Быстрый старт
Онбординг для безопасника: инструменты безопасности, отчёты и навигация по разделам.
Для кого эта страница
Вы впервые работаете как специалист по безопасности (безопасник) в платформе «Штурвал». На этой странице — краткий обзор встроенных инструментов для оценки и обеспечения безопасности кластеров, отчётов и разделов документации.
Инструменты безопасности в платформе
В платформе «Штурвал» доступны встроенные инструменты для оценки и обеспечения безопасности кластеров. Подробные инструкции находятся в соответствующих подразделах раздела «ИБ специалисту».
Сканирование образов контейнеров (Trivy)
Анализ образов контейнеров на уязвимости выполняется с помощью Trivy (в платформе — модуль сканирования образов контейнеров shturval-scanner). Trivy — универсальный сканер безопасности: уязвимости (CVE), мисконфигурации, секреты, SBOM в контейнерах, Kubernetes, репозиториях и др.
В кластере обеспечивается:
- автоматизированное сканирование образов и формирование отчётов;
- по умолчанию сканирование выполняется с использованием собственной агрегированной базы уязвимостей платформы, включающей сведения БДУ ФСТЭК и БДУ отечественных ОС (в т. ч. РЭД ОС, Астра). При необходимости в конфигурации могут подключаться нативная база Trivy, NVD и другие источники.
Результаты отображаются на странице Безопасность → Анализ образов в интерфейсе кластера; сводный отчёт по всем кластерам платформы доступен в разделе сводных отчётов. Подробнее: Сканирование образов контейнеров.
Сканирование хостов и платформы (CIS Benchmark, Trivy)
Проверка конфигурации кластера на соответствие стандартам безопасности выполняется с помощью Trivy (Compliance Reports). В интерфейсе отображаются результаты на странице Безопасность → Результаты сканирования.
Поддерживаются отчёты:
- CIS Kubernetes Benchmark (k8s-cis-1.23);
- NSA Kubernetes Hardening Guide (k8s-nsa-1.0);
- Kubernetes Pod Security Standards — Baseline и Restricted (k8s-pss-baseline-0.1, k8s-pss-restricted-0.1).
Детальный отчёт по умолчанию создаётся по расписанию (например, каждые 6 часов). Подробнее: Сканирование хостов и платформы (CIS Benchmarks).
Политики безопасности (Kyverno)
Анализ объектов кластера на соответствие политикам безопасности выполняется с помощью Kyverno. Платформа поддерживает политики типов: Generate, Mutate, Validate (в том числе блокирующие и валидирующие).
Доступны:
- Менеджер политик безопасности — создание, просмотр, изменение и удаление политик (в том числе через импорт манифеста);
- Отчёт по политикам безопасности — результаты в разрезе политик и неймспейсов, выгрузка в CSV/PDF.
Сводный отчёт по политикам всех кластеров платформы доступен в разделе сводных отчётов. Рекомендуемые политики (запрет latest, требование CPU/RAM requests и limits, запрет привилегированных контейнеров и др.) описаны в разделе Kyverno: запрет latest-тегов, требование лимитов. Дополнительные практики: Kyverno policies — best-practices.
Seccomp
Платформа позволяет управлять Seccomp-профилями для нагрузок: ограничение системных вызовов в контейнерах для снижения поверхности атаки. Профили создаются через NCI (NodeConfigItem) и указываются в securityContext пода/контейнера. Подробнее: Seccomp.
Аудит и логирование
- Политика аудита Kubernetes — настраивается через NodeConfigItem (конфигурация узлов). При развёртывании кластера с расширенными настройками безопасности события аудита доступны на вкладке Логи дашборда кластера.
- Экспорт логов в SIEM — настраивается отдельно для перенаправления логов во внешние системы.
Подробнее: Настройка Audit Logs, Экспорт логов безопасности в SIEM.
Управление секретами
Поддерживается интеграция с HashiCorp Vault для хранения и выдачи секретов приложениям в кластере. Подробнее: Интеграция Vault HashiCorp.
Безопасность платформы
- Безопасная сборочная — сборка компонентов платформы с SAST, SCA, сканированием образов (Trivy), поиском секретов и др.
- Аудит безопасности Штурвала — сведения об аудите безопасности платформы.
Дополнительно
- Менеджер сессий — просмотр активных сессий пользователей в GUI и принудительное завершение сессии (в разделе доступа/интерфейса платформы).
- Наложенные средства — в маркетплейсе партнёров можно подключать продукты вроде Kaspersky Container Security, Luntry и др.
Основные возможности
| Область | Раздел |
|---|---|
| Обзор инструментов | Инструменты безопасности в платформе |
| Отчёты | Какие отчёты есть в платформе и где они находятся |
| Безопасность Штурвала | Безопасная сборочная |
| Политики безопасности | Kyverno, Cilium Network Policies, Seccomp |
| Управление уязвимостями | Сканирование образов, Сканирование хостов и платформы (CIS) |
| Аудит и логирование | Настройка Audit Logs, Экспорт логов в SIEM |
| Управление секретами | Интеграция Vault HashiCorp |
| Справочная информация | Kyverno, Seccomp и др. |
С чего начать
- Ознакомьтесь с инструментами безопасности в платформе.
- Изучите, какие отчёты доступны и где их смотреть.
- При необходимости настройте политики (Kyverno, сетевые политики, Seccomp) и сканирование образов/хостов.