Мы переоформили сертификат ФСТЭК России. Его номер в реестре не изменился — № 4860 от 4 октября 2024 года (переоформлен 23 марта 2026 года, действителен до 4 октября 2029 года), но теперь за одним сертификатом скрывается больше возможностей для пользователей. Главная из них — запуск как контейнеров, так и виртуальных машин в рамках одной платформы с централизованным управлением.
Раньше пользователям была доступна только Deckhouse Kubernetes Platform Certified Security Edition для управления контейнерами. Теперь действие сертификата распространяется и на нашу виртуализацию.
В зависимости от инфраструктуры, а также требований к безопасности и производительности наш программный продукт можно использовать в одном из исполнений:
-
В исполнении «контейнеризация» — соответствует продукту с коммерческим наименованием Deckhouse Kubernetes Platform Certified Security Edition Lite (DKP CSE Lite);
-
В исполнении «виртуализация» — соответствует продукту с коммерческим наименованием Deckhouse Virtualization Platform Certified Security Edition (DVP CSE);
-
В исполнении «контейнеризация + виртуализация» — соответствует продукту с коммерческим наименованием Deckhouse Kubernetes Platform Certified Security Edition Pro (DKP CSE Pro).
Вы можете выбрать наиболее подходящее для вашей инфраструктуры сертифицированное решение — управлять только контейнерами, только виртуальными машинами или же обоими типами нагрузок сразу. Дополнительно про исполнения можно прочитать в информационном письме.
Узнать подробнее о возможностях, которые даёт вам обновление сертификата ФСТЭК России для продуктовой линейки Deckhouse, можно на вебинаре 24 апреля в 12:00 (мск). Для участия нужно зарегистрироваться.
Что подтверждает сертификат
Сертификат подтверждает соответствие требованиям:
-
приказа ФСТЭК России № 76 от 2 июня 2020 года по 4-му уровню доверия к средствам обеспечения безопасности информационных технологий;
-
приказа ФСТЭК России № 118 от 4 июля 2022 года по 4-му классу защиты к средствам контейнеризации;
-
приказа ФСТЭК России № 187 от 27 октября 2022 года по 4-му классу защиты к средствам виртуализации.
Что значат уровни доверия и классы защиты
Уровни доверия — это характеристика средства защиты информации, отражающая степень уверенности в отсутствии уязвимостей и недекларированных возможностей. Уровень доверия определяется строгостью процессов безопасной разработки, анализа кода и испытаний. Установлено 6 уровней доверия: от УД1 (максимальный) до УД6 (минимальный).
Класс защиты средства защиты информации определяет состав и уровень реализуемых функций безопасности — идентификация и аутентификация, управление доступом, регистрация событий, изоляция процессов и другое. Установлено 6 классов защиты: от 1-го (максимальный) до 6-го (минимальный).
В нормативных требованиях устанавливается соответствие между классами защиты и уровнями доверия. Как правило, класс N соответствует уровню доверия N. Выбор класса защиты и уровня доверия СЗИ осуществляется исходя из требований к защищённости информационной системы, в которой данное средство применяется.
Почему сертификация важна для пользователей
Наличие у используемого решения сертификата ФСТЭК России — обязательное условие для целого ряда организаций. Однако мы получаем его не «для галочки», а чтобы дать пользователям конкретные практические преимущества, особенно важные в значимых объектах КИИ.
Упрощение масштабирования: сертификат покрывает разные сценарии использования
Аттестация защищённого контура — сложный и многоступенчатый процесс. И наличие сертификатов ФСТЭК России на используемые решения — один из самых важных факторов при выборе средства защиты при создании защищённого контура.
Наш сертификат ФСТЭК России покрывает широкий спектр прикладных задач. Это позволяет гибко развивать архитектуру: начав с одного сценария (например, только виртуализация), можно добавить контейнеризацию без необходимости проходить полную переаттестацию защищённого контура. Достаточно провести дополнительные испытания на соответствие новой конфигурации действующим требованиям к безопасности информации.
