Kaspersky Container Security ottimizza DevSecOps e GitHub Actions
"Questa versione contribuisce a colmare il divario tra implementazione rapida e rigorosa conformità, proteggendo l’infrastruttura dalle minacce informatiche".
Kaspersky Container Security ottimizza DevSecOpse accelera i flussi di lavoro relativi allo sviluppo e alla conformità, proteggendo l’infrastruttura da minacce.
La containerizzazione rappresenta ormai il nuovo standard per lo sviluppo software moderno. La sua capacità di aumentare la produttività degli sviluppatori, ridurre i costi infrastrutturali e accelerare il time-to-market ha portato il tasso di adozione da parte delle aziende a raggiungere il 98%. Tuttavia, la velocità operativa e l’efficienza garantite da questa tecnologia possono essere compromesse dal crescente volume e dalla complessità degli attacchi informatici, oltre che dai rigorosi requisiti di conformità normativa.
KCS è una soluzione specializzata e completa che garantisce la sicurezza in ogni fase del ciclo di vita delle applicazioni containerizzate ed è disponibile sia per implementazioni on-premise sia per reti isolate. La nuova versione rende la soluzione ancora più intuitiva e maggiormente adattabile alle esigenze degli sviluppatori.
Parametri di sicurezza personalizzati, Dynamic Admission Controller (DAC) e policy di garanzia
Le aziende fanno spesso affidamento su parametri di riferimento interni e su norme di sicurezza personalizzate, privilegiando regole proprietarie rispetto alle impostazioni predefinite dei prodotti. Per rispondere a questa esigenza, KCS consente ora di creare criteri personalizzati per la verifica delle immagini, il controllo dinamico degli accessi (DAC) e il benchmarking della sicurezza. La possibilità di implementare policy specifiche per l’organizzazione, oltre alle impostazioni predefinite già disponibili, riduce il carico di lavoro dei team di sicurezza, accelera l’integrazione dell’infrastruttura e rafforza il livello complessivo di protezione.
DevSecOps – Importazione/esportazione della configurazione di sistema
Gli utenti possono ora esportare la configurazione completa del sistema, comprese policy, gruppi di agenti, profili e altre impostazioni, per eseguire backup o replicarla su altre istanze del prodotto. Il file esportato può essere generato sia come pacchetto crittografato sia in formato aperto, così da consentire eventuali modifiche manuali prima dell’importazione.
Questa nuova funzionalità di importazione/esportazione è particolarmente utile per le grandi imprese che operano in ambienti complessi e multi-sito. Se una filiale gestisce un’infrastruttura IT dedicata e indipendente dalla casa madre, è infatti possibile esportare un file di configurazione dalla sede centrale e importarlo localmente.
DevSecOps e GitHub Actions – Monitoraggio esteso e protezione avanzata
Gli agenti di sicurezza sono ora supportati anche sui nodi master, consentendo verifiche avanzate del piano di controllo. Questa funzionalità permette di rilevare configurazioni vulnerabili e potenziali compromissioni a livello critico dell’orchestrazione del cluster, garantendo al contempo un controllo centralizzato della sicurezza dell’intera infrastruttura tramite una console di gestione unificata.
Per mitigare i rischi legati alla supply chain, la nuova versione introduce inoltre regole specifiche per individuare eventuali configurazioni errate di GitHub Actions. Tra queste rientrano trigger di workflow non sicuri, gestione impropria di dati di input non attendibili e policy di versioning non adeguate, che possono consentire agli aggressori di dirottare i workflow automatizzati, iniettare codice dannoso nelle build di produzione o compromettere le chiavi dell’infrastruttura.
Ottimizzazione delle prestazioni del node-agent, con un incremento di 2,5 volte. La nuova implementazione consente di elaborare centinaia di regole senza alcun impatto sul consumo di CPU e memoria del pod.
Incremento di 10 volte della velocità del DAC. È stata aggiunta una funzione opzionale di memorizzazione nella cache dei risultati della scansione sul lato kube-agent, eliminando le query aggiuntive al nucleo del prodotto e accelerando le richieste al DAC.
Controllo degli accessi ai risultati delle scansioni CI. Gli utenti possono ora configurare l’accesso ai risultati delle scansioni CI in base alle policy aziendali relative alla visibilità dei progetti e al loro isolamento.
Visualizzazione della SBOM nei dettagli dell’analisi delle immagini. Le immagini dei container sottoposte a scansione possono ora essere esportate come SBOM (Software Bill of Materials), semplificando l’integrazione con gli strumenti di gestione delle vulnerabilità.
DevSecOps – Aggiornamenti dinamici degli agenti senza necessità di ridistribuzione. Le modifiche istantanee alla configurazione dei gruppi eliminano la necessità di ridistribuire i pod degli agenti sui nodi, riducendo i tempi di inattività e semplificando la gestione su larga scala.
