Модуль 10.3: Безперервний комплаєнс та CSPM
Складність: [COMPLEX] | Час на виконання: 2 год | Передумови: Хмарне управління та Політика як код (Модуль 10.2), основи безпеки Kubernetes
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»У січні 2024 року медична SaaS-компанія з блиском пройшла аудит SOC 2 Type II. Через три місяці автоматичний сканер виявив, що у 14 їхніх кластерах EKS було вимкнено логування аудиту, 6 кластерів запускали контейнери з критичними вразливостями (CVE), а продуктовий неймспейс не мав жодної мережевої політики. Жодна з цих проблем не існувала під час аудиту. Вони накопичилися за 90 днів після того, як аудитор зробив свій “знімок”. CISO компанії назвав це “театром комплаєнсу”: ми відповідаємо вимогам у день аудиту і порушуємо їх у всі інші 364 дні року.
Ця ситуація є типовою. Традиційний комплаєнс працює за принципом “перевірка раз на рік”. Але інфраструктура змінюється щохвилини. Один невдалий terraform apply або оновлення Helm-чарту можуть зруйнувати всю вашу безпеку за лічені секунди після того, як аудитор вийде за двері.
Безперервний комплаєнс (Continuous Compliance) змінює цю модель. Замість того, щоб доводити відповідність раз на рік, ви доводите її кожну хвилину кожного дня через автоматичний збір доказів, моніторинг відхилень у реальному часі та миттєве виправлення порушень.
У цьому модулі ви навчитеся працювати з інструментами CSPM, навчитеся зіставляти конфігурації Kubernetes із вимогами SOC 2, PCI-DSS та HIPAA, автоматизуєте збір доказів для аудиторів та інтегруєте Trivy та Falco в єдину систему безпеки.
Від щорічного аудиту до безперервного комплаєнсу
Розділ «Від щорічного аудиту до безперервного комплаєнсу»Традиційна модель (“Спринт комплаєнсу”) — це 6 тижнів паніки перед приходом аудитора. Безперервна модель — це:
- Автоматичне сканування: кожну хвилину.
- Compliance Dashboard: реальний бал (score) видимий усім.
- Авто-виправлення: відхилення виправляються за хвилини, а не місяці.
- Збір доказів: інкрементально зберігається в захищеному сховищі.
CSPM: Cloud Security Posture Management
Розділ «CSPM: Cloud Security Posture Management»Інструменти CSPM постійно сканують вашу хмару на помилки конфігурації.
| Інструмент | Провайдер | Особливість |
|---|---|---|
| AWS Security Hub | AWS | Збирає дані з GuardDuty та Inspector |
| Microsoft Defender for Cloud | Azure | CSPM та захист воркспейсів в одному вікні |
| GKE Security Posture | GCP | Вбудований дашборд прямо в консолі GKE |
| Prisma / Wiz / Aqua | Multi-cloud | Глибокий аналіз ризиків без агентів |
Мапінг Kubernetes на стандарти комплаєнсу
Розділ «Мапінг Kubernetes на стандарти комплаєнсу»Як перекласти абстрактні закони на мову Kubernetes?
- SOC 2 (Логічний доступ): Ролі RBAC обмежені неймспейсами, інтеграція з OIDC (без паролів), логи аудиту K8s.
- PCI-DSS (Захист даних карт): NetworkPolicy “deny-all” за замовчуванням, mTLS між сервісами, сканування образів на CVE.
- HIPAA (Медичні дані): Шифрування etcd, шифровані диски EBS/Azure Disk, зберігання логів аудиту 6+ років.
Автоматичний збір доказів
Розділ «Автоматичний збір доказів»Ключ до спокою — зробити так, щоб аудитори ніколи не чекали ваших вивантажень. Створіть CronJob, який кожні 6 годин робить:
kubectl get clusterrolebindings -o json-> у сховище доказів.kubectl get networkpolicy -A -o json-> у сховище доказів.- Звіт Trivy про вразливості -> у сховище доказів. Усі файли мають бути підписані та мати мітку часу (timestamp).
Типові помилки
Розділ «Типові помилки»| Помилка | Чому це стається | Як виправити |
|---|---|---|
| Комплаєнс як “подія” | Стара ментальність | Впроваджуйте безперервне сканування з першого дня |
| Ручний збір доказів | ”Ми ще маленькі” | Навіть для одного кластера автоматизуйте збір через CronJob |
| Сканування тільки в CI/CD | ”В продакшні все чисто” | Нові CVE виходять щодня. Скануйте образи, що ВЖЕ працюють (Trivy Operator) |
| Вимкнені логи аудиту K8s | Економія на сховищі | Логи аудиту — це ПЕРШЕ, що спитає аудитор. Увімкніть хоча б рівень Metadata |
Тест
Розділ «Тест»1. Чому важливо сканувати образи контейнерів безпосередньо в кластері (runtime), а не тільки в CI/CD?
Тому що образ, який був “чистим” під час деплою тиждень тому, сьогодні може мати нову критичну вразливість (Zero Day), яку щойно знайшли. Runtime-сканер (Trivy Operator) помітить це і оновить звіт, тоді як CI/CD сканер побачить проблему тільки при наступному білді.
2. У чому різниця між CSPM та CWPP?
CSPM (Cloud Security Posture Management) стежить за налаштуваннями хмари (чи відкритий бакет S3, чи захищений API кластера). CWPP (Cloud Workload Protection Platform) стежить за тим, що всередині (чи є вразливості в коді, чи не веде себе контейнер підозріло). Для комплаєнсу потрібні обидва.
Практична вправа: Compliance Score
Розділ «Практична вправа: Compliance Score»- Встановіть Trivy Operator у ваш кластер.
- Отримайте звіт про вразливості (VulnerabilityReport).
- Напишіть скрипт, який вираховує “Compliance Score”: (Кількість подів без критичних CVE / Загальна кількість подів) * 100.
- Виправте одну вразливість (оновіть образ додатка) і подивіться, як бал автоматично зріс.
Наступний модуль
Розділ «Наступний модуль»Ви налаштували комплаєнс у хмарі, тепер час поєднати це з вашим офісом. Переходьте до Модуля 10.4: Гібридна хмарна архітектура (On-Prem до Хмари) — ми навчимося будувати єдину мережу та ідентичність між вашим дата-центром та хмарою.