Документация

Deckhouse Kubernetes Platform: все возможности сертифицированной ФСТЭК версии

4 апреля 2025
~ 7 мин

В октябре 2024 года Deckhouse Kubernetes Platform (DKP) стала первой платформой контейнеризации, получившей сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Сертифицированная редакция получила название Deckhouse Kubernetes Platform Certified Security Edition (DKP CSE). На момент публикации этой статьи уже вторая версия DKP CSE прошла сертификацию ФСТЭК России.

В этой статье обсудим данную редакцию и возможности, которые открываются после получения сертификата ФСТЭК России. Мы расскажем о внесённых в платформу изменениях, которые позволили достичь соответствия требованиям, и сравним DKP CSE с операционными системами со средой исполнения контейнеров (Container Runtime Interface), которые также имеют сертификат ФСТЭК России.

Deckhouse Kubernetes Platform и причины её сертификации 

Deckhouse Kubernetes Platform — платформа управления жизненным циклом кластеров Kubernetes. Она может функционировать поверх различных инфраструктур, включая физические серверы, виртуализацию и облачные решения. 

Ключевые преимущества DKP:

  • До 80 % ручных операций команды эксплуатации автоматизировано. Ориентация на автоматизацию регулярных задач администрирования и эксплуатации позволяет клиентам поддерживать более 50 кластеров с минимальным штатом, освобождая ресурсы для решения бизнес-задач.
  • Обеспечение SLA инфраструктуры на уровне 99,99 %. Управляющие компоненты DKP по умолчанию развёртываются с высокой отказоустойчивостью, что вместе с возможностями реализации мульти-ЦОД-архитектуры позволяет клиентам создавать инфраструктуру с SLA выше 99,99 %, гарантируя непрерывность критически важных бизнес-процессов.
  • Соответствие лучшим практикам безопасности. Разработчик использует проверенные процессы безопасной разработки, что подтверждается лицензиями ФСТЭК России на деятельность по технической защите КИ и по разработке и производству средств защиты КИ. 
  • Сокращает время доставки ПО до потребителя (Time to Market). DKP позволяет компаниям ускорить вывод приложений в production до шести раз и сократить время запуска приложения до пяти минут, что значительно уменьшает Time to Market.

В 2022 году вышел приказ № 118 ФСТЭК России с требованиями к безопасности средств контейнеризации. После этого к нам стали поступать запросы от клиентов, заинтересованных в получении сертифицированной версии DKP. Они хотели внедрять нашу платформу и при этом иметь возможность использовать её в значимых объектах критической информационной инфраструктуры.

В свою очередь, мы поняли, что наша платформа адаптируется для успешного прохождения сертификационных испытаний. Без долгих обсуждений было принято решение получить сертификат соответствия. Этот процесс оказался долгим и требовал больших усилий, но всё это ради новых возможностей для клиентов и повышения уровня доверия к платформе.

В феврале 2023 года мы начали активную работу над сертификацией Deckhouse Kubernetes Platform. И уже в августе 2024 года мы завершили сертификационные испытания, а в начале сентября получили положительное заключение от органа по сертификации. В итоге 4 октября 2024 года был оформлен сертификат ФСТЭК России, подтверждающий соответствие Deckhouse Kubernetes Platform требованиям по безопасности информации к средствам контейнеризации по 4-му классу защиты и требованиям, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, по 4-му уровню доверия.

Кратко о DKP CSE

В результате слаженной командной работы у нас появилась ФСТЭК-редакция DKP. Она обеспечивает надёжную защиту персональных данных и конфиденциальной информации на значимых объектах КИИ, в государственных информационных системах (ГИС), а также в автоматизированных системах управления технологическими процессами (АСУ ТП) на критически важных и потенциально опасных объектах.

DKP CSE подходит для организаций, которые по закону обязаны использовать продукты, прошедшие сертификацию ФСТЭК России. К ним относятся:

  • государственные компании и корпорации;
  • банковские учреждения;
  • федеральные и региональные органы исполнительной власти;
  • предприятия и организации, работающие с КИИ.

На данный момент мы получили сертификат ФСТЭК России уже на новую версию DKP 1.64. Сейчас у сертифицированной редакции DKP есть два варианта лицензирования: CSE Lite и CSE Pro. Ознакомиться подробнее с каждой из них можно в таблице на нашем сайте.

Изменения в DKP для сертификации

В процессе подготовки платформы к сертификации мы внесли значительные изменения, направленные на соответствие требованиям ФСТЭК России.

Distroless-контейнеры

Мы пересобрали контейнеры на базе механизма distroless, что позволило исключить операционную систему из состава образов. Этот механизм уменьшает поверхность атаки и позволяет сосредоточиться на требованиях к средствам контейнеризации, избегая необходимости сертификации операционных систем.

Компилируемые языки

Участки кода, написанные на интерпретируемых языках, переписали на компилируемые. Это сократило кодовую базу и исключило необходимость включения интерпретатора в состав объекта оценки.

Интеграция базы данных уязвимостей (БДУ)

При выявлении уязвимостей в образах контейнеров добавили интеграцию с БДУ ФСТЭК России. В платформе также реализован модуль operator-trivy, который теперь включает функциональность для поиска уязвимостей с использованием БДУ.

Поддержка сертифицированных операционных систем

DKP теперь поддерживает работу на трёх сертифицированных ОС: РЕД ОС, «Альт» и Astra. Это расширяет возможности установки платформы для компаний, использующих эти ОС.

