Комплекс стратегий, процессов и технологий, направленных на защиту развёртываний и эксплуатации окружений, обеспечивающий целостность, конфиденциальность и доступность данных и приложений
Безопасность
в Deckhouse Kubernetes
Platform
Как Dеckhouse Kubernetes Platform обеспечивает информационную безопасность
Сокращение затрат на обеспечение безопасности
Комплексное решение «из коробки» с единой поставкой, обновлениями и техподдержкой всего стека безопасности снижает до 80 % ручных операций за счёт автоматизации и устраняет необходимость интеграции отдельных инструментов
Управление секретами и криптографией
Предусмотрены централизованное хранение и управление секретами в кластере, автоматическая ротация сертификатов и интеграция с корпоративными Vault и HSM
Глубокая изоляция и сегментация
В Deckhouse Kubernetes Platform (DKP) реализованы мультиарендность с полной изоляцией ресурсов, микросегментация сети с автогенерацией политик и VLAN-изоляция рабочих сред
Forensics и расследование инцидентов
Платформа обеспечивает детальный аудит событий ядра и K8s API, хранение и структурирование логов для ретроспективного анализа, интеграцию с внешними SIEM-системами и визуализацию цепочек событий через дашборды
Снижение времени реакции на инциденты
Обнаружение угроз в реальном времени, 300+ преднастроенных алертов с маршрутизацией по уровням критичности и диагностика за 30 секунд через 60+ дашбордов ускоряют реагирование и минимизируют ущерб от инцидентов
Готовые механизмы для DevSecOps
Встроенные Shift-Left-политики, интеграция с CI/CD, контроль доверенных registry и запрет небезопасных практик, включая использование latest-тегов и отсутствие лимитов ресурсов, помогают выстраивать безопасную разработку с самого начала
Минимизация рисков нарушения compliance
Сертифицированная по требованиям ФСТЭК России и регулярно ресертифицируемая платформа, готовая к эксплуатации в КИИ 1-й категории, с ПДн 1-го уровня и в ГИС 1-го класса
Для кого
CISO и руководители ИБ
Специалисты ИБ
Команды эксплуатации
Минимизация рисков нарушения compliance
- Первая и регулярно ресертифицируемая по требованиям ФСТЭК России платформа контейнеризации (приказы № 118, № 76)
- Готовность к работе с объектами КИИ 1-й категории, ПДн 1-го уровня, ГИС 1-го класса
Сокращение затрат на обеспечение безопасности
- Комплексное решение «из коробки» вместо необходимости интеграции отдельных инструментов безопасности
- Единая поставка, обновления и техподдержка всего стека безопасности
- Снижение до 80 % ручных операций по управлению безопасностью благодаря автоматизации
Управление секретами и криптографией
- Централизованное управление секретами в кластере
- Автоматическая ротация сертификатов
- Интеграция с корпоративными Vault и HSM
Глубокая изоляция и сегментация
- Мультиарендность на уровне проектов с полной изоляцией ресурсов
- Микросегментация сети с автогенерацией сетевых политик
- VLAN-изоляция на уровне проектов
Forensics и расследование инцидентов
- Детальный аудит всех действий (kernel events, K8s API)
- Хранение и структурирование логов с возможностью ретроспективного анализа
- Интеграция с внешними SIEM-системами
- Дашборды для визуализации цепочек событий
Снижение времени реакции на инциденты
- Диагностика проблем безопасности за 30 секунд через 60+ готовых дашбордов
- 300+ преднастроенных алертов с интеллектуальной маршрутизацией по уровням критичности
- Автоматическое обнаружение угроз в режиме реального времени
Готовые механизмы для DevSecOps
- Интеграция с CI/CD для автоматизации проверок безопасности
- Shift-Left-политики для раннего обнаружения проблем
- Контроль использования только доверенных registry
- Запрет небезопасных практик (latest-теги, отсутствие лимитов ресурсов)
Компоненты системы безопасности DKP
Identity and Access Management
Единый центр аутентификации, авторизации и управления ролями
Мультиарендность на базе проектов
