Red Hat повышает безопасность контейнеров с помощью новых технологий сканирования

Безопасность Стратегия безопасности Интеграция Системное ПО Открытое ПО
мобильная версия
, Текст: Татьяна Короткова

Компания Red Hat, поставщик решений с открытым исходным кодом, объявила о запуске нового интерфейса, позволяющего подключать к платформе Red Hat OpenShift Container Platform (ранее OpenShift Enterprise) созданные партнерами Red Hat сканеры безопасности контейнеров. Как сообщили CNews в Red Hat, технология контейнеров миновала стадию экспериментов и стала частью корпоративной реальности, что выводит на первый план вопросы безопасности. Интеграция платформы Red Hat сразу с несколькими сторонними сканерами контейнеров позволяет заказчику точнее понять, что именно работает в том или ином контейнере и используются ли в нем новейшие исправления безопасности. Описываемая функциональность реализована в рамках последней версии Red Hat Enterprise Linux Atomic Host, операционной системы, лежащей в основе решения Red Hat OpenShift Container Platform.

В рамках расширения сотрудничества с Black Duck Software компания Red Hat интегрировала в Atomic Host открытый инструментарий Black Duck Hub в качестве сканера безопасности контейнеров. Этот сканер обеспечивает углубленную проверку многих компонентов с открытым кодом, используемых в пользовательском пространстве ОС, а также приложений и библиотек, которые могут вноситься в состав контейнеров разработчиками, рассказали в компании. Сканер проверяет контейнер на наличие известных уязвимостей в отрытом ПО и динамически отслеживает содержимое контейнера, выдавая предупреждения при появлении новых уязвимостей, относящихся к программному коду контейнера. Black Duck Hub работает как часть Atomic Host и позволяет проконтролировать безопасность всех контейнерных образов и компонентов на всем протяжении жизненного цикла — от разработки до промэксплуатации — и вне зависимости от размеров масштабирования системы, подчеркнули в Red Hat.

Кроме того, для проверки безопасности контейнеров в составе Red Hat Enterprise Linux Atomic Host имеется предварительная версия сканера OpenSCAP. Проект OpenSCAP (Open Security Content Automation Protocol) — это экосистема инструментов и политик для оценки, измерения и применения мер безопасности в сфере ИТ. Сканер OpenSCAP интегрирован с Atomic Host и проверяет содержимое контейнеров, помогая оперативно выявлять уязвимости.

Кроме того, новая версия Atomic Host предлагает следующие дополнительные новшества: обновленные среды выполнения контейнеров — Docker или Open Container Initiative (OCI), по выбору пользователя; оптимизированная интеграция systemd — упрощает перенос существующих приложений в контейнеры; оптимизированный режим обновления — оперативные программные исправления между выпусками основных версий; графическая консоль управления — упрощает выполнение задач администрирования, в том числе обновление через службу удаленного управления Cockpit.

«Заказчиков, безусловно, привлекает оперативность, которую дают контейнеры, но они не готовы рисковать критически важными системами и приложениям, полагаясь на контейнеры с неизвестным содержанием или не обеспеченные поддержкой. Именно поэтому Red Hat уделяет столько внимания безопасности контейнеров, — рассказал Тим Ейтон (Tim Yeaton), старший вице-президент Red Hat и руководитель подразделения Infrastructure Business Group. — И хотя безопасность важна во всех отраслях, универсальных решений, которые подошли бы всем заказчикам, не существует, особенно с учетом разнообразия сценариев развертывания Linux-контейнеров. Это действительно большая проблема, и новая версия Red Hat Enterprise Linux Atomic Host с упрощенной интеграцией сторонних сканеров безопасности позволяет организации выбрать именно тот сканер, который подходит ей лучше остальных».

«Каждый новый опрос лишь подтверждает, что корпоративные заказчики полны желания использовать контейнеры из-за их преимуществ в плане производительности и затрат. Однако те же опросы указывают и на серьезную обеспокоенность, поскольку вопрос безопасности и доверенности контейнеров по-прежнему остается открытым, — говорит Лу Шипли (Lou Shipley), генеральный директор Black Duck. — Интеграция продуктов Black Duck и Red Hat — это большой шаг на пути к созданию модели контейнеров с большей безопасностью и доверенностью».