Sicurezza dei container con Sysdig Secure

Sicurezza e compliance
integrate in DevOps


Scarica la checklist per la sicurezza Kubernetes

Colma le lacune nella sicurezza e nella visibilità dei container

Image Scanning

Scansione
delle immagini

Automatizza la scansione localmente nei tuoi strumenti CI/CD e segnala nuove vulnerabilità aruntime

Compliance

Compliance
continua

Valida la compliance rispetto a standard quali PCI, NIST e SOC2 durante il ciclo di vita dei container e di Kubernetes

Runtime Security

Sicurezza
a runtime

Rileva le minacce nei container, in Kubernetes e nell’infrastruttura AWS grazie alle regole Falco predefinite basate su syscalls, log di controllo K8s e AWS CloudTrail

Incident Response and Forensics

Risposta agli incidenti e dati forensi

Conduci indagini grazie a dati syscall dettagliati, anche dopo la distruzione dei container

Scarica gli ultimi insight sulla sicurezza dal nostro snapshot 2020 per la sicurezza dei container.Leggi ora

Sicurezza dei container con Sysdig Secure

Sysdig Secure integra sicurezza e compliance in ogni fase del ciclo di vita dei container.

Scansione delle immagini

Oggigiorno i software sono assemblati e non costruiti da zero, e gli sviluppatori utilizzano immagini base open source e librerie di terze parti per realizzare e scalare applicazioni basate su container. Approfondisci le 12 best practices per la scansione delle immagini da adottare in produzione.

Sysdig Secure protegge dalle vulnerabilità conosciute fin dalle fasi iniziali, integrando funzionalità di scansione nelle pipeline e nei registri CI/CD. Segnala inoltre le nuove vulnerabilità individuate in fase di runtime, le riconduce ad applicazioni specifiche e identifica i team che devono risolverle. Sfrutta le regole di scansione di sicurezza predefinite Docker di Sysdig per risparmiare tempo e individuare gravi vulnerabilità OS e non-OS, errori di configurazione e pratiche di sicurezza errate.

Sicurezza a Runtime

Un altro requisito critico per la sicurezza dei container è la capacità di rilevare e segnalare le attività sospette in fase di runtime, tra cui:

  • Exploit di vulnerabilità senza patch o zero-day
  • Configurazioni non sicure
  • Credenziali trapelate o deboli
  • Minacce interne

Grazie a Falco open source, potrai creare regole flessibili per definire i comportamenti inattesi all’interno dei container. Queste regole possono essere arricchite grazie al contesto degli del provider cloud e all’ambiente Kubernetes. I tuoi team potranno sfruttare numerose policy di detection offerte dalla community invece di crearle da zero. Potrai poi creare allarmi integrando Falco nei flussi di lavoro e nei processi di risposta di sicurezza attualmente in uso.

Sysdig Secure estende il motore open source di Falco e consente di risparmiare tempo creando e mantenendo policy per il rilevamento di minacce a runtime. Utilizzando algoritmi di machine learning è possibile profilare le immagini dei container evitando la scrittura di regole da zero.

Compliance continua

La compliance dei container è un requisito chiave da soddisfare prima del rilascio in produzione. Le sfide più comuni che i team DevOps devono affrontare per la convalida della compliance dei container sono:

  • Impossibilità di associare gli standard di complaince a controlli specifici negli ambienti cloud
  • Impossibilità di comprendere eventuali progressi o di sapere se i potenziali audit possono essere superati
  • Non sapere quale team è responsabile di ogni specifico controllo di compliance
  • Impossibilitá di dimostrare la compliance all’interno dell’ambiente del container

“Tutte queste attività eichiedono tempo e risorse, e possono rallentare la distribuzione dell’applicazione. Sysdig Secure associa gli standard di conformità (per es., PCI, NIST, SOC2) a controlli specifici per container e ambienti Kubernetes. Gli assesment on-demand, le dashboard e i report facilitano il superamento di audit di terze parti. Scopri come
convalidare continuamente la compliance del ciclo di vita di container e di Kubernetes rispetto a standard quali PCI, NIST e SOC2.

Risposta agli incidenti

Quando si risponde a un incidente, è particolarmente difficile rispondere i “perché” del problema, a causa della natura distribuita e dinamica dei container e degli ambienti Kubernetes. I team devono trovare un equilibrio: devono definire precise policy di runtime senza però annegare in un mare di avvisi.

Riconoscere la causa alla base di un evento dannoso all’interno di un container richiede l’utilizzo di uno strumento di sicurezza in grado di fornire evidenze dettaliate. Sysdig fornisce dati forensi esaurienti ottenuti a partire dalle chiamate di sistema di linux, indispensabili per analisi complete post-mortem, anche dopo la distruzione del container Questi dati di basso livello consentono di dare risposta alle domande più difficili: quali file sono stati acceduti, quali comandi sono stati eseguiti, quali connessioni sono state create e molto altro. Scopri come registrare uno snapshot delle attività prima e dopo un attacco a un container, rispondi agli incidenti in maniera dettagliata ed effettua indagini forensi.

Integrato nel flusso di lavoro di DevOps

Sysdig è una piattaforma SaaS-first basata sull’open source che si integra automaticamente con lo stack DevOps esistente.

Crea

Vulnerabilità
Configurazioni

Strumenti CI/CD

La scansione delle immagini di Sysdig Secure si integra direttamente nella pipeline CI/CD e impedisce l’invio di immagini che presentano vulnerabilità o configurazioni errate.

Registri

La scansione delle immagini dei container di Sysdig Secure supporta tutti i registri compatibili con Docker v2. Garantisce un profilo di rischio aggiornato e rileva le immagini che devono essere ricreate quando vengono introdotte nuove vulnerabilità.

Esegui

Metriche
Eventi
Policy di sicurezza

Applicazioni

Sysdig offre sicurezza in fase di runtime e monitoraggio dell’infrastruttura e delle applicazioni per garantire una produzione più veloce delle applicazioni cloud.

Cloud

Sysdig protegge e monitora i container su più piattaforme cloud.

Sysdig ServiceVision arricchisce i dati dei container con i metadati di provider cloud.

Agente di orchestrazione

Sysdig supporta qualunque agente di orchestrazione, distribuzioni Kubernetes multiple e le piattaforme gestite.

Sysdig ServiceVision arricchisce i dati dei container con i metadati di Kubernetes o degli agenti di orchestrazione. Sysdig sfrutta le funzioni native di Kubernetes per l’imposizione dei criteri e la prevenzione delle minacce.

Infrastruttura

Sysdig ContainerVision offre un’ampia visibilità su tutte le attività dei container attraverso un modello di strumentazione leggero che raccoglie dati dettagliati relativi alle chiamate di sistema.

Rispondi

Avvisi
Audit
Log
Eventi
Catture
Syscall

Avvisi

Configurate avvisi flessibili sugli errori di scansione delle immagini, le attività anomale in fase di runtime o gli errori di risoluzione dei problemi attraverso i canali già in uso (per es., Slack, PagerDuty, SNS, ecc.).

Integrazioni SIEM e SOAR

Sysdig inoltra automaticamente gli eventi allo strumento SIEM in uso per fornire agli analisti SOC una profonda visibilità sugli incidenti che avvengono nei container e in Kubernetes. Si integra anche con le piattaforme SOAR (Demisto, Phantom) come parte dei playbook di sicurezza automatizzati.

SaaS

Self-hosted

Sysdig Secure DevOps Platform

Eseguite tranquillamente i workloads cloud-nativi nella produzione grazie alla Sysdig Secure DevOps Platform. Con Sysdig, potete integrare la sicurezza, convalidare la compliance e massimizzare le prestazioni e la disponibilità. La piattaforma Sysdig è aperta e garantisce la scalabilità, le prestazioni e l’usabilità di cui le aziende hanno bisogno.

Inizia immediatamente la tua prova di 30 giorni!

Accesso completo a tutte le funzionalità, senza inserire la carta di credito.

Domande frequenti

Q: Cos’è la sicurezza dei container?

A: La sicurezza dei container è il processo che prevede di implementeare controlli di sicurezza e di rispetto della compliance in ogni fase del ciclo di vita dei contenitori. Ciò significa sia effettuare la scansione delle immagini dei container nelle pipeline e nei registri CI/CD, sia garantire la sicurezza a runtime per container e host. Anche la risposta agli incidenti con dati forensi completi che catturano tutte le attività che avvengono nei container è un requisito fondamentale. I controlli della compliance consentono ai team di superare un audit in qualunque momento.

D: Come si fa a proteggere Kubernetes?

R: Proteggere i carichi di lavoro in Kubernetes significa proteggere tutti i diversi componenti del cluster. Le vulnerabilità nei pacchetti di base OS o non OS che gli sviluppatori usano per realizzare le applicazioni possono essere sfruttate. Questo richiede la scansione delle immagini e l’integrazione attraverso gli admission controllers per evitare l’utilizzo di immagini pericolose. Un altro componente da proteggere è il control plane di Kubernetes (i.e., controller manager, etcd) al quale si può accedere tramite le API di Kubernetes e che richiede il monitoraggio della sicurezza e il controllo di tutte le attività eseguite a livello di server API. Per conoscere ulteriori dettagli sulla protezione di Kubernetes, scarica la nostra checklist per la sicurezza di Kubernetes.

D: Come si fa a proteggere l’host?

R: Anche quando esegui i container, devi assicurarti che le configurazioni dell’host siano sicure (restrizione e autorizzazione degli accessi, comunicazioni cifrate, ecc.). Consigliamo di usare lo strumento di controllo Docker per verificare le best-practice di configurazione. Devi inoltre mantenere il tuo sistema sempre aggiornato e utilizzare sistemi minimali incentrati sui container per ridurre la superfice di attacco. Puoi trovare maggiori informazioni qui: 7 vulnerabilità per la sicurezza di Docker.

D: Come si proteggono i container su AWS (ECS, EKS, Fargate)?

R: La sicurezza dei container AWS richiede di implementare un processo di sicurezza in grado di coprire ogni fase del ciclo di vita dei container. Questo include automatizzare la scansione delle immagini a livello di registro con Amazon ECR, e a livello di pipeline CI/CD con strumenti quali AWS CodeBuild e CodePipeline La sicurezza a runtime in produzione su EKS ed ECS rileva e blocca le vulnerabilità zero-day e minacce quali tentativi di escalation dei privilegi. Implementare l’individuazione delle minacce con AWS CloudTrail e Falco permette di rilervare modifiche sospette ai permessi utiente di AWS, ai bucket S3, alle chiavi di accesso, ecc. I controlli di compliance dell’infrastruttura AWS e del ciclo di vita dell’applicazione sono fondamentali per il rispetto degli standard normativi di conformità. E, infine, registrare l’attività dei container in modo dettagliato ti aiuterà a capire gli eventi e a condurre indagini forensi anche dopo la distruzione dei container

D: Come si proteggono i container su OpenShift di RedHat?

R: OpenShift offre una piattaforma per container sicura e di livello enterprise. Sysdig aumenta i controlli per la sicurezza dei container integrati in OpenShift con una più ampia scansione delle immagini, sicurezza a runtime e dati forensi dei contenitori, per ridurre i rischi legati all’uso di container in ambienti mission-critical

D: Come si proteggono i contenitori su Google Cloud?

R: Per proteggere i container in Google Cloud in uso su servizi quali GKE e Cloud Run, è necessario proteggere il ciclo di vita del container in tutte le sue fasi. Ciò significa scansionare automaticamente le immagini a livello di registro con GCR, ma anche le pipeline CI/CD con strumenti quali Google Cloud Build. La sicurezza a runtime in produzione su GKE e Cloud Run rileva e blocca le vulnerabilità ezero-day e le minacce come i tentativi di escalation dei privilegi. I controlli di compliance dell’infrastruttura Google Cloud e del ciclo di vita dell’applicazione sono fondamentali per il rispetto degli standard normativi di conformità. E, infine, registrare l’attività dei container in modo dettagliato ti aiuterà a capire gli eventi e a condurre indagini forensi anche dopo la distruzione dei container.

“Disponiamo di un piccolo team e di un modello DevOps che ci richiede molte competenze diverse. Con Sysdig è stato tutto facile, non abbiamo dovuto scegliere tra velocità o sicurezza.”

VP di Engineering presso Stella Connect