Системи безпеки у віртуальному середовищі компанії

Abstract

Мета роботи – розробка та експериментальне обґрунтування автоматизованого інструментарію для комплексного захисту Kubernetes-кластерів шляхом посилення безпеки (hardening), спрямованого на усунення основних векторів атак та місконфігурацій. Об’єкт дослідження – процес побудови та експлуатації захищених контейнерних середовищ на базі оркестратора Kubernetes. Предмет дослідження – методи, механізми та інструменти автоматизації посилення безпеки Kubernetes-інфраструктури, зокрема скрипт k8s-hardening-automation. Робота складається з трьох розділів. У першому розділі проведено аналіз історичної еволюції технологій віртуалізації та контейнеризації, досліджено архітектурні принципи Kubernetes та визначено передумови сучасних викликів безпеки. Другий розділ присвячено комплексному аналізу ризиків безпеки в Kubernetes-середовищах, ідентифікації ключових векторів атак (таких як несанкціонований доступ до Kubelet API, надмірні привілеї, горизонтальне переміщення) та оцінці бізнес-впливу інцидентів. У третьому розділі представлено архітектуру та практичну реалізацію автоматизованого рішення k8s-hardening-automation, проведено експериментальне порівняння ефективності ручного та автоматизованого підходів до hardening, а також проаналізовано досягнуті показники безпеки відповідно до стандарту CIS Kubernetes Benchmark. Експериментально доведено, що запропонований підхід забезпечує скорочення часу розгортання на 83% та усуває 99% критичних місконфігурацій.