قدرات Kaspersky Container Security

كيف نستخدم منصة Kaspersky Container Security داخل Kaspersky، ولماذا تتعد أكثر بكثير من مجرد أداة لفحص الصور.

تضم مجموعة حلول Kaspersky منصة متخصصة لتأمين بيئات الحاويات. لكنني أريد في هذا المقال التحدث عن منصة Kaspersky Container Security (KCS) – ليس بصفتي ممثلاً عن الشركة المطورة، بل كعضو في فريق يستخدم هذا الحل فعليًا في عمله اليومي. يتولى فريق أمان المنتج لدينا مسؤولية بناء وتأسيس عمليات التطوير الآمن في جميع قطاعات الشركة. ونشارك في كل مرحلة من مراحل دورة حياة تطوير البرامج، وتتركز أولويتنا في مساعدة فرق المنتجات على اكتشاف المشكلات الأمنية مبكرًا لضمان الالتزام بمواعيد الإطلاق المحددة. وتحقيقًا لهذه الغاية، أنشأنا مسارات عمل متعددة، يركز أحدها خصيصًا على أمان الحاويات. وهنا تحديدًا نعتمد على منصتنا الخاصة Kaspersky Container Security.

غالبًا ما يُنظر إلى حلول أمان الحاويات في المقام الأول على أنها مجرد أدوات لفحص الصور في سجل الحاويات. ومع ذلك، تعد Kaspersky Container Security (KCS) منصة أمان شاملة لبيئات الحاويات، تتولى معالجة مهام متعددة بفضل تكاملها الشامل في مسار عمل الحاويات. ورغم أنها تتضمن بالتأكيد سيناريو فحص صور الحاويات – وهو أمر بالغ الأهمية بلا شك – فإن تجربتنا مع منصة KCS أظهرت أن قيمتها الحقيقية تظهر بوضوح عند دمجها في نقاط متعددة على طول مسار العمل في وقت واحد:

  • عمليات البناء المنتظمة
  • التحقق من صحة المخرجات البرمجية قبل الإصدار أو النشر
  • مراقبة الحاويات قيد التشغيل بالفعل في المجموعة

السيناريو الأساسي: كيف تفحص منصة KCS الصور

تُعد هذه العملية قياسية في جوهرها. وتفحص منصة KCS الصور بحثًا عن مشكلات الحاويات الشائعة، مثل: الثغرات الأمنية المعروفة، والبرامج الضارة، والبيانات السرية المضمنة برمجيًا والأخطاء في إعدادات التكوين. ومع ذلك، فإن نتيجة الفحص لا تقتصر على إصدار حكم مجرد واحد. ويحسب النظام تقييمًا للمخاطر بناءً على النتائج، مما يوفر صورة واضحة للوضع الأمني للأصول البرمجية. ومن الناحية العملية، يُعد هذا الأمر مفيدًا للغاية، لأن الفرق لا ترى مجرد رسالة تفيد بأن “الصورة تالفة”، بل تحصل على تحليل شفاف يوضح بدقة الأسباب الكامنة وراء هذه المخاطر وما يجب إصلاحه أولاً.

لكن هذا ليس كل شيء. وتعمل منصة KCS بكفاءة عالية في السيناريوهات التي لا يكفي فيها مجرد العثور على المشكلة – بل تحتاج إلى ربطها بدورة حياة المخرجات البرمجية. وعندما يدير الفريق المئات من عمليات البناء، لا يكون الفحص الدوري لسجل الحاويات كافيًا، ويتطلب الأمر دائمًا تقريبًا تدخلاً يدويًا. وتحتاج إلى معرفة مسار التطوير الذي تسبب في ظهور هذه المخاطر، والسياسات التي تم تفعيلها، وما الخطوات التالية. وهنا توفر منصة KCS هذه الحلقة المفقودة والربط الجوهري.

