Strumenti CI/CD
La scansione delle immagini di Sysdig Secure si integra direttamente nella pipeline CI/CD e impedisce l’invio di immagini che presentano vulnerabilità o configurazioni errate.
Novità! 2022 Report sulla sicurezza e l'uso delle Applicazioni Cloud-Native
Colma le lacune nella sicurezza e nella visibilità dei container
Scansione
delle immagini
Automatizza la scansione localmente nei tuoi strumenti CI/CD e segnala nuove vulnerabilità aruntime
Compliance
continua
Valida la compliance rispetto a standard quali PCI, NIST e SOC2 durante il ciclo di vita dei container e di Kubernetes
Sicurezza
a runtime
Rileva le minacce nei container, in Kubernetes e nell’infrastruttura AWS grazie alle regole Falco predefinite basate su syscalls, log di controllo K8s e AWS CloudTrail
Risposta agli incidenti e dati forensi
Conduci indagini grazie a dati syscall dettagliati, anche dopo la distruzione dei container
Scarica gli ultimi insight sulla sicurezza dal nostro snapshot 2020 per la sicurezza dei container.
Sicurezza dei container con Sysdig Secure
Sysdig Secure integra sicurezza e compliance in ogni fase del ciclo di vita dei container.
Scansione delle immagini
Oggigiorno i software sono assemblati e non costruiti da zero, e gli sviluppatori utilizzano immagini base open source e librerie di terze parti per realizzare e scalare applicazioni basate su container. Approfondisci le 12 best practices per la scansione delle immagini da adottare in produzione.
Sysdig Secure protegge dalle vulnerabilità conosciute fin dalle fasi iniziali, integrando funzionalità di scansione nelle pipeline e nei registri CI/CD. Segnala inoltre le nuove vulnerabilità individuate in fase di runtime, le riconduce ad applicazioni specifiche e identifica i team che devono risolverle. Sfrutta le regole di scansione di sicurezza predefinite Docker di Sysdig per risparmiare tempo e individuare gravi vulnerabilità OS e non-OS, errori di configurazione e pratiche di sicurezza errate.
Sicurezza a Runtime
Un altro requisito critico per la sicurezza dei container è la capacità di rilevare e segnalare le attività sospette in fase di runtime, tra cui:
- Exploit di vulnerabilità senza patch o zero-day
- Configurazioni non sicure
- Credenziali trapelate o deboli
- Minacce interne
Grazie a Falco open source, potrai creare regole flessibili per definire i comportamenti inattesi all’interno dei container. Queste regole possono essere arricchite grazie al contesto degli del provider cloud e all’ambiente Kubernetes. I tuoi team potranno sfruttare numerose policy di detection offerte dalla community invece di crearle da zero. Potrai poi creare allarmi integrando Falco nei flussi di lavoro e nei processi di risposta di sicurezza attualmente in uso.
Sysdig Secure estende il motore open source di Falco e consente di risparmiare tempo creando e mantenendo policy per il rilevamento di minacce a runtime. Utilizzando algoritmi di machine learning è possibile profilare le immagini dei container evitando la scrittura di regole da zero.
Compliance continua
La compliance dei container è un requisito chiave da soddisfare prima del rilascio in produzione. Le sfide più comuni che i team DevOps devono affrontare per la convalida della compliance dei container sono:
- Impossibilità di associare gli standard di complaince a controlli specifici negli ambienti cloud
- Impossibilità di comprendere eventuali progressi o di sapere se i potenziali audit possono essere superati
- Non sapere quale team è responsabile di ogni specifico controllo di compliance
- Impossibilitá di dimostrare la compliance all’interno dell’ambiente del container
“Tutte queste attività eichiedono tempo e risorse, e possono rallentare la distribuzione dell’applicazione. Sysdig Secure associa gli standard di conformità (per es., PCI, NIST, SOC2) a controlli specifici per container e ambienti Kubernetes. Gli assesment on-demand, le dashboard e i report facilitano il superamento di audit di terze parti. Scopri come
“convalidare continuamente la compliance del ciclo di vita di container e di Kubernetes rispetto a standard quali PCI, NIST e SOC2.
Risposta agli incidenti
Quando si risponde a un incidente, è particolarmente difficile rispondere i “perché” del problema, a causa della natura distribuita e dinamica dei container e degli ambienti Kubernetes. I team devono trovare un equilibrio: devono definire precise policy di runtime senza però annegare in un mare di avvisi.
Riconoscere la causa alla base di un evento dannoso all’interno di un container richiede l’utilizzo di uno strumento di sicurezza in grado di fornire evidenze dettaliate. Sysdig fornisce dati forensi esaurienti ottenuti a partire dalle chiamate di sistema di linux, indispensabili per analisi complete post-mortem, anche dopo la distruzione del container Questi dati di basso livello consentono di dare risposta alle domande più difficili: quali file sono stati acceduti, quali comandi sono stati eseguiti, quali connessioni sono state create e molto altro. Scopri come registrare uno snapshot delle attività prima e dopo un attacco a un container, rispondi agli incidenti in maniera dettagliata ed effettua indagini forensi.
Integrato nel flusso di lavoro di DevOps
Sysdig è una piattaforma SaaS-first basata sull’open source che si integra automaticamente con lo stack DevOps esistente.
Crea
Vulnerabilità
Configurazioni
1/2
Registri
La scansione delle immagini dei container di Sysdig Secure supporta tutti i registri compatibili con Docker v2. Garantisce un profilo di rischio aggiornato e rileva le immagini che devono essere ricreate quando vengono introdotte nuove vulnerabilità.
2/2
Esegui
Metriche
Eventi
Policy di sicurezza
Applicazioni
Sysdig offre sicurezza in fase di runtime e monitoraggio dell’infrastruttura e delle applicazioni per garantire una produzione più veloce delle applicazioni cloud.
1/4
Cloud
Sysdig protegge e monitora i container su più piattaforme cloud.
Sysdig ServiceVision arricchisce i dati dei container con i metadati di provider cloud.
2/4
Agente di orchestrazione
Sysdig supporta qualunque agente di orchestrazione, distribuzioni Kubernetes multiple e le piattaforme gestite.
Sysdig ServiceVision arricchisce i dati dei container con i metadati di Kubernetes o degli agenti di orchestrazione. Sysdig sfrutta le funzioni native di Kubernetes per l’imposizione dei criteri e la prevenzione delle minacce.
3/4
Infrastruttura
Sysdig ContainerVision offre un’ampia visibilità su tutte le attività dei container attraverso un modello di strumentazione leggero che raccoglie dati dettagliati relativi alle chiamate di sistema.
4/4
Rispondi
Avvisi
Audit
Log
Log
Eventi
Catture
Syscall
Syscall
Avvisi
Configurate avvisi flessibili sugli errori di scansione delle immagini, le attività anomale in fase di runtime o gli errori di risoluzione dei problemi attraverso i canali già in uso (per es., Slack, PagerDuty, SNS, ecc.).
1/2
Integrazioni SIEM e SOAR
Sysdig inoltra automaticamente gli eventi allo strumento SIEM in uso per fornire agli analisti SOC una profonda visibilità sugli incidenti che avvengono nei container e in Kubernetes. Si integra anche con le piattaforme SOAR (Demisto, Phantom) come parte dei playbook di sicurezza automatizzati.
2/2
SaaS
Self-hosted
Sysdig Secure DevOps Platform
Eseguite tranquillamente i workloads cloud-nativi nella produzione grazie alla Sysdig Secure DevOps Platform. Con Sysdig, potete integrare la sicurezza, convalidare la compliance e massimizzare le prestazioni e la disponibilità. La piattaforma Sysdig è aperta e garantisce la scalabilità, le prestazioni e l’usabilità di cui le aziende hanno bisogno.
Inizia immediatamente la tua prova di 30 giorni!
Accesso completo a tutte le funzionalità, senza inserire la carta di credito.
Domande frequenti
Q: Cos’è la sicurezza dei container?
A: La sicurezza dei container è il processo che prevede di implementeare controlli di sicurezza e di rispetto della compliance in ogni fase del ciclo di vita dei contenitori. Ciò significa sia effettuare la scansione delle immagini dei container nelle pipeline e nei registri CI/CD, sia garantire la sicurezza a runtime per container e host. Anche la risposta agli incidenti con dati forensi completi che catturano tutte le attività che avvengono nei container è un requisito fondamentale. I controlli della compliance consentono ai team di superare un audit in qualunque momento.
D: Come si fa a proteggere Kubernetes?
R: Proteggere i carichi di lavoro in Kubernetes significa proteggere tutti i diversi componenti del cluster. Le vulnerabilità nei pacchetti di base OS o non OS che gli sviluppatori usano per realizzare le applicazioni possono essere sfruttate. Questo richiede la scansione delle immagini e l’integrazione attraverso gli admission controllers per evitare l’utilizzo di immagini pericolose. Un altro componente da proteggere è il control plane di Kubernetes (i.e., controller manager, etcd) al quale si può accedere tramite le API di Kubernetes e che richiede il monitoraggio della sicurezza e il controllo di tutte le attività eseguite a livello di server API. Per conoscere ulteriori dettagli sulla protezione di Kubernetes, scarica la nostra checklist per la sicurezza di Kubernetes.
D: Come si fa a proteggere l’host?
R: Anche quando esegui i container, devi assicurarti che le configurazioni dell’host siano sicure (restrizione e autorizzazione degli accessi, comunicazioni cifrate, ecc.). Consigliamo di usare lo strumento di controllo Docker per verificare le best-practice di configurazione. Devi inoltre mantenere il tuo sistema sempre aggiornato e utilizzare sistemi minimali incentrati sui container per ridurre la superfice di attacco. Puoi trovare maggiori informazioni qui: 7 vulnerabilità per la sicurezza di Docker.
D: Come si proteggono i container su AWS (ECS, EKS, Fargate)?
R: La sicurezza dei container AWS richiede di implementare un processo di sicurezza in grado di coprire ogni fase del ciclo di vita dei container. Questo include automatizzare la scansione delle immagini a livello di registro con Amazon ECR, e a livello di pipeline CI/CD con strumenti quali AWS CodeBuild e CodePipeline La sicurezza a runtime in produzione su EKS ed ECS rileva e blocca le vulnerabilità zero-day e minacce quali tentativi di escalation dei privilegi. Implementare l’individuazione delle minacce con AWS CloudTrail e Falco permette di rilervare modifiche sospette ai permessi utiente di AWS, ai bucket S3, alle chiavi di accesso, ecc. I controlli di compliance dell’infrastruttura AWS e del ciclo di vita dell’applicazione sono fondamentali per il rispetto degli standard normativi di conformità. E, infine, registrare l’attività dei container in modo dettagliato ti aiuterà a capire gli eventi e a condurre indagini forensi anche dopo la distruzione dei container
D: Come si proteggono i container su OpenShift di RedHat?
R: OpenShift offre una piattaforma per container sicura e di livello enterprise. Sysdig aumenta i controlli per la sicurezza dei container integrati in OpenShift con una più ampia scansione delle immagini, sicurezza a runtime e dati forensi dei contenitori, per ridurre i rischi legati all’uso di container in ambienti mission-critical
D: Come si proteggono i contenitori su Google Cloud?
R: Per proteggere i container in Google Cloud in uso su servizi quali GKE e Cloud Run, è necessario proteggere il ciclo di vita del container in tutte le sue fasi. Ciò significa scansionare automaticamente le immagini a livello di registro con GCR, ma anche le pipeline CI/CD con strumenti quali Google Cloud Build. La sicurezza a runtime in produzione su GKE e Cloud Run rileva e blocca le vulnerabilità ezero-day e le minacce come i tentativi di escalation dei privilegi. I controlli di compliance dell’infrastruttura Google Cloud e del ciclo di vita dell’applicazione sono fondamentali per il rispetto degli standard normativi di conformità. E, infine, registrare l’attività dei container in modo dettagliato ti aiuterà a capire gli eventi e a condurre indagini forensi anche dopo la distruzione dei container.
Ti potrebbero anche interessare
- RAPPORTO. Rapporto 2021 su sicurezza e uso dei container
- INFOGRAFICA Snapshot 2021 su sicurezza e uso dei container
- WEBINAR. Sicurezza di cloud e container per AWS
- CASO D’USO. Configurazione delle policy di sicurezza dei container
- BLOG. Come applicare uno stack di sicurezza per container open source
“Disponiamo di un piccolo team e di un modello DevOps che ci richiede molte competenze diverse. Con Sysdig è stato tutto facile, non abbiamo dovuto scegliere tra velocità o sicurezza.”
VP di Engineering presso Stella Connect