Единая система с сертификатом ФСТЭК России для управления виртуальными машинами и контейнерами

Мы переоформили сертификат ФСТЭК России. Его номер в реестре не изменился — № 4860 от 4 октября 2024 года (переоформлен 23 марта 2026 года, действителен до 4 октября 2029 года), но теперь за одним сертификатом скрывается больше возможностей для пользователей. Главная из них — запускание как контейнеров, так и виртуальных машин в контексте одной платформы с централизованным управлением.

Раньше пользователям была доступна только Deckhouse Kubernetes Platform Certified Security Edition для управления контейнерами. Теперь действие сертификата распространяется и на нашу виртуализацию. 

Зависимо от инфраструктуры, а также требований к безопасности и производительности наш программный продукт можно использовать в одном из исполнений:

1. В исполнении «контейнеризация» — соответствует продукту с коммерческим наименованием Deckhouse Kubernetes Platform Certified Security Edition Lite (DKP CSE Lite);

2. В исполнении «виртуализация» — соответствует продукту с коммерческим наименованием Deckhouse Virtualization Platform Certified Security Edition (DVP CSE);

3. В исполнении «контейнеризация + виртуализация» — соответствует продукту с коммерческим наименованием Deckhouse Kubernetes Platform Certified Security Edition Pro (DKP CSE Pro). 

Вы можете выбрать наиболее подходящее для вашей инфраструктуры сертифицированное решение — управлять только контейнерами, только виртуальными машинами или же обоими типами нагрузок сразу. Дополнительно про исполнения можно прочитать в информационном письме.

Узнать подробнее о возможностях, которые даёт вам апдейт сертификата ФСТЭК России для продуктовой линейки Deckhouse, можно на вебинаре 24 апреля в 12:00 (мск). Для участия нужно зарегистрироваться.

Что подтверждает сертификат

Сертификат подтверждает соответствие требованиям:

• приказа ФСТЭК России № 76 от 2 июня 2020 года по 4-му уровню доверия к средствам обеспечения безопасности информационных технологий;

• приказа ФСТЭК России № 118 от 4 июля 2022 года по 4-му классу защиты к средствам контейнеризации;

• приказа ФСТЭК России № 187 от 27 октября 2022 года по 4-му классу защиты к средствам виртуализации.

Почему сертификация важна для пользователей

Наличие у используемого решения сертификата ФСТЭК России — обязательное условие для целого ряда организаций. Тем не менее мы получаем его не «для галочки», а чтобы дать пользователям конкретные фактические преимущества, особенно важные в значимых объектах КИИ.

Упрощение масштабирования: сертификат покрывает разные сценарии использования

Аттестация защищённого контура — запутанный и многоступенчатый процедура. И наличие сертификатов ФСТЭК России на используемые решения — один из самых важных факторов при выборе средства защиты при создании защищённого контура.

Наш сертификат ФСТЭК России покрывает широкий спектр прикладных задач. Это даёт возможность гибко развивать архитектуру: начав с одного сценария (например, только виртуализация), можно добавить контейнеризацию без необходимости проходить полную переаттестацию защищённого контура. Достаточно провести дополнительные испытания на соответствие новой конфигурации действующим требованиям к безопасности информации.

Возможности по управлению виртуальными машинами

Теперь в сертифицированной платформе доступны возможности нашей виртуализации. Она даёт возможность:

• запускать виртуальные машины в одной среде с контейнерами под контролем Kubernetes;

• управлять ими через веб-интерфейс, использовать подход Infrastructure as Code и автоматизировать 100 % операций, используя api;

• масштабироваться до 1000 серверов и 50 000 виртуальных машин;

• проводить живую миграцию и гарантировать высокую доступность виртуальных машин;

• отслеживать использование CPU и памяти, состояние запущенных ВМ и общую нагрузку на инфраструктуру виртуализации в централизованной системе мониторинга;

• подключать виртуальную машину как к физическим VLAN, так и к виртуальным сетям, применять правила микросегментации и прикладные балансировщики нагрузки.

Единая система для всех типов нагрузок

Добавление возможностей виртуализации в DKP CSE Pro даёт возможность построить в защищённом окружении единую инфраструктуру для управления жизненным циклом разных рабочих нагрузок — как контейнеров, так и виртуальных машин. Независимо от способа развёртывания приложений система обеспечит соответствие требованиям регулятора.

Этот подход даёт возможность не воспринимать микросервисы и виртуальные машины как отдельные «острова», а использовать к ним единые механизмы, гарантирующие высокую безопасность на уровне платформы нев зависимости от типа приложений.

Централизованное управление безопасностью для контейнеров и виртуальных машин

И виртуализация, и контейнеризация — это стандартные способы развёртывания приложений. С точки зрения безопасности к ним должны применяться одинаковые меры и политики. Однако на практике для запуска контейнеров и виртуальных машин компании обычно использую разные платформы, а значит — разные инструменты и методы контроля и аудита.

DKP CSE Pro решает проблему «зоопарка» методов и инструментов обеспечения ИБ. Единая система даёт возможность применять одни и те же инструменты и меры контроля нев зависимости от того, как развёрнуто приложение. Всё необходимое уже встроено и работает прозрачно для виртуальных машин и микросервисов:

• Готовая ролевая модель (RBAC) — гранулярное управление доступом для администраторов и пользователей.

• Изоляция пользователей по проектам — каждая команда работает в своём периметре.

• Квоты на ресурсы — контроль потребления CPU, памяти и хранилища.

• Сквозной аудит событий безопасности — фиксация и анализ всех значимых действий.

• Сканирование образов на уязвимости по базе данных ФСТЭК России.

Управление платформой осуществляется через веб-интерфейс или программный интерфейс с полноценной поддержкой DevOps-практик — включая централизованное управление сетевыми политиками из единой точки. Это позволяет реализовать сквозную схема нулевого доверия для ВМ и микросервисов и исключить несанкционированное сетевое взаимодействие.

Kubernetes как служба для разработки в защищённом контуре

В любом из сертифицированных продуктов (DKP CSE Pro, DKP CSE Lite, DVP CSE) пользователям доступны возможности централизованного управления кластерами Deckhouse. Они позволяют разрабатывать контролируемые виртуальные окружения для запуска приложений и развёртывать кластеры Kubernetes в защищённом контуре. Создание таких окружений занимает минуты, а не часы или дни. При этом безопасность не станет жертвой скорости.

Deckhouse Commander даёт возможность не только создавать кластеры для виртуализации или контейнеризации по шаблонам, но и контролировать их, исключая дрейф конфигурации.

Что в планах

Мы регулярно добавляем новые возможности в сертифицированные продукты Deckhouse. Сейчас планируем расширить действие сертификата на соответствие требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России № 9 от 9 февраля 2016 года. В виртуализации работаем над использованием виртуальных кластеров Kubernetes для запуска AI/ML-нагрузок и предоставлением баз данных в режиме самообслуживания. Следите за новостями в нашем блоге.

Запросить демо или обсудить пилот DKP CSE Pro, DKP CSE Lite или DVP CSE можно по кнопке «Получить консультацию» на сайте Deckhouse.