السيناريو المتقدم: التكامل المستمر والتسليم/النشر المستمر

تتمثل إحدى ميزات KCS الأقل شهرة في قدرتها على إجراء فحص كامل النطاق داخل مسارات التكامل المستمر والتسليم/النشر المستمر. وبالنسبة لفريقنا، فإن هذه هي الطريقة الأكثر فاعلية لاستخدام منصة KCS. وتتميز آلية العمل هنا بالبساطة والمباشرة: حيث تدمج أداة الفحص في مسار التطوير، لتظهر نتائج الفحص مباشرة في سجلات التنفيذ. ويتم إرسال هذه النتائج أيضًا إلى وحدة التحكم المركزية الخاصة بالحل البرمجي، حيث تُسجل في قسم مخصص للتكامل المستمر والتسليم/النشر المستمر يربط النتائج المكتشفة باسم المخرجات البرمجية، ووقت الفحص، ومسار التطوير، ومستوى الخطورة.

في بيئة التكامل المستمر والتسليم/النشر المستمر، يمكنك فحص الصور من أرشيفات tar أو مباشرة من مستودعات Git. ويدعم النظام بشكل تلقائي وجاهز للاستخدام كلاً من GitLab وJenkins وTeamCity وGitHub Actions؛ أما من الناحية العملية، فيمكن دمج منصة KCS في أي أداة لإدارة وتنظيم مسارات التطوير.

ثمة جانب حيوي آخر لاستخدام منصة KCS في مسارات التكامل المستمر والتسليم/النشر المستمر يتعلق بسياسات الأمان. ويعتمد حلنا على نموذج تتيح فيه السياسات ليس مجرد جمع النتائج فحسب، بل والتحكم في سلوك مسار التطوير نفسه. ويُعد هذا الأمر مفيدًا للغاية في عمليات النشر والتنفيذ التدريجي. ويمكنك البدء بوضع التدقيق، ثم الانتقال تدريجيًا نحو إيقاف وعرقلة عمليات البناء عند اكتشاف بيانات سرية مضمنة، أو أخطاء فادحة في التكوين، أو ثغرات أمنية. وعادةً ما يثبت هذا النهج التطوري فاعلية أكبر مقارنة بمجرد تفعيل زر المنع الكلي دفعة واحدة.

كيف تساعد منصة KCS في مسارات عملنا

ندير نظامنا الخاص لتحليل المكونات، لذلك لا نتعامل مع منصة KCS بوصفها مصدرًا وحيدًا للمعلومة. وبدلاً من ذلك، فإنها تعمل كطبقة إضافية قوية في مسارات عملنا، وهنا تحديدًا نجد القيمة الأكبر للحل.

بينما يتولى نظامنا الداخلي لتحليل المكونات تتبع المكونات، والاعتمادات، وتقييم المخاطر على مستوى التعليمات البرمجية، تتميز منصة KCS في تأمين محيط الحاويات. وتتكفل بالفحص الفني للصور وأمان CI/CD، مع تجميع التقارير الخاصة بالمخرجات البرمجية للحاويات. ولا يتعارض هذا مع تحليلاتنا الداخلية، بل يعززها تمامًا في المرحلة التي تستقبل فيها الحاويات أعباء العمل الفعلية.

يُعد هذا الأمر مفيدًا للغاية بالنسبة إلينا في سيناريوهين. أولاً: يوفر النظام تحكمًا بالمخرجات البرمجية في المراحل المبكرة أثناء عملية التطوير. وثانيًا: يعمل بمثابة حارس بوابة أثناء مرحلة قبول الإصدار واعتماده. وبفضل ذلك، لم نعد نناقش المخاطر بعد إطلاق الإصدار بفترة وجيزة، بل نكتشفها عند النقطة الدقيقة التي لا يزال بإمكان الفريق فيها إصلاح ملف Dockerfile، أو مخطط Helm، أو مجموعة التكوينات بسرعة، ودون الحاجة إلى سلسلة موافقات طويلة.

تُعد الطريقة التي يتعامل بها النظام مع قائمة مكونات البرمجيات (SBOM) جديرة بالاهتمام أيضًا. ويعتمد نظامنا بشكل أساسي على قوائم SBOM محدثة وذات صلة. وتتوفر منصة KCS أوضاع تشغيل مخصصة وتحديدًا لمعالجة قوائم SBOM، بل ويمكنه إخراج نتائج الفحص بالتنسيق نفسه. وفي هذا الصدد، تتكامل منصة KCS بسلاسة مع عملياتنا الداخلية، مما يتيح لنا دمج النظام وتطويعه ضمن مسارات عملنا الحالية بدلاً من إجبارنا على تغييرها لتلائم الحل البرمجي.

