Обзор существующих решений и подходов
Сравнение подходов к обеспечению безопасности контейнерных сред
Постановка задачи и подход
Архитектура разработанной системы
Реализация разработанной системы
Экспериментальная оценка разработанной системы
Результаты эксперимента
Результаты эксперимента
Перспективы развития системы
Итоговые выводы
БЛАГОДАРЮ ЗА ВНИМАНИЕ!

Разработка системы автоматизированного сканирования конфигураций Docker-контейнеров и Kubernetes-кластеров на предмет соответствия общеприняты

1.

2026
Докладчик: Бочкарев Дмитрий
Евгеньевич
Руководитель: Журавская Анжелика
Михайловна
РАЗРАБОТКА СИСТЕМЫ АВТОМАТИЗИРОВАННОГО СКАНИРОВАНИЯ
КОНФИГУРАЦИЙ DOCKER-КОНТЕЙНЕРОВ И KUBERNETES-КЛАСТЕРОВ НА
ПРЕДМЕТ СООТВЕТСТВИЯ ОБЩЕПРИНЯТЫМ ТРЕБОВАНИЯМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.

Актуальность темы исследования
Широкое внедрение контейнерных технологий Docker и Kubernetes в корпоративных
информационных системах привело к усложнению архитектуры приложений и росту рисков
информационной безопасности. Существенная часть инцидентов в контейнерных средах связана с
ошибками конфигурации, а не с уязвимостями программного кода. В условиях динамического
масштабирования и использования CI/CD ручной контроль параметров безопасности становится
неэффективным, что обусловливает необходимость автоматизированных решений для мониторинга
и анализа конфигурационной безопасности контейнерных инфраструктур.
2

3.

Объект и предмет исследования
Объектом исследования является контейнерная инфраструктура корпоративной информационной
системы, основанная на использовании технологий контейнеризации Docker и оркестрации
Kubernetes.
Предметом исследования являются методы, модели и программные средства автоматизированного
анализа, контроля и оценки конфигурационной безопасности Docker-контейнеров и Kubernetesкластеров.
3

4.

Цели и задачи исследования
Цель выпускной квалификационной работы – разработка системы автоматизированного сканирования
конфигураций Docker-контейнеров и Kubernetes-кластеров на соответствие требованиям информационной
безопасности с целью повышения уровня защищённости корпоративной контейнерной инфраструктуры.
Задачи исследования:
1. Проанализировать технологии Docker и Kubernetes, а также угрозы и уязвимости контейнерных и
кластерных инфраструктур с позиции конфигурационной безопасности.
2. Изучить существующие инструменты и подходы к автоматизированной проверке конфигураций
контейнерных сред и соблюдению требований информационной безопасности.
3. Определить требования к системе автоматизированного сканирования и разработать архитектуру
предлагаемого решения.
4. Реализовать программные модули анализа конфигураций Docker и Kubernetes с использованием средств
автоматизации и оркестрации.
5. Провести тестирование разработанной системы в контейнерной инфраструктуре ООО «БАСТИОН» и
оценить результаты её внедрения.
4

5. Обзор существующих решений и подходов

Существующие решения для обеспечения безопасности контейнерных сред Docker и Kubernetes в
основном ориентированы на статический анализ контейнерных образов либо на мониторинг среды
выполнения.
При этом контроль конфигурационной безопасности контейнеров и кластеров, включая проверку
соответствия рекомендациям CIS Benchmarks, реализуется фрагментарно и, как правило, не
интегрирован в процессы CI/CD.
Кроме того, автоматизация сбора конфигурационных данных, их централизованный анализ и
формирование рекомендаций по устранению выявленных нарушений в большинстве инструментов
представлены ограниченно.
Указанные ограничения обусловливают необходимость разработки комплексной системы
автоматизированного сканирования конфигураций контейнерной инфраструктуры.
5

6. Сравнение подходов к обеспечению безопасности контейнерных сред

Критерий
До реализации
После реализации
Тип анализа
Статический или runtime
Комплексный конфигурационный
Контроль конфигураций
Фрагментарный
Полный, по требованиям ИБ
CIS Benchmarks
Частично
Да
Интеграция в CI/CD
Ограниченная
Да
Автоматизация сбора данных
Ограниченная
Да
Формирование рекомендаций
Не всегда
Да
6

7. Постановка задачи и подход

Проблема:
Отсутствие автоматизированного контроля конфигурационной безопасности
Docker-контейнеров и Kubernetes-кластеров в условиях CI/CD.
Задача:
Разработка системы автоматизированного сканирования конфигураций
контейнерной инфраструктуры на соответствие требованиям
информационной безопасности.
Подход:
● автоматизированный сбор конфигураций Docker и Kubernetes;
● анализ конфигураций по требованиям CIS Benchmarks;
● формирование отчётов и рекомендаций;
● интеграция проверок в CI/CD.
7

8. Архитектура разработанной системы

Рисунок 1 – Архитектура разработанной системы
Архитектура системы построена по модульному принципу и
включает уровень управления, сбора конфигураций,
анализа конфигурационной безопасности и хранения результатов.
8

9. Реализация разработанной системы

Разработанная система реализует автоматизированный процесс контроля конфигурационной безопасности
контейнерной инфраструктуры на базе Docker и Kubernetes. В ходе реализации обеспечен автоматический сбор
конфигурационных параметров контейнеров и объектов Kubernetes, их анализ на соответствие требованиям
информационной безопасности, включая рекомендации CIS Benchmarks, а также формирование результатов
проверки и рекомендаций по устранению выявленных нарушений. Запуск процедур сканирования интегрирован в
существующие процессы CI/CD, что позволяет выполнять контроль конфигураций на регулярной основе без
ручного вмешательства.
9

10. Экспериментальная оценка разработанной системы

Показатель
Результат
Среда эксперимента
Docker-контейнеры на базе
Ubuntu 20.04
Метод анализа
CIS Benchmark for Ubuntu 20.04
Механизм
исправления
Ansible playbook
Автоматически
исправлено
19 конфигурационных
параметров
Показатель
эффективности
Коэффициент защищённости
Прирост
защищённости
+36%
Результаты тестирования подтвердили
работоспособность автоматизированного
анализа и исправления конфигурационных
нарушений, обеспечив прирост
коэффициента защищённости
контейнерной среды.
10

11. Результаты эксперимента

Результат
Подтверждение
Реализована
система
Автоматизированный анализ и исправление
конфигураций Docker и Kubernetes
Методика
безопасности
CIS Ubuntu Benchmark 20.04
Полученные результаты подтверждают
практическую применимость
разработанного подхода для повышения
конфигурационной безопасности
контейнерной инфраструктуры.
Механизм
Ansible playbook
автоматизации
Эксперимент
Проведён в тестовой зоне инфраструктуры ООО
«БАСТИОН»
Исправлено
нарушений
19 конфигурационных параметров
Прирост
≈ 36% (Kдо = 0,535 → Kпосле = 0,894)
защищённости
11

12. Результаты эксперимента

Рисунок 2 – Полученные отчеты
Рисунок 3 – Пример описания критерия безопасности
12

13. Перспективы развития системы

Разработанная система ориентирована на статический анализ конфигураций контейнерной
инфраструктуры. В качестве дальнейшего развития рассматривается внедрение runtime-мониторинга
для выявления аномалий в процессе выполнения контейнеров, а также механизмов контроля политик
безопасности Kubernetes, предотвращающих развертывание ресурсов с небезопасными параметрами.
Реализация указанных направлений позволит перейти от реактивного анализа к проактивному
управлению безопасностью контейнерной среды.
13

14. Итоговые выводы

Задачи, которые были выполнены в работе:
● проведён анализ безопасности контейнерных сред Docker и Kubernetes и существующих подходов к
обеспечению конфигурационной безопасности;
● разработан метод автоматизированного анализа и исправления конфигурационных нарушений на основе
требований CIS Benchmark;
● реализованы Ansible-сценарии для автоматического сканирования и приведения конфигураций
контейнеров в соответствие требованиям информационной безопасности;
● разработана система автоматизированного развертывания и мониторинга компонентов Kubernetes с
интеграцией в CI/CD;
● проведено тестирование разработанного решения в корпоративной контейнерной инфраструктуре ООО
«БАСТИОН» и подтверждена возможность повышения уровня конфигурационной защищённости
контейнерной среды.
14

15. БЛАГОДАРЮ ЗА ВНИМАНИЕ!

.
English     Русский Правила