Квотирование, изоляция ресурсов и политики доступа для создания безопасных пользовательских окружений
Сontainer Security
Политики запуска контейнеров, проверка подписи контейнеров, поиск угроз безопасности и сканирование образов в runtime
Управление секретами и сертификатами
Управление жизненным циклом SSL-сертификатов и секретов, интеграция с внешними системами Certificate Authority и Secret Management
Контроль конфигураций и оповещение о событиях ИБ
Compliance-проверки на соответствие отраслевым стандартам, встроенные механизмы оповещений о событиях ИБ, сбор, обработка и отправка аудит-логов в SIEM-системы
Веб-интерфейсы к инструментам ИБ
Решение задач ИБ через веб-интерфейс платформы
Сетевая безопасность
Микросегментация и визуализация сетевого стека, возможности service mash, включая мультикластер и федерацию, поддержка ingress/egress gateway
Интеграция с наложенными средствами безопасности
Взаимная сертификация с решениями класса Container Security, SIEM, ASOC и антивирусами в случае необходимости выполнения специфичных требований от подразделений ИБ и регуляторов
Поддержка российских ОС
Поддержка сертифицированных российских ОС, интеграция с CVE-листами от вендоров ОС, БДУ и ФСТЭК России
Безопасность при разработке платформы
Разработка платформы в соответствии с ГОСТ 56939-2024
Обучение в Deckhouse Академии
Программы обучения и сертификационные экзамены
| Коммерческие редакции | ||||||
|---|---|---|---|---|---|---|
| Community Edition | Basic Edition | Standard Edition | Standard Edition+ | Enterprise Edition | Certified Security Edition | |
| Подсистема Identity and Access Management | ||||||
| Встроенная возможность управления пользователями | ||||||
| Готовая интеграция с провайдерами/ протоколами аутентификации | Провайдеры: GitHub, GitLab, BitBucket Cloud, Crowd, Blitz, Okta, Keycloak, Gluu, Active Directory, Dex, Basealt, Astra, Red и другие Протоколы: LDAP, OIDC, OAuth2, SAML |
|||||
| Возможности мультиарендного использования кластера | ||||||
| Поддержка двухфакторной аутентификации встроенными средствами | ||||||
| Парольная политика для локальных пользователей | ||||||
| Подсистема Container Security | ||||||
| Политики безопасности (кроме запрета на запуск контейнеров с уязвимостями и проверки подписи образов контейнеров) | ||||||
| Проверка подписи образов контейнеров | ||||||
| Запрет на запуск контейнеров с уязвимостями | ||||||
| Поиск угроз безопасности | ||||||
| Сканирование образов в runtime на уязвимости | ||||||
| Контроль целостности образов компонентов платформы (Cosign) | ||||||
| Управление секретами и сертификатами | ||||||
| Базовые возможности управления жизненным циклом секретов (Stronghold CE) | ||||||
| Интеграция с внешним хранилищем секретов | ||||||
| Управление SSL-сертификатами | ||||||
| Контроль конфигураций и оповещение о событиях ИБ | ||||||
| Оповещения о событиях безопасности | ||||||
| Контроль конфигураций на соответствие CIS Benchmark | ||||||
| Hardened-конфигурации безопасности по умолчанию | ||||||
| Сетевая безопасность | ||||||
| Сетевые политики на базе Cilium (микросегментация) | ||||||
| Возможности Service Mesh (кроме создания мультикластера и федерации, кроме управления авторизацией доступа между сервисами) | ||||||
| Управление авторизацией доступа между сервисами с помощью ресурса AuthorizationPolicy | ||||||
| Возможность объединения кластеров в режиме мультикластера или федерации | ||||||
| Возможность определения выходных узлов (egress gateway) | ||||||
| Визуализация сетевого стека кластера в случае, если включён Cilium CNI | ||||||
| Интеграция с наложенными средствами безопасности | ||||||
| Подтверждённая совместимость с партнёрскими решениями по безопасности | НОТА КУПОЛ, Kaspersky Container Security, Kaspersky Endpoint Security для Linux, Luntry, PT Container Security, BI.ZONE EDR, WebmonitorX ПроWAF и другие | |||||