Цикл безопасной разработки

Был внедрен цикл безопасной разработки программного обеспечения. Мы отслеживаем известные уязвимости и дефекты безопасности (CVE) и регулярно их исправляем. Для обеспечения высокого качества продукта проводятся различные методы тестирования: статистический анализ, фаззинг-тестирование, динамическое и функциональное тестирование. Эти меры помогают минимизировать количество уязвимостей в конечном продукте.

Серийное производство

Сертификация DKP не является единичным событием, это серийное производство. Процессы выстроены таким образом, чтобы обеспечить постоянное соответствие стандартам безопасности и качеству продукции.

Функции безопасности сертифицированной версии DKP

Согласно требованиям приказа № 118 ФСТЭК России, DKP реализует ряд функций безопасности, необходимых для средств контейнеризации. В первой редакции сертифицированной версии мы реализовали все обязательные функции, а также часть дополнительных требований, которые не были вынесены в область сертификации.

DKP обеспечивает следующие функции безопасности:

  • Изоляция контейнеров: платформа использует механизмы ядра сертифицированной хостовой операционной системы для изоляции на всех требуемых уровнях.
  • Выявление уязвимостей: в платформе реализован модуль анализа защищённости, который соответствует требованиям приказа № 118 ФСТЭК России и отвечает за выявление уязвимостей в образах контейнеров.
  • Контроль целостности: обеспечивается контроль целостности параметров настройки самой платформы, образов контейнеров и исполняемых файлов контейнеров для предотвращения внесения несанкционированных изменений в конфигурацию и предотвращения запуска модифицированных образов.
  • Аудит событий: все события в системе регистрируются, что позволяет отслеживать действия пользователей.
  • Ролевой метод управления доступом: встроенная ролевая модель для разграничения возможностей при работе с платформой.
  • Идентификация и аутентификация пользователей: используются внешние сертифицированные протоколы, такие как LDAP или OIDC. Выбор конкретного решения зависит от предпочтений пользователя.

Сравнение DKP CSE с сертифицированными ОС с CRI

DKP CSE предлагает расширенные возможности по сравнению с операционными системами c контейнерным рантаймом внутри, которые также имеют сертификат по приказу № 118 ФСТЭК России.

Сертифицированные ОС с ванильным K8s и с Docker предоставляют базовые компоненты оркестрации контейнеров и container engine. Но DKP CSE предлагает более широкий набор инструментов и функций, таких как автоматическое конфигурирование, преднастроенная сеть, управление узлами кластера, встроенный мониторинг, масштабирование по любым метрикам, управление хранилищем и отказоустойчивость «из коробки». Кроме того, мы используем более свежую версию Kubernetes.

Ещё в DKP CSE доступны следующие модули:

  • cni-cilium. Ранее поддерживался только CNI flannel, что не позволяло использовать сетевые политики. Интеграция CNI Cilium расширяет сетевые возможности кластера. Модуль позволяет использовать сетевые политики для микросегментации сетевой среды в соответствии с внутренними политиками безопасности организации.
  • local-path-provisioner. Позволяет использовать локальные диски для Persistent Volume.
  • node-local-dns. Механизм кэширования DNS-записей для повышения производительности высоконагруженных приложений. Снижает нагрузку на внутрикластерную сеть и предотвращает деградацию DNS даже при большом входящем трафике.
  • metallb. Благодаря поддержке сервисов типа LoadBalancer в L2- или BGP-режимах управление балансировкой входящего трафика автоматизировано. Это важно не только для bare-metal-инсталляций, но и для приватных облаков, где нельзя задействовать встроенные балансировщики.
  • documentation. Даёт возможность просматривать веб-версию документации DKP внутри кластера, что позволяет ознакомиться с документацией в закрытом контуре.
  • multitenancy-manager. Позволяет использовать кластер в мультиарендном режиме за счёт создания проектов (изолированных окружений) по заранее подготовленному шаблону.
  • csi-nfs и csi-ceph. Обеспечивают простое подключение внешних хранилищ на базе NFS и Ceph соответственно.

Такой функциональности нет в сертифицированных ОС с ванильным K8s. Поэтому для полноценного их использования в сложных средах, особенно в контексте значимых объектов КИИ, требуется значительная дополнительная работа по настройке, интеграции этих компонентов и управлению ими.

Заключение

В октябре 2024 года мы получили сертификат, который подтверждает, что Deckhouse Kubernetes Platform соответствует требованиям к средствам контейнеризации по 4-му классу защиты. Это означает, что платформа может использоваться для защиты информации конфиденциального характера в различных системах, включая государственные информационные системы и объекты критической инфраструктуры.

Команда Deckhouse будет продолжать обновлять версии редакции CSE. При этом обновления для сертифицированной версии требуют контроля со стороны ФСТЭК России. Изменения, касающиеся функций безопасности, будут согласовываться с испытательной лабораторией.

Уже сейчас DKP CSE можно протестировать и оценить её функциональность. Для этого необходимо оставить запрос на участие в пилотном проекте. Для пользователей, которые уже используют Community Edition или Enterprise Edition Deckhouse и хотят перейти на Certified Security Edition, существует отработанный механизм перехода в инструкции.

Также у нас в планах стоит получение сертификата соответствия процедурам безопасной разработки программного обеспечения. Это позволит команде Deckhouse вносить изменения как в функции безопасности, так и вне их без привлечения сторонних лабораторий.

В 2025 году в DKP CSE планируется добавить Deckhouse Stronghold. Также будет сертифицирована Deckhouse Virtualization Platform по требованиям к средствам виртуализации, что позволит управлять виртуальной инфраструктурой с использованием сертифицированного решения.

О последних обновлениях в DKP CSE и её актуальной версии можно узнать на сайте продукта

Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее.
Подробнее — в политике обработки персональных данных и политике использования файлов «cookie».