При работе с контейнерами всегда есть риск утечки данных, поэтому необходимо предусмотреть надежную систему защиты. Эту задачу решают продукты VMware — компании, которая создает системы виртуализации для защиты контейнерных сред. В статье рассмотрим, как работает виртуализация VMware, и расскажем об обеспечении защиты контейнерных сред Docker и Kubernetes, а в заключительной части познакомимся и с альтернативными продуктами. Но сначала давайте выясним, какие уязвимости могут возникать при работе с контейнерными приложениями.

Уязвимости контейнерных сред

Суть контейнеризации в том, чтобы изолировать процессы как друг от друга, так и от вероятного негативного воздействия на ОС. Таким образом, контейнеры — это своеобразные песочницы, в которых ведется работа с теми или иными приложениями. Однако контейнеры уязвимы, и главная проблема в том, что при их запуске чаще всего нужны права суперпользователя. В результате из-за уязвимостей данных песочниц или ПО, работающего в той же физической среде, рискам подвергается вся система.

Худшее, что здесь может случиться — это jailbreak (он же root escape), ситуация, при которой вредоносный код проник настолько глубоко, что стал исполняться под учетной записью с корневым доступом (root), то есть с правами суперпользователя. В результате киберпреступники получают полный контроль над физическими ресурсами, а в некоторых случаях даже могут контролировать облачную среду. Но список уязвимостей контейнерных сред этим не ограничивается, к утечкам также приводит:

• Неправильная конфигурация. Это является причиной возникновения дыр в изоляции контейнерных сред.
• Изменение образа при развертывании. При отсутствии защиты от взлома образа контейнера киберпреступники могут скомпрометировать его и получить доступ ко всем данным.
• Нарушение конфиденциальности. При помещении образа контейнера в общее хранилище могут быть скомпрометированы учетные данные (логины, пароли и другая информация). Такая ситуация возникает из-за невнимательности при работе с контейнерами, поэтому профилактикой здесь может служить только повышение ответственности сотрудников.
• Отсутствие шифрования сетевых протоколов. Незашифрованные данные — лакомый кусок для злоумышленников, если компания представляет для них хоть какой-то интерес. Поэтому защита TLS и фильтрация трафика должны применяться в обязательном порядке.

Самые популярные инструменты для работы с контейнерами сегодня — Docker и Kubernetes, которые чаще всего используются совместно. Различие между ними в том, что Docker — это приложение для создания образов контейнеров и их запуска, а Kubernetes выступает в качестве оркестратора, то есть с его помощью осуществляется управление образами.

Многие из описанных выше уязвимостей характерны для Docker, однако ошибки приложения-оркестратора приводят к возникновению уязвимостей ничуть не реже, поскольку наличие в системе оркестратора свидетельствует о ее масштабах. Так, специалисты по кибербезопасности из компании Aqua Security еще два года назад подсчитали, что за 6 месяцев 2020 года количество атак на системы с развернутыми на них оркестраторами выросло на 26%.

Средства виртуализации VMware

Для решения этих проблем в VMware разработали целый ряд инструментов виртуализации физических машин, которые мы и рассмотрим.

ESXi VMware

ESXi VMware используется для создания гипервизоров, предназначенных для запуска нескольких связанных общей сетью автономных операционных систем на одном хосте. Есть возможность подключения гипервизоров ESXi к удаленным хранилищам для организации полноценных виртуальных машин с целью защиты контейнеризации. Также предусмотрена функция создания кластеров, составляемых минимум из 2 гипервизоров. Кластеризация дает возможность создания и удаления виртуальных машин, а также разделения аппаратных мощностей.

Главным плюсом ESXi с точки зрения обеспечения безопасности контейнерных приложений является повышенная защита от кибератак. Для этого используются продвинутые алгоритмы шифрования виртуальных машин, а также подробные логи, фиксирующие все изменения в операционной системе, поведении брандмауэров и отслеживающие сетевой трафик. Из других преимуществ ESXi выделим:

• Кроссплатформенность. Приложение работает на UNIX-подобных системах и под Windows.
• Экономия ресурсов. ESXi требует для работы чуть больше 120 Мб оперативной памяти.
• Удобное администрирование. Для этого в приложении предусмотрен интерфейс командной строки для управления системой с любого сервера, который в нее входит. Также администрирование осуществляется при помощи интерфейса vSphere Client, работающего под HTML5.

vCenter

Если виртуальная инфраструктура компании достаточно разветвленная, необходимы инструменты для централизации ее управления и масштабирования, если возникнет такая потребность. Обе эти задачи решает vCenter. Данная система мониторит работу всех виртуальных машин, отслеживая возникающие ошибки и угрозы, и контролирует хосты с гипервизорами ESXi. Также есть возможность гибкой настройки оповещений и триггеров. Из других преимуществ vCenter отметим:

• Управление, реализованное с помощью собственной ОС Photon. Эта ОС обеспечивает высокую скорость работы vCenter с быстрым поиском виртуальных машин, хостов, облачных хранилищ и сетей.
• Создание единой системы авторизации без необходимости повторной проверки.
• Возможности для масштабирования: используя всего одну копию vCenter, вы сможете развернуть на ней до двух тысяч хостов и до 35 тысяч ВМ (виртуальных машин).
• Для каждого хоста можно создать собственный профиль с конфигурационными файлами и параметрами сетей и хранилищ, что поможет без проблем развернуть их на других хостах, используя записанные параметры.

vSphere

Это комплексное решение, объединяющее ESXi и vCenter и обеспечивающее виртуализацию разветвленных контейнерных систем промышленного уровня. Инструменты vSphere позволяют гибко распределять нагрузки аппаратных мощностей и размещать несколько виртуальных машин на физическом сервере, причем эти виртуальные машины могут управляться различными ОС.

