Почему банковские стандарты строже общепринятых
Финансовые организации работают с конфиденциальными данными, подпадающими под требования PCI DSS, 152-ФЗ, и стандарты ЦБ РФ. Контейнерные платформы должны обеспечивать уровень безопасности, сравнимый с традиционными системами.
- Регуляторный compliance: требования ЦБ РФ к защите финансовых данных
- Защита от инсайдеров: предотвращение утечек через технологические учетные записи
- Аудит и отчетность: полная трассируемость всех операций в кластере
- Гарантия целостности: защита от модификации образов и конфигураций
7 критических требований безопасности
1 Запрет привилегированных контейнеров
Запуск контейнеров с правами root запрещен в production среде. Все контейнеры должны работать с non-root UID.
# Dockerfile - КОРРЕКТНО
FROM alpine:3.18
RUN addgroup -g 1000 -S appgroup && \
adduser -u 1000 -S appuser -G appgroup
USER appuser
CMD ["/app/main"]
# Security Context в Kubernetes - КОРРЕКТНО
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
allowPrivilegeEscalation: false
Checklist выполнения:
- Все образы собираются с non-root пользователями
- В Pod Security Context установлен runAsNonRoot: true
- Запрещен privilege escalation
- Регулярное сканирование на наличие привилегированных контейнеров
2 Read-only корневая файловая система
Контейнеры не должны иметь возможность модифицировать свою файловую систему во время выполнения.
securityContext:
readOnlyRootFilesystem: true
volumeMounts:
- name: tmp-volume
mountPath: /tmp
- name: logs-volume
mountPath: /var/log
volumes:
- name: tmp-volume
emptyDir: {}
- name: logs-volume
emptyDir: {}
3 Сканирование образов на уязвимости
Все образы проходят обязательное сканирование перед развертыванием в production. Критические уязвимости блокируют деплой.
- Интеграция в CI/CD: автоматическое сканирование на каждом билде
- Базы уязвимостей: использование NVD, Red Hat Security Data, Snyk DB
- Политика допуска: нулевая терпимость к critical уязвимостям
- Подписанные образы: гарантия целостности и источника образа
4 Сетевая изоляция и микросегментация
Все pod-to-pod взаимодействия должны быть явно разрешены через Network Policies.
# Default deny all policy
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
# Разрешение трафика только от ingress controller
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-from-ingress
spec:
podSelector:
matchLabels:
app: payment-service
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector:
matchLabels:
name: ingress-nginx
5 Централизованное управление секретами
Запрещено хранить секреты в конфигурационных файлах и образах. Использование внешних систем управления секретами обязательно.
- HashiCorp Vault: интеграция через CSI Driver или sidecar
- Kubernetes Secrets: с обязательным шифрованием etcd
- Rotation политики: автоматическая смена секретов
- Audit доступа: логирование всех операций с секретами
6 Полное протоколирование и аудит
Все действия в кластере должны быть залогированы и храниться в централизованной системе.
# Audit policy для финансовых требований
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
namespaces: ["kube-system", "payment-processing"]
verbs: ["*"]
- level: RequestResponse
users: ["system:serviceaccount:admin"]
verbs: ["create", "update", "patch", "delete"]
7 Безопасная конфигурация control plane
Ноды control plane должны быть защищены согласно стандартам CIS Kubernetes Benchmark.
- Шифрование etcd: данные в состоянии покоя
- mTLS: все компоненты control plane используют взаимную аутентификацию
- RBAC: минимальные привилегии, регулярный аудит ролей
- Pod Security Standards: применение restricted профиля
Вывод
Банковские стандарты безопасности контейнеров требуют комплексного подхода, охватывающего весь жизненный цикл приложения. Ключевые принципы — минимальные привилегии, полная аудируемость и автоматизированный контроль безопасности на каждом этапе.
Внедрение этих 7 требований позволяет финансовым организациям безопасно использовать преимущества контейнерных технологий без компромиссов в области безопасности и соответствия регуляторным требованиям.