Быстрый старт

Онбординг для безопасника: инструменты безопасности, отчёты и навигация по разделам.

Для кого эта страница

Вы впервые работаете как специалист по безопасности (безопасник) в платформе «Штурвал». На этой странице — краткий обзор встроенных инструментов для оценки и обеспечения безопасности кластеров, отчётов и разделов документации.


Инструменты безопасности в платформе

В платформе «Штурвал» доступны встроенные инструменты для оценки и обеспечения безопасности кластеров. Подробные инструкции находятся в соответствующих подразделах раздела «ИБ специалисту».

Сканирование образов контейнеров (Trivy)

Анализ образов контейнеров на уязвимости выполняется с помощью Trivy (в платформе — модуль сканирования образов контейнеров shturval-scanner). Trivy — универсальный сканер безопасности: уязвимости (CVE), мисконфигурации, секреты, SBOM в контейнерах, Kubernetes, репозиториях и др.

В кластере обеспечивается:

  • автоматизированное сканирование образов и формирование отчётов;
  • по умолчанию сканирование выполняется с использованием собственной агрегированной базы уязвимостей платформы, включающей сведения БДУ ФСТЭК и БДУ отечественных ОС (в т. ч. РЭД ОС, Астра). При необходимости в конфигурации могут подключаться нативная база Trivy, NVD и другие источники.

Результаты отображаются на странице БезопасностьАнализ образов в интерфейсе кластера; сводный отчёт по всем кластерам платформы доступен в разделе сводных отчётов. Подробнее: Сканирование образов контейнеров.

Сканирование хостов и платформы (CIS Benchmark, Trivy)

Проверка конфигурации кластера на соответствие стандартам безопасности выполняется с помощью Trivy (Compliance Reports). В интерфейсе отображаются результаты на странице БезопасностьРезультаты сканирования.

Поддерживаются отчёты:

  • CIS Kubernetes Benchmark (k8s-cis-1.23);
  • NSA Kubernetes Hardening Guide (k8s-nsa-1.0);
  • Kubernetes Pod Security Standards — Baseline и Restricted (k8s-pss-baseline-0.1, k8s-pss-restricted-0.1).

Детальный отчёт по умолчанию создаётся по расписанию (например, каждые 6 часов). Подробнее: Сканирование хостов и платформы (CIS Benchmarks).

Политики безопасности (Kyverno)

Анализ объектов кластера на соответствие политикам безопасности выполняется с помощью Kyverno. Платформа поддерживает политики типов: Generate, Mutate, Validate (в том числе блокирующие и валидирующие).

Доступны:

  • Менеджер политик безопасности — создание, просмотр, изменение и удаление политик (в том числе через импорт манифеста);
  • Отчёт по политикам безопасности — результаты в разрезе политик и неймспейсов, выгрузка в CSV/PDF.

Сводный отчёт по политикам всех кластеров платформы доступен в разделе сводных отчётов. Рекомендуемые политики (запрет latest, требование CPU/RAM requests и limits, запрет привилегированных контейнеров и др.) описаны в разделе Kyverno: запрет latest-тегов, требование лимитов. Дополнительные практики: Kyverno policies — best-practices.

Seccomp

Платформа позволяет управлять Seccomp-профилями для нагрузок: ограничение системных вызовов в контейнерах для снижения поверхности атаки. Профили создаются через NCI (NodeConfigItem) и указываются в securityContext пода/контейнера. Подробнее: Seccomp.

Аудит и логирование

  • Политика аудита Kubernetes — настраивается через NodeConfigItem (конфигурация узлов). При развёртывании кластера с расширенными настройками безопасности события аудита доступны на вкладке Логи дашборда кластера.
  • Экспорт логов в SIEM — настраивается отдельно для перенаправления логов во внешние системы.

Подробнее: Настройка Audit Logs, Экспорт логов безопасности в SIEM.

Управление секретами

Поддерживается интеграция с HashiCorp Vault для хранения и выдачи секретов приложениям в кластере. Подробнее: Интеграция Vault HashiCorp.

Безопасность платформы

  • Безопасная сборочная — сборка компонентов платформы с SAST, SCA, сканированием образов (Trivy), поиском секретов и др.
  • Аудит безопасности Штурвала — сведения об аудите безопасности платформы.

Дополнительно

  • Менеджер сессий — просмотр активных сессий пользователей в GUI и принудительное завершение сессии (в разделе доступа/интерфейса платформы).
  • Наложенные средства — в маркетплейсе партнёров можно подключать продукты вроде Kaspersky Container Security, Luntry и др.

Основные возможности

Область Раздел
Обзор инструментов Инструменты безопасности в платформе
Отчёты Какие отчёты есть в платформе и где они находятся
Безопасность Штурвала Безопасная сборочная
Политики безопасности Kyverno, Cilium Network Policies, Seccomp
Управление уязвимостями Сканирование образов, Сканирование хостов и платформы (CIS)
Аудит и логирование Настройка Audit Logs, Экспорт логов в SIEM
Управление секретами Интеграция Vault HashiCorp
Справочная информация Kyverno, Seccomp и др.

С чего начать

  1. Ознакомьтесь с инструментами безопасности в платформе.
  2. Изучите, какие отчёты доступны и где их смотреть.
  3. При необходимости настройте политики (Kyverno, сетевые политики, Seccomp) и сканирование образов/хостов.