Возможности по управлению виртуальными машинами
Теперь в сертифицированной платформе доступны возможности нашей виртуализации. Она позволяет:
-
запускать виртуальные машины в одной среде с контейнерами под контролем Kubernetes;
-
управлять ими через веб-интерфейс, использовать подход Infrastructure as Code и автоматизировать 100 % операций, используя API;
-
масштабироваться до 1000 серверов и 50 000 виртуальных машин;
-
проводить живую миграцию и гарантировать высокую доступность виртуальных машин;
-
отслеживать использование CPU и памяти, состояние запущенных ВМ и общую нагрузку на инфраструктуру виртуализации в централизованной системе мониторинга;
-
подключать виртуальную машину как к физическим VLAN, так и к виртуальным сетям, применять правила микросегментации и прикладные балансировщики нагрузки.
Единая платформа для всех типов нагрузок
Добавление возможностей виртуализации в DKP CSE Pro позволяет построить в защищённом окружении единую инфраструктуру для управления жизненным циклом разных рабочих нагрузок — как контейнеров, так и виртуальных машин. Независимо от способа развёртывания приложений платформа обеспечит соответствие требованиям регулятора.
Этот подход позволяет не воспринимать микросервисы и виртуальные машины как отдельные «острова», а применять к ним единые механизмы, гарантирующие высокую безопасность на уровне платформы независимо от типа приложений.
Централизованное управление безопасностью для контейнеров и виртуальных машин
И виртуализация, и контейнеризация — это стандартные способы развёртывания приложений. С точки зрения безопасности к ним должны применяться одинаковые меры и политики. Однако на практике для запуска контейнеров и виртуальных машин компании обычно использую разные платформы, а значит — разные инструменты и методы контроля и аудита.
DKP CSE Pro решает проблему «зоопарка» методов и инструментов обеспечения ИБ. Единая платформа позволяет применять одни и те же инструменты и меры контроля независимо от того, как развёрнуто приложение. Всё необходимое уже встроено и работает прозрачно для виртуальных машин и микросервисов:
-
Готовая ролевая модель (RBAC) — гранулярное управление доступом для администраторов и пользователей.
-
Изоляция пользователей по проектам — каждая команда работает в своём периметре.
-
Квоты на ресурсы — контроль потребления CPU, памяти и хранилища.
-
Сквозной аудит событий безопасности — фиксация и анализ всех значимых действий.
-
Сканирование образов на уязвимости по базе данных ФСТЭК России.
Управление платформой осуществляется через веб-интерфейс или API с полноценной поддержкой DevOps-практик — включая централизованное управление сетевыми политиками из единой точки. Это позволяет реализовать сквозную модель нулевого доверия для ВМ и микросервисов и исключить несанкционированное сетевое взаимодействие.
Kubernetes как сервис для разработки в защищённом контуре
В любом из сертифицированных продуктов (DKP CSE Pro, DKP CSE Lite, DVP CSE) пользователям доступны возможности централизованного управления кластерами Deckhouse. Они позволяют создавать контролируемые виртуальные окружения для запуска приложений и развёртывать кластеры Kubernetes в защищённом контуре. Создание таких окружений занимает минуты, а не часы или дни. При этом безопасность не станет жертвой скорости.
Deckhouse Commander позволяет не только создавать кластеры для виртуализации или контейнеризации по шаблонам, но и контролировать их, исключая дрейф конфигурации.
Что в планах
Мы регулярно добавляем новые возможности в сертифицированные продукты Deckhouse. Сейчас планируем расширить действие сертификата на соответствие требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России № 9 от 9 февраля 2016 года. В виртуализации работаем над использованием виртуальных кластеров Kubernetes для запуска AI/ML-нагрузок и предоставлением баз данных в режиме самообслуживания. Следите за новостями в нашем блоге.
Запросить демо или обсудить пилот DKP CSE Pro, DKP CSE Lite или DVP CSE можно по кнопке «Получить консультацию» на сайте Deckhouse.
ссылка на оригинал статьи https://habr.com/ru/articles/1026520/