Red Hat Advanced Cluster Security for Kubernetes 

2 agosto 2023
Risorsa: Scheda tecnica

Le applicazioni cloud native richiedono controlli di sicurezza avanzati

Gli approcci odierni alla sicurezza potrebbero non essere idonei alla protezione delle applicazioni cloud native. Mettere in sicurezza le applicazioni cloud native significa anticipare i controlli nel ciclo di vita di sviluppo dell'applicazione, sfruttare direttamente l'infrastruttura per applicarli, fornire protezioni adatte agli sviluppatori e stare al passo con le sempre più rapide pianificazioni dei rilasci.

Red Hat® Advanced Cluster Security for Kubernetes, con tecnologia StackRox, protegge le applicazioni fondamentali per l'azienda, in fase di creazione, distribuzione e runtime. Puoi installare il nostro software all'interno della tua infrastruttura Kubernetes come soluzione di sicurezza autogestita, oppure utilizzarlo come Software-as-a-Service (SaaS) con gestione completa. Inoltre, può essere integrato con i flussi di lavoro e gli strumenti DevOps che usi già per ottimizzare la sicurezza e la conformità. Il motore dei criteri include centinaia di controlli integrati per l'applicazione delle migliori procedure DevOps e di sicurezza basate su standard di settore come i benchmark del Center for Internet Security (CIS) e le linee guida del National Institute of Standards Technology (NIST), ma anche soluzioni di sicurezza del runtime e opzioni di gestione della configurazione per container e Kubernetes. 

Red Hat Advanced Cluster Security costituisce un'architettura Kubernetes native che consente ai team DevOps e InfoSec di rendere operativa la sicurezza di piattaforme e applicazioni.

Caratteristiche e vantaggi di Red Hat Advanced Cluster Security for Kubernetes

  • Costi operativi inferiori
    • Adotta un linguaggio comune e un'unica fonte di informazioni attendibili per i team dedicati allo sviluppo, alle operazioni e alla sicurezza: così taglierai i costi operativi dovuti alla frammentazione del personale.
    • Applica controlli Kubernetes native durante le fasi di creazione, distribuzione e runtime delle applicazioni per aumentare la visibilità e per gestire in modo più efficiente le vulnerabilità, le violazioni di criteri e configurazioni e il comportamento del runtime applicativo.
    • Individua ed elimina i problemi di sicurezza in fase di sviluppo per ridurre i costi.
  • Rischio operativo inferiore
    • Allinea la sicurezza e l'infrastruttura per ridurre i tempi di fermo delle applicazioni sfruttando le funzionalità Kubernetes integrate, come i criteri di rete per la segmentazione e il controller di ammissione per l'applicazione dei criteri di sicurezza.
    • Argina le minacce utilizzando i controlli di sicurezza Kubernetes native per applicare criteri di sicurezza e ridurre al minimo i rischi per le applicazioni e le operazioni dell'infrastruttura. Ad esempio, puoi impiegare i controlli per contenere una violazione, richiedendo automaticamente a Kubernetes di ridurre a zero i pod sospetti o di distruggere e riavviare le istanze delle applicazioni violate.
  • Sviluppo più efficiente
    • Sfrutta gli strumenti Kubernetes e di integrazione e distribuzione continue (CI/CD) che già usi per ottimizzare la produttività degli sviluppatori con protezioni di sicurezza integrate, mantenendo al tempo stesso il profilo di sicurezza che desideri. 
    • Accelera il percorso di innovazione della tua azienda e fornisci agli sviluppatori istruzioni attuabili, utilizzando Kubernetes come piattaforma comune su cui standardizzare l'applicazione della sicurezza continua e dichiarativa per i team dedicati a sviluppo, sicurezza e operazioni.

I vantaggi in dettaglio

Area Vantaggi
Visibilità

  • Offre una panoramica completa dell'ambiente Kubernetes, inclusi immagini, pod, distribuzioni, spazi dei nomi e configurazioni

  •  Individua e mostra il traffico di rete in tutti i cluster relativi a spazi dei nomi, distribuzioni e pod 

  • Acquisisce gli eventi critici a livello di sistema in ogni container per il rilevamento degli imprevisti
Gestione delle vulnerabilità
  • Esegue la scansione delle immagini per individuare le vulnerabilità note in base a linguaggi, pacchetti o livelli di immagine specifici 

