Details

Целью работы является выявление и анализ активности потенциальных злоумышленников в Kubernetes-кластерах с использованием технологии Deception. Объектом исследования выступает инфраструктура Kubernetes-кластеров, предназначенная для исполнения сервисов, работающих в контейнерной среде. Задачи, решаемые в ходе исследования: 1. Провести анализ актуальных угроз информационной безопасности для кластеров Kubernetes, оценить возможности применения технологии Deception. 2. Реализовать автоматизированный механизм размещения ложных ресурсов в Kubernetes-кластере. 3. Реализовать систему мониторинга и журналирования активности взаимодействий с deception-компонентами. В ходе работы была развернута тестовая инфраструктура на базе Kubernetes с размещением ложных ресурсов, имитирующих чувствительные элементы, с частичной автоматизацией развёртывания. Реализована система мониторинга и журналирования обращений к этим объектам, а также проведена проверка её функционирования в условиях моделируемой активности злоумышленников. Сделан вывод, что технология Deception позволяет эффективно выявлять и анализировать подозрительную активность в кластере, усиливая безопасность без влияния на основной функционал сервисов. Для реализации поставленных задач применялись встроенные механизмы Kubernetes, включая модификацию манифестов, маршрутизацию трафика и интеграцию с системами сбора событий.

The purpose of this study is to identify and analyze the activity of potential intruders in Kubernetes clusters using Deception technology. The object of the research is the infrastructure of Kubernetes clusters designed to run containerized services: 1. Analyze current information security threats to Kubernetes clusters and assess the applicability of Deception technology. 2. Implement an automated approach to deploying decoy resources in a Kubernetes cluster. 3. Implement a monitoring and logging system to capture interactions with Deception components. During the project, a test Kubernetes-based infrastructure was deployed with decoy resources that simulate sensitive elements. Partial automation was implemented using declarative manifests. A system for monitoring and logging interactions with these resources was implemented and tested under conditions of simulated attacker activity. It was concluded that Deception technology allows timely detection and structured analysis of suspicious activity in Kubernetes clusters without affecting service functionality. To achieve the research objectives, built-in Kubernetes mechanisms were used, including manifest modifications, traffic routing policies, and integration with event collection systems.