لماذا تعتبر منصة KCS أكثر من مجرد أداة فحص بالنسبة لنا

تتمثل الطبقة القوية الأخرى للنظام في أمان المجموعة. وفي هذه المرحلة، تتطور KCS لتتجاوز مجرد كونه أداة لفحص الصور. وتشتمل على سياسات وقت التشغيل للحاويات والعقد، ووضعي التدقيق والحظر، ومجموعة من ملفات تعريف الأمان. ومن الناحية العملية، يعني هذا أنه يمكن استخدام KCS ليس فقط للعثور على الثغرات الأمنية داخل الصورة، بل وأيضًا لمراقبة ما تفعله الحاوية بمجرد تشغيلها الفعلي. ويمكن للسياسات أن تضع في الحسبان مصدر الصورة، والتوقيعات الرقمية، والقيود المفروضة على القدرات ووحدات التخزين، بل وحتى العمليات والاتصالات الشبكية التي تجري داخل الحاوية.

عند اكتشاف مشكلة ما، يكون لديك خيار تسجيل النتائج في وضع التدقيق أولاً بدلاً من حظر العملية فورًا. ويُعد هذا الإجراء دائمًا الخطوة الأكثر ذكاءً في بيئات الإنتاج. وثمة أداة حيوية أخرى تتمثل في ضمان موثوقية مصدر الصورة. وتدعم منصة KCS التحقق من التوقيع الرقمي، مما ينقل تركيز العمل من مجرد البحث عن الثغرات الأمنية الشائعة إلى تأمين سلسلة توريد البرمجيات الخاصة بالشركة بأكملها.

قدرات إعداد التقارير

لا يقتصر دور منصة KCS على مجرد عرض المشكلات التي يكتشفها فحسب، بل إنها بمثابة مصدر شامل للتقارير. ويمكنها إنشاء تقارير عن الصور، والمخاطر المقبولة، ومعايير قياس Kubernetes.

تتوفر التقارير التي يتم إنشاؤها بتنسيقات HTML وPDF وCSV وJSON وXML، مع دعم محدد لتنسيق SARIF لإصدار التقارير المفصلة – وهو أمر مثالي للتكامل مع مسارات عمل AppSec. أما بالنسبة لقوائم SBOMs المذكورة أعلاه، فيمكن لسيناريوهات الفحص إخراج المخرجات البرمجية والنتائج بتنسيقي CycloneDX وSPDX، مما يسهل دمجها وتوصيلها بالعمليات الحالية.

لماذا نستمر في استخدام منصة KCS

ببساطة، تكمل منصة KCS مسارات عملنا بشكل مثالي – ليس لأنها تحل كل مشكلة بمفردها، بل لأنها تتكامل بفاعلية كبيرة مع السيناريوهات الهندسية.

نُقدر أيضًا أن فريق المنتج يستمع إلى ملاحظاتنا. ويتولى فريق KCS بالفعل إدراج طلباتنا التشغيلية العملية في خريطة طريق التطوير الخاصة بهم. على سبيل المثال، تم إدراج التكامل العميق لقائمة مكونات البرمجيات (SBOM) وأنواع تقارير محددة إلى KCS نتيجة مباشرة لخبرتنا وممارستنا العملية.

خلاصة القول، عند دمج منصة Kaspersky Container Security بشكل صحيح، فإنها تساعد في تغطية مجالات متعددة في آن واحد: بدءًا من الفحص الأساسي للحاويات، وصولاً إلى أمان CI/CD وأمان المجموعة. وبناءً على خبرتنا، فإنها تقدم قيمة حقيقية داخل بيئة الحاويات الحية والتشغيلية. ويمكنك معرفة المزيد عن الحل على صفحة KCS الرسمية.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى