TS Solution
TS Solution
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪
Настройки cookie
Обязательные cookies
Эти файлы cookie необходимы для того, чтобы вы могли пользоваться сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка ваших предпочтений конфиденциальности, вход в систему или заполнение форм.
Аналитические cookies
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты для вас.
Рекламные cookies
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей активности в Интернете, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничивать количество показов рекламы. Эта информация может быть передана другим рекламным компаниям.
18 июня 2020

Deep Security Smart Check

Краткий обзор продукта по защите образов контейнеров от компании Trend Micro
Представляем краткий обзор продукта по защите образов контейнеров от компании Trend Micro, позволяющего проводить сканирование образов в частных и публичных реестрах и выявлять вредоносный код, уязвимости и несоответствие стандартам.
1. Архитектура
Smart Check разворачивает в среде контейнеризации, в нашем примере это Red Hat Openshift Container Platform, используя Helm 3 (helm install \ --values overrides.yaml \ deepsecurity-smartcheck \ https://github.com/deep-security/smartcheck-helm/archive/master.tar.gz) и в результате создаются 13 deployments:
Архитектура
Принцип работы приложения основан на интеграции с реестрами образов и их сканировании на наличие различных зловредных программ, уязвимостей, на соответствие определенным требованиям и стандартам:
Принцип работы
2. Работа с реестрами
Есть возможность добавления следующих типов реестров:
  • Google Cloud Registry
  • Amazon Elastic Container Registry
  • Generic Registry
Также есть возможность включать/исключать образы, используя фильтры формата <repository>/<image>:<tag>, и запускать сканирование как сразу после добавления реестра, так и в будущем. Добавим Generic Registry:
Generic Registry
3. Результаты сканирования

3.1 Уязвимости
Результаты сканирования можно отфильтровать по значению "completed with findings" и далее уже посмотреть детали по нужному образу. Возьмем для примера: ruby:2.3:
ruby:2.3
В данном примере найдено 320 уязвимостей различной критичности с разбивкой по уровням. По каждой уязвимости будет указана её критичность, ссылка на её подробное описание, а также некоторая дополнительная информация (к примеру, исправлена ли уязвимость в старшей версии ПО):
Информация по уязвимостям
Также благодаря интеграции с ПО Snyk (https://snyk.io/), база данных по уязвимостям Trend Micro дополнилась базой уязвимостей Snyk по open sourse ПО и в результатах сканирования мы это можем увидеть:
Snyk
3.2 Зловредное ПО
Во время проверки образов Smart Check выявляет вредоносное ПО и предоставляет ссылку на дополнительную информацию по нему в Trend Micro Threat Encyclopedia (https://www.trendmicro.com/vinfo/us/threat-encyclopedia/). Посмотрим на примере образа jenkins:2:
Malware
3.3 Соответствие требованиям/стандартам
Smart Check проверяет образ на соответствие следующим параметрам:
  • Встроенные правила
  • Пользовательские Yara правила
  • PCI DSS v3 Docker Compliance
  • NIST 800-190 Docker Compliance
  • HIPAA Docker Compliance
Посмотрим на примере образа: redis:5:
Соответствие стандартам
Для добавления собственных Yara правил достаточно создать коллекцию и загрузить ruleset в формате .yar:
Добавление Yara правил
4. Использование API
Для интеграции в процесс CI/CD удобно воспользоваться API, чтобы была возможность проверять образы еще до их запуска.

Для тестирования API обратимся к среде Red Hat Automation и создадим playbook, согласно которому мы будем подключаться к Smart Check, отправлять на проверку конкретный образ и запрашивать результаты сканирования.

Для подключения к Smart Check нужно отправить POST запрос, следующего вида:
Доступ по API
Из ответа на запрос необходимо сохранить токен для дальнейшей аутентификации в рамках открытой сессии.

Теперь отправим запрос на поверку конкретного образа:
Запрос на проверку конкретного образа
И, наконец, запросим результаты сканирования нашего образа:
Запрос результатов сканирования образа
Также для интеграции в процесс CI/CD можно воспользоваться готовыми плагинами, к примеру, к Jenkins: https://github.com/deep-security/smartcheck-plugin.
5. Заключение
Несмотря на то, что Trend Micro Deep Security Smart Check не обеспечивает полную безопасность CI/CD или защиту контейнеров, со своими задачами оно полностью справляется. А в совокупности с дополнительными мерами (к примеру, Trend Micro Deep Security для защиты Docker хостов итп) Smart Check может являться частью комплексной встроенной системы защиты.

Из плюсов решения можно отметить следующие возможности:
  • Поиск уязвимостей
  • Обнаружение вредоносного кода
  • Интеграция с Snyk
  • Встраивание в процесс разработки приложений
Остались вопросы?
Наш специалист ответит вам в ближайшее время
*Пожалуйста не указывайте личные почтовые адреса (@mail, @yandex, @gmail и т.д.), так как они не пройдут модерацию
Читайте также: