Prisma Cloud становится единственной в отрасли интегрированной платформой с межсетевым экраном веб-приложений (WAF), защитой API, защитой во время исполнения и защитой от ботов
Компания Palo Alto Networks анонсировала целый ряд обновлений платформы Prisma Cloud, которые повысят безопасность рабочих нагрузок на хостах и контейнерах.
Palo Alto Networks стремится к тому, чтобы обеспечить комплексную защиту рабочих нагрузок в облачной нативной среде на основе своей CWP-платформы (Cloud Workload Protection) для всех элементов инфраструктуры (хосты, контейнеры и кластеры Kubernetes), а также для функций бессерверных технологий — как во время выполнения приложения, так и на протяжении всего остального его жизненного цикла.
Отрасли нужны интегрированные инструменты
Интегрированные и комплексные платформы становятся жизненно необходимыми по мере того, как растёт использование облачных нативных технологий. Результаты опроса, проведенного фондом Cloud Native Computing Foundation в 2020 году, показали следующее:
- Применение контейнеров стремительно растёт. Например, их использование в production-среде, начиная с 2016 года, увеличилось на 300%, при том, что только в прошлом году этот рост составил 84%.
- Kubernetes используется шире и чаще, чем когда-либо. Так, 91% респондентов используют Kubernetes, причем 83% — в production-среде.
- Внедрение бессерверных архитектур продолжается. Из числа опрошенных 30% сообщили, что используют бессерверные технологии в своих production-средах.
- Технологии CI/CD жизненно важны для пользователей нативных облачных сред. Более 80% респондентов используют пайплайны CI/CD в production-среде.
Стремясь повысить эффективность, организации внедряют разные сочетания нативных облачных архитектур, объединяют их с различными конвейерными технологиями и интегрируют всё это в короткие циклы релиза. Однако зачастую организации составляют «лоскутное одеяло» из множества разрозненных, точечных решений для безопасности своих технологических стеков, что создает повышенную нагрузку на персонал и пробелы в защите.
Новейшие возможности Prisma Cloud позволяют командам DevOps максимально быстро создавать и разворачивать свои приложения и рабочие нагрузки, а службам безопасности — обеспечивать комплексную защиту.
Комплексный подход к безопасности веб-приложений и API
При запуске Prisma Cloud 2.0 Palo Alto Networks представила свою новейшую разработку — Web Application and API Security (WAAS) — модуль обнаружения и защиты веб-приложений и облачных API-интерфейсов. В модуле можно настраивать проверки на соответствие требованиям OWASP Top 10, а также функции защиты API и среды исполнения приложений. Единая панель управления, интегрированная с унифицированной системой программных агентов Defender, даёт возможность легко и быстро развернуть и включить защиту для нативных облачных приложений.
Чтобы продемонстрировать потенциал модуля, команда разработчиков провела внутренний сравнительный анализ с передовыми решениями других вендоров. Команда массировано атаковала более 200.000 легитимных онлайн-транзакций, используя широкий набор новейших техник атаки и замеряя при этом количество ложно-позитивных и ложно-негативных срабатываний.
В новом сравнительном отчете детально изложено, каким образом возможности Prisma Cloud WAAS превосходят шесть других существующих решений от разных производителей. У межсетевого экрана Prisma Cloud — самый высокий показатель точности — 99,3%; он показывает, насколько точно экран фильтрует ложно-положительные срабатывания. При этом уровень неотфильтрованных ложных срабатываний также оказался ниже всех — всего 0,02%.
Новые возможности управления ботами и усиленная защита от DoS-атак
Рис. 1. Панель управления защитой от ботов на Prisma Cloud
Помимо публикации результатов сравнительного тестирования, компания Palo Alto Networks также представляет новые продвинутые возможности WAAS. Среди них:
- Защита от ботов. Пользователи WAAS имеют возможность решать, как обрабатывать запросы от ботов разных типов. Есть возможность настроить видимость тех или иных ботов для системы и защиту от них; настроить эти параметры можно по известным и неизвестным ботам, а также по тем, которые определяются самим пользователем. Каждый вид настройки может применяться к конкретным приложениям по выбору специалистов службы безопасности.
- Усиленная защита от DoS-атак. Теперь в WAAS входит функция защиты от DoS-атак на прикладном уровне, которая реализуется через настройки ограничений скорости подключения.
Рис. 2. Обновлённая функция агрегирования событий в системе WAAS
Безопасность хоста: настраиваемые комплаенс- политики
Несмотря на продолжающийся стремительный рост использования контейнеров и Kubernetes, хосты и виртуальные машины по-прежнему остаются главными элементами стратегии облачной инфраструктуры. Неважно, как организация мигрирует в облако — просто переносит туда свои ресурсы или использует виртуальные машины для контейнеризации этих ресурсов — службам ИБ нужно защищать эти рабочие нагрузки. Обязательный функционал включает систему непрерывного управления уязвимостями, соответствия стандартам, защиту среды исполнения (мониторинг целостности файлов, проверку журналов, кастомизацию правил для среды исполнения), а также механизмы контроля доступа и форензику.
С помощью новых настраиваемых политик проверки хостов на соответствие стандартам ИБ пользователи могут проверят хосты с помощью Bash-скриптов. Такими скриптами можно проверять на соответствие требованиям политик операционные системы хоста, конфигурации оркестратора и среды исполнения.
Рис. 3. Скриншот панели для редактирования хостовой политики комплаенса
Безопасность контейнеров: повышенное понимание кластера Kubernetes и проверка соответствия CRI-O
Новые возможности кластера Kubernetes
Службы безопасности должны отслеживать и обеспечивать защиту растущих и непрерывно изменяющихся сред Kubernetes, и нативные возможности компонентов Kubernetes для сопоставления политик и правил, а также просмотр аудитов во время исполнения экономит силы и время аналитикам ИБ. В дополнение к этому в новом релизе платформы Prisma Cloud были улучшены возможности использования имен кластеров Kubernetes.
Рис. 4. Список инцидентов, полученный с помощью фильтра определений кластеров
В частности, имена кластеров можно использовать для сопоставления сред и политик и для просмотра аудитов и сред во время исполнения. Например:
- Просмотр информации модуля Radar по определенному кластеру.
- Просмотр результатов сканирования образов по кластеру.
- Составление и сопоставление политик для сред по кластерам.
На скриншоте выше изображена вкладка для просмотра данных об инциденте — Incident Explorer. На эту вкладку можно выводить инциденты ИБ, отфильтровав их по кластерам. Это позволяет быстрее выявлять инциденты, просматривать данные цепочки kill chain и хронологию развития атаки.
Комплаенс-проверки в среде CRI-O
В силу того, что CRI-O продолжает своё становление как открытый стандарт для контейнерных сред исполнения, команды DevOps и ИБ должны быть уверены, что у них есть все необходимые правила политик для проверки этой среды на соответствие стандартам безопасности.
Теперь Prisma Cloud позволяет делать 25 проверок в среде CRI-O — по конфигурациям контейнеров, образов и хостов. В редакторе правил комплаенса можно легко и быстро выбрать эти встроенные проверки в выпадающем меню, как это показано на скриншоте ниже.
Рис. 5. Скриншот экрана с новыми политиками комплаенс-контроля в среде CRI-O
Дополнительные важные компоненты
В последнем релизе были улучшены следующие компоненты:
- Возможности агента Defender: теперь возможна поддержка до 10.000 агентов Defender для каждой консоли или проекта.
- Служба Intelligence Stream: в физически изолированных или офлайн-средах консоль Compute Edition теперь автоматически управляет и распределяет собранные аналитические данные.
- Уязвимости базового образа: отделение уязвимостей базового образа от уязвимостей прикладного уровня.
- Отсрочка устранения уязвимостей: сроки устранения уязвимостей согласуются с датами выхода исправлений вендоров.
- Результаты анализа уязвимостей образов в реестре Harbour: наряду с отображением уязвимостей в Prisma Cloud, для пользователей Harbor результаты мониторинга уязвимостей отображаются непосредственно в данном реестре.
Все вышеперечисленные функции доступны в Prisma Cloud Compute Edition и в Prisma Cloud Enterprise Edition.