интерфейсе логов отображается как _stream. |
| auditd | Системные логи аудита Linux. Могут перенаправляться во внешние системы через модуль сбора логов. |
| journald | Системные логи systemd, включая логи containerd, kubelet и shturvald. |
| k8s_audit | Тип логов для событий аудита API Kubernetes в настройках перенаправления логов. |
| k8s_events | Тип логов для событий Kubernetes в настройках перенаправления логов. |
| k8s_logs | Тип логов контейнеров Kubernetes в настройках перенаправления логов. |
| sources | Источники данных в конфигурации Vector. |
| transforms | Преобразования и фильтры данных в конфигурации Vector. |
| sinks | Получатели данных в конфигурации Vector: SIEM, Loki, Elasticsearch, OpenSearch, syslog и другие. |
| ClusterVectorPipeline | Ресурс настройки pipeline для Vector. В разделе используется как источник перечня transforms для логов k8s_audit. |
| SIEM (Security Information and Event Management) | Система приёма, накопления и анализа событий и данных о безопасности. В платформе «Штурвал» сбор и перенаправление логов во внешний SIEM выполняет модуль локального сбора логов. |
| Loki | Система хранения и поиска логов. Может использоваться как внешний получатель логов. |
| Elasticsearch / OpenSearch | Поисковые и аналитические системы, которые могут использоваться как внешние получатели логов. |
| syslog | Стандарт передачи системных сообщений. Может использоваться для перенаправления логов во внешнюю систему. |
Управление секретами
| Термин | Определение |
|---|---|
| HashiCorp Vault | Система хранения и выдачи секретов. Платформа поддерживает интеграцию Vault с кластерами. |
| Cert-Manager | Компонент Kubernetes для управления сертификатами. Может интегрироваться с Vault для выдачи TLS-сертификатов приложениям. |
| Issuer / ClusterIssuer | Ресурсы Cert-Manager, которые описывают источник выпуска сертификатов. Issuer действует в namespace, ClusterIssuer — на уровне кластера. |
| Vault Agent Injector | Механизм HashiCorp Vault для инъекции секретов в Pod в виде файлов или переменных окружения. |
| Kubernetes Auth Method | Метод аутентификации Vault, при котором приложения или операторы проходят аутентификацию с помощью ServiceAccount Kubernetes. |
| Vault Secrets Operator | Оператор синхронизации секретов из Vault в Kubernetes. В разделе используется сервис vault-secrets-operator. |
| External Secrets Operator | Оператор синхронизации секретов из внешних хранилищ в Kubernetes Secret. |
| VaultConnection | Ресурс Vault Secrets Operator с параметрами подключения к Vault. |
| VaultAuth | Ресурс Vault Secrets Operator с настройками аутентификации в Vault. |
| VaultStaticSecret | Ресурс Vault Secrets Operator, который синхронизирует статический секрет из Vault в Kubernetes Secret. |
| Secrets Engine | Движок хранения или генерации секретов в Vault. В разделе используется KV Secrets Engine. |
| KV v2 | Версия key-value Secrets Engine в Vault с поддержкой версионирования секретов. |
| ACL policy | Политика доступа Vault, которая задаёт разрешённые действия над путями секретов. В разделе используется для выдачи прав на чтение секретов из Secrets Engine. |
Подпись образов и безопасная сборочная
| Термин | Определение |
|---|---|
| Cosign | Инструмент Sigstore для подписи образов контейнеров, проверки подписей и добавления аттестаций, включая отчёты об уязвимостях. |
| Sigstore | Набор инструментов и сервисов для подписи, проверки и прозрачного учёта артефактов цепочки поставки ПО. Cosign входит в экосистему Sigstore. |
| Аттестация | Подписанное утверждение об артефакте, например отчёт Trivy о найденных уязвимостях образа. |
| Rekor | Журнал прозрачности Sigstore, который может использоваться при проверке подписей Cosign. |
| CT log | Certificate Transparency log. В политиках проверки подписей может использоваться как часть проверки доверия. |
| SAST (Static Application Security Testing) | Статический анализ исходного кода на уязвимости и слабые места. |
| SCA (Software Composition Analysis) | Анализ зависимостей исходного кода на известные уязвимости и формирование SBOM. |
| DAST (Dynamic Application Security Testing) | Динамическая проверка работающего приложения по доступным API и портам. |
| Image-Scan | Сканирование собранных образов контейнеров на уязвимости, мисконфигурации и секреты. |
| Secret Detection | Поиск секретов, ключей и токенов в исходном коде и артефактах. |
| Vulnerability Management | Процесс учёта, приоритизации, устранения и разметки уязвимостей. |
| Dependency-Track | Инструмент для анализа зависимостей и работы с SBOM в процессе SCA. |
| Syft | Инструмент генерации SBOM. |
| gitleaks | Инструмент поиска секретов в репозиториях. |
| OWASP ZAP | Инструмент динамического анализа безопасности веб-приложений. |
| DefectDojo | Система учёта и управления уязвимостями. |
| Security CI | Процесс безопасной сборки, в котором артефакты проходят проверки SAST, SCA, DAST, Image-Scan и другие этапы контроля. |
| Helm-репозиторий | Репозиторий Helm-чартов. Используется для установки наложенных средств безопасности через маркетплейс или подключение стороннего репозитория. |
| Helm-чарт | Пакет описания Kubernetes-ресурсов для установки приложения или сервиса в кластер. |
Наложенные средства безопасности
| Термин | Определение |
|---|---|
| Наложенные средства безопасности | Внешние средства контейнерной безопасности, которые устанавливаются в кластер как отдельные сервисы и дополняют встроенные инструменты платформы. |
| PT CS (Positive Technologies Container Security) | Средство контейнерной безопасности Positive Technologies для анализа образов, контейнеров, репозиториев и операционных систем узлов. |
| KCS (Kaspersky Container Security) | Средство контейнерной безопасности Kaspersky для выявления проблем безопасности на этапах разработки и эксплуатации контейнерных приложений. |
| Luntry | Средство безопасности для контейнеров и Kubernetes, которое повышает видимость и контроль процессов безопасности. |
Глоссарии других разделов
| Раздел | Описание |
|---|---|
| Глоссарий администратора платформы | Термины по установке, провайдерам, зеркалу, IAM |
| Глоссарий администратора кластера | Термины по хранилищу, узлам, мониторингу |
| Глоссарий разработчика | Термины по доставке приложений, GitOps, ArgoCD |