Совместимость подтверждена по итогам испытаний, которые провели инженеры компаний «Флант» и Luntry. Теперь пользователи Deckhouse могут повысить безопасность и наблюдаемость сервисов, развернутых в Kubernetes.
Luntry (произносится «лантри») позволяет наблюдать за поведением контейнеров, находить недостатки, проблемы, сбои и атаки в инфраструктуре. Luntry непрерывно отслеживает состояние K8s-кластера. Благодаря этому сотрудники отделов ИБ, DevSecOps, разработчики и QA-инженеры могут видеть полную картину происходящего в кластере.
Решение покрывает весь процесс разработки и эксплуатации в контейнерных средах, включая такие функции, как сканирование безопасности образов и Kubernetes-ресурсов, runtime-защита, защита сети и анализ RBAC. Начиная со встраивания в CI/CD-систему, Luntry позволяет анализировать безопасность образов на основе открытых источников. Анализ безопасности также можно проводить и в полностью закрытом контуре.
Luntry представляет собой набор контейнеров, которые запускаются поверх Deckhouse. ПО управляется через веб-интерфейс и не требует от пользователя глубоких знаний Kubernetes.
Для чего можно использовать Luntry в составе Deckhouse:
- усиливать общую защиту Kubernetes-кластеров;
- находить первопричины инцидентов: атаки, аномалии, некорректные конфигурации и код;
- выстраивать процессы DevSecOps;
- помогать SOC (security operations center);
- передавать ИБ-функции DevOps-инженерам, системным администраторам и разработчикам;
- внедрять подход Zero Trust («нулевое доверие»).
Одно из важных преимуществ Luntry — ограниченный доступ к инфраструктуре. Например, доступ к тому же API Kubernetes открыт только на чтение. То есть через Luntry в Kubernetes невозможно ничего сломать.
Дмитрий Евдокимов, технический директор Luntry: «Kubernetes — комплексное решение, которое состоит из множества компонентов. Используя стандартные средства Kubernetes, невозможно точно знать, что там происходит, правильно и безопасно ли всё настроено, нет ли в кластере вредоносной активности. Luntry как раз предоставляет такую возможность — теперь и пользователям платформы Deckhouse».
Артём Кожокин, директор по развитию Kubernetes-платформы Deckhouse: «Среди наших клиентов немало компаний с повышенными требованиями к безопасности Kubernetes-кластеров. Сейчас в Deckhouse реализованы основные средства защиты, но этого не всегда бывает достаточно. С помощью Luntry мы можем предлагать гораздо более широкий набор ИБ-функций и закрывать почти все потребности SOC и DevSecOps в части безопасности контейнеров. Дополнительный плюс Luntry в том, что работать с ним могут ИБ-специалисты, которые знакомы с Kubernetes лишь на верхнем уровне. И наоборот: с помощью Luntry ИБ-задачи могут решать инженеры и разработчики».