Таким образом, при помощи vSphere выполняется виртуализация любой физической инфраструктуры, независимо от ее разветвленности и сложности управления. А при правильной настройке vSphere риски уязвимостей контейнерных сред сводятся к минимуму. vSphere также позволяет:

• организовать управление виртуальными центрами обработки и хранения данных;
• равномерно распределять нагрузки, исключая простои ЦОД;
• удаленно обслуживать офисную инфраструктуру, не задействуя местные IT-отделы;
• создавать в рамках действующей инфраструктуры облачные сервисы и облачные хранилища с использованием OpenStack.

Как включить вложенную виртуализацию VMware

Вложенная виртуализация требуется в тех случаях, когда нужен запуск ВМ или эмулируемых приложений в гостевых системах. Она включается путем редактирования vmx-файла ВМ таким образом: vhv.enable = TRUE. Чтобы изменить этот параметр, загрузите файл, а после измененную версию с помощью браузера датастора. Теперь ESXi должен прочитать измененный vmx-файл. Для этого зайдите по SSH в гипервизор и в командной строке введите:

vim-cmd vmsvc/getallvms
vim-cmd vmsvc/reload Vmid

Первая часть кода необходима для отображения списка ВМ и для определения VMID нужной нам ВМ. Выяснив номер, добавьте его во второй команде, после чего включите ВМ и убедитесь, что вложенная виртуализация стала доступной.

Что такое виртуализация IOMMU VMware

Функции IOMMU, которые введены с vSphere 6.7, позволяют включить аппаратную виртуализацию в BIOS. Она обеспечивает поддержку изолированных ВМ, которые напрямую управляются ESXi. Преимущество этой технологии в том, что такие ВМ не зависят от хоста и используемой платформы виртуализации. Для активации функции IOMMU в настройках Virtualization Technology пропишите параметр Enabled, так как по умолчанию виртуализация IOMMU выключена.

Альтернативные продукты

В завершение кратко рассмотрим несколько других коммерческих решений для безопасности контейнерных сред.

• Aqua Cloud Native Security Platform. Позволяет сканировать образы Docker и обеспечивает онлайн защиту, отслеживая малейшие изменения в контейнерах и подозрительную активность. 
• CipherTrust Data Security Platform. С помощью CipherTrust можно настроить безопасную работу пользователей Docker, ограничив им доступ к конфиденциальной информации в системе.
• CloudGuard for Container Security. К преимуществам этого продукта отнесем постоянный мониторинг облачной безопасности, в том числе контроль за кластерами Kubernetes.
• Guardicore Centra Security Platform. Одно из лучших решений для организации защиты образов Docker в среде Kubernetes. Есть возможность выбрать нужный уровень микросегментации с перенаправлением данных на определенные кластеры Kubernetes.
• MVISION Cloud for Container Security. Обеспечивает безопасность сред контейнеризации в облаке. MVISION Cloud анализирует встроенный код в режиме реального времени и отслеживает подозрительное поведение, которое может свидетельствовать об угрозах.
• NeuVector Container Security. Сквозная система безопасности для Kubernetes с возможностями гибкой настройки доступа и защиты контейнеров, а также фильтрацией на самых глубоких уровнях (до L7 включительно).
• Prisma Cloud Compute. Организует многоуровневую защиту контейнерной среды вплоть до обеспечения безопасности хостов ОС. Из других преимуществ Prisma Cloud Compute отметим возможность масштабирования.
• Qualys Container Security. Полная поддержка Kubernetes и Docker с защитой сред контейнеризации на каждом этапе (Build, Ship, Run). Поведение каждого контейнера тщательно отслеживается с помощью встроенного сенсора.
• StackRox Kubernetes Security Platform. Как и следует из названия, это решение было разработано специально под Kubernetes. Создание гибких правил и списков, обеспечение безопасности на каждом этапе жизненного цикла контейнеров, моделирование угроз, анализ конфигурации Kubernetes — вот лишь некоторые возможности StackRox.
• Sysdig Secure. Обеспечивает контроль загружаемых образов Docker, не допуская загрузки тех, которые представляют потенциальную опасность. Из других возможностей отметим аудит API Kubernetes.
• Tenable.io Container Security. Это ПО предназначено для оценки исходного кода образов Docker. Риски оцениваются в соответствии с собственной шкалой безопасности.
• Trend Micro Cloud One. Выполняет сканирование образов с последующей командой на разрешение или запрет развертывания. При положительном решении о развертывании Cloud One обеспечит защиту образа в среде контейнеризации.

Российские аналоги VMware

Уже более полугода российские пользователи лишены легальных обновлений VMware и большинства других продуктов западного рынка для виртуализации, поэтому многие вынуждены искать альтернативы. Одна из таких альтернатив — vStack, похожая по функционалу платформа, которая развивается уже более трех лет. И развивается успешно: по данным бенчмарка Geekbench, производительность vStack выше, чем у VMware, более чем на треть.

В доказательство приведем свежие июньские тесты (июнь 2022 г.) vStack и VMware на этой площадке по показателю Multi-Core Score, то есть по совокупной производительности ядер процессора. Также добавим следующие преимущества:

• в два раза меньшие затраты на лицензию vStack по сравнению с VMware;
• оплата только за используемые ресурсы;
• более гибкое построение инфраструктуры (самостоятельный выбор компонентов) и масштабирование (все компоненты определяются ПО).

Такое сочетание стоимости, повышенной производительности и удобства в использовании делает vStack отличной альтернативой VMware, и уже есть примеры успешного перехода компаний с ПО зарубежного разработчика на российское.