  • È dotato di un dashboard che evidenzia le distribuzioni e le vulnerabilità delle immagini più a rischio

  • Verifica le firme delle immagini utilizzando chiavi preconfigurate per accertarne l'integrità e l'attestazione

  • Mette in relazione le vulnerabilità e i deployment in esecuzione, non solo le immagini

  • Applica criteri basati sui dettagli delle vulnerabilità utilizzando le integrazioni CI/CD in fase di creazione, i controlli di ammissione dinamica al momento della distribuzione e i controlli Kubernetes native durante il runtime

  • Permette di personalizzare l'accettazione dei rischi per ridurre i falsi positivi e migliorare l'assegnazione delle priorità delle vulnerabilità in base al rischio
Conformità
  • Consente alle aziende di eseguire autovalutazioni on demand per rendere automatiche le verifiche di conformità
  • Verifica la conformità attraverso centinaia di controlli relativi ai benchmark CIS, allo standard Payment Card Industry (PCI), alla legislazione Health Insurance Portability and Accountability Act (HIPAA), alla normativa North American Electric Reliability Corporation Critical Infrastructure Protection (NERC-CIP) e al framework NIST SP 800-190 e 800-53
  • Comprende un dashboard riassuntivo sulla conformità complessiva a ogni standard, con la possibilità di esportare i dati per rispondere alle esigenze degli auditor
  • Offre una panoramica sui dettagli di conformità per individuare i cluster, gli spazi dei nomi, i nodi o le distribuzioni che non rispettano standard e controlli specifici
Segmentazione della rete
  • Mostra il traffico consentito e attivo tra gli spazi dei nomi, le distribuzioni e i pod, incluse le esposizioni all'esterno
  • Utilizza le capacità di imposizione della rete integrate in Kubernetes per garantire la segmentazione coerente, portabile e scalabile
  • Definisce standard per l'attività di rete e suggerisce nuovi criteri di rete Kubernetes per eliminare le connessioni superflue
  • Simula le modifiche ai criteri di rete prima che vengano implementate per limitare il più possibile il rischio operativo nell'ambiente
Definizione dei profili di rischio
  • Ricorre a un approccio euristico per classificare i deployment in esecuzione in base al rischio generale per la sicurezza, combinando i dati di Red Hat Advanced Cluster Security sulle vulnerabilità più critiche con i dettagli di configurazione e l'attività del runtime 
  • Monitora i miglioramenti del profilo di sicurezza delle distribuzioni Kubernetes per convalidare l'impatto degli interventi del team dedicato alla sicurezza

Gestione della configurazione
  • Prevede criteri DevOps e di sicurezza predefiniti per individuare le violazioni di configurazione correlate alle esposizioni della rete, ai container privilegiati, ai processi eseguiti come root e alla conformità con gli standard del settore
  • Analizza le impostazioni del controllo degli accessi basato sui ruoli (RBAC) di Kubernetes per identificare i privilegi degli account utente o servizio e i relativi errori di configurazione
  • Monitora i segreti e rileva i deployment che li utilizzano per limitare gli accessi
  • Applica criteri di configurazione utilizzando l'integrazione CI/CD durante la creazione e il controllo di ammissione dinamica in fase di distribuzione
Rilevamento del runtime e risposta
  • Monitora gli eventi a livello di sistema nei container per rilevare le attività anomale che indicano la presenza di una minaccia, utilizzando i controlli Kubernetes native per la risposta automatica
  • Stabilisce lo standard per le attività di processo nei container per definire un elenco dei processi autorizzati in modo automatico anziché manuale
  • Utilizza criteri predefiniti per rilevare il mining di criptovalute, l'escalation dei privilegi e vari tipi di exploit
  • Consente la raccolta dei dati flessibile a livello di sistema utilizzando la tecnologia estesa Berkeley Packet Filter (eBPF) o un modulo kernel in ogni distribuzione Linux® principale
Integrazioni
  • Offre un'interfaccia di programmazione delle applicazioni (API) completa e plugin predefiniti per l'integrazione con i sistemi DevOps, inclusi strumenti CI/CD, scanner di immagini, sigstore, registri, runtime dei container, soluzioni per la sicurezza informatica e la gestione degli eventi (SIEM) e strumenti di notifica

È ora di vedere Red Hat Advanced Cluster Security in azione 

Inizia ora la prova gratuita.

Inizia il periodo di prova

Tag:Cloud ibrido, Container, DevOps, Sicurezza