Распространение маркетплейсов и комплексных коллабораций в бизнесе имеет ожидаемый отголосок в информационной безопасности. Дело в том, что разные приложения, модули, сервисы, в том числе мобильные, интегрируются друг с другом посредством API-интерфейсов. По сути, как бы выставляя в публичное интернет-пространство инструментарий управления и доступа к данным.
В самом наборе технологий, используемых в реализации API, предусмотрены базовые функции аутентификации и авторизации. Но как показывает анализ, часто они либо не полностью используются ресурсом, либо имеют опасные уязвимости. Так, исследователи CyberNews обнаружили массовое увеличение в теневом интернете закрытых API-ключей для криптовалютных аккаунтов. С помощью данных ключей возможно почти полное опустошение кошелька (до 80% баланса), даже без наделения API максимальными правами (withdrawal) через легитимные механизмы крипто-трейдинга.
Кроме того, активная разработка неминуемо ведет компанию к широкому использованию микросервисов и соответствующих инструментов (OpenShift, Kubernetes, Docker Swarm, Jenkins, TeamCity, Gitlab и т. д.).
По данным исследовательской группы Sonatype и их State of the Software Supply Chain 2019, до 95% кода современных веб-приложений составляют компоненты, загруженные из npm-репозитория.
Если же обратиться к словам Джереми Лонга, основателя The OWASP Dependency Check, только 25% организаций сообщают об уязвимостях пользователям, и только 10% уязвимостей зарегистрированы как Common Vulnerabilities and Exposures (CVE).
Таким образом, при широком распространении Open Source решений, микросервисной архитектуры и контейнеризации вопросы контроля и информационной безопасности используемых ими зависимостей мало проработаны.
Группа компаний Angara предлагает услугу по защите контейнерной инфраструктуры и микросервисов для широкого спектра вариантов использования данных технологий.
В рамках услуги эксперты группы компаний Angara произведут аудит процессов разработки и инвентаризацию инфраструктуры DevOps. Предложат необходимые механизмы защиты микросервисов и шаги по внедрению процесса Secure Software Development Lifecycle (SSDL) с использованием инструментов класса Container Security.
«Также наши эксперты подберут оптимальные для вашей контейнерной инфраструктуры варианты защиты, в том числе на базе решений WAF (Web Application Firewall), Cloud Access Security Brocker (CASB), Cloud Workload Protection Platform (CWPP), API Gateway. Услуга актуальна для компаний, использующих продукты собственной разработки или предлагающих их внешнему заказчику. А также для компаний с контейнерными технологиями в инфраструктуре на основе OpenShift/ или Kubernetes», – комментирует Никита Аршинов, руководитель отдела прикладных систем.