Kubernetes-аудит после Wiz и Prisma: как живут без CNAPP в 2026

Значимый прорыв формирует отрасль ИИ: bigAboo 18 минут назад Kubernetes-аудит после Wiz и Prisma: как живут без CNAPP в 2026 Средний 6 мин 548 DevOps * Kubernetes * Open source * Системное администрирование * Информационная безопасность * Мнение Из песочницы Если коротко — плохо живут. Я последние полгода копаю эту тему и хочу поделиться тем, что увидел. Заодно показать инструмент, который пишу по результатам.

Возможно, кто-то узнает свою ситуацию и поможет мне понять, насколько проблема массовая. С чего всё началосьВ 2022–2024 западные CNAPP-платформы закрыли доступ для российских компаний. Wiz, Prisma Cloud, Lacework, Orca — все они либо ушли сами, либо отвалились после санкций.

Технические детали

Кто работал с этими инструментами, тот помнит — это была основная рабочая лошадка для аудита Kubernetes в облаке. Для Сбера, Яндекса, Т-банка это, конечно, неприятно, но не критично. У них собственные команды по 20+ человек, которые без особого напряжения собрали свой стек на коленке из OPA, Falco, Trivy и пары собственных контроллеров.

А вот для всех остальных — банков второго эшелона, финтеха, госкомпаний — стало больно. Команда безопасности из 1–3 человек, K8s в проде, аудит ФСТЭК через три месяца. Wiz был — Wiz кончился.

Что показывать аудитору? Как это выглядит сейчас, если честноПоговорил с парой знакомых из таких команд. Картинка примерно одинаковая:kubectl get pods --all-namespaces -o yaml и глазамикакие-то bash-скрипты, которые написал бывший сотрудник, и теперь никто не помнит, что они проверяютOPA/Kyverno стоит, но это admission control — он блокирует на входе, а не отвечает на вопрос «что у вас сейчас в кластере и почему»Trivy в CI прогоняется, отчёты складываются куда-то в S3 и больше их никто не открываетнадежда, что аудитор не спросит про привилегированные ServiceAccountСпросит.

Отраслевые последствия

Особенно после марта 2026. Что изменилось с Приказом №1171 марта 2026 года вступил в силу Приказ ФСТЭК №117. Он заменил Приказ №17, по которому большинство госорганизаций жили с 2013 года.

Это не косметическое обновление — в №117 впервые контейнеризация и микросервисная архитектура выделены в отдельную группу мер защиты (всего таких групп стало 18 против прежних 14). Что это значит на практике для тех, у кого K8s в проде и кто работает с гос- или регулируемыми системами:сканировать активы (включая контейнеры) надо не реже раза в месяц, критические уязвимости — устранить за 24 часапривилегированный доступ — отдельный контроль, регистрация всех действий обязательнапоказатели эффективности защиты (Кзи раз в полгода, Пзи раз в два года) надо отправлять регулятору с доказательной базойБез какого-то инструмента, который выдаёт документ, всё это превращается в ад с экселями. Который, к слову, аудитор может не принять.

Параллельно жив Приказ №21 для коммерческих обработчиков ПДн и ГОСТ Р 57580 для финсектора — там тоже есть свои контроли, которые формулируются в терминах привилегий, сегментации и анализа уязвимостей.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.