Ir al contenido principal
Volver a Preguntas

¿Qué es la seguridad de los contenedores?

La seguridad de los contenedores es el uso de herramientas y políticas de seguridad para proteger el contenedor, su aplicación y su rendimiento, incluida la infraestructura, la cadena de suministro de software, las herramientas del sistema, las bibliotecas del sistema y el tiempo de ejecución contra las amenazas de ciberseguridad.

¿Cuáles son los retos de la seguridad de los contenedores?

Los contenedores viven en un ecosistema: los contenedores no se despliegan de forma independiente dentro de una empresa. Las cargas de trabajo de los contenedores se despliegan como parte de una arquitectura que puede incluir nubes públicas (AWS, GCP, Azure), nubes privadas (VMware) y nubes híbridas integradas con cargas de trabajo tradicionales compuestas por servidores y máquinas virtuales, al tiempo que trabajan con componentes sin servidor en el lado de la computación. Estas empresas también pueden estar utilizando servicios de infraestructura como servicio (IaaS) y de plataforma como servicio (PaaS), como cubos S3 o RDS. Por lo tanto, las cargas de trabajo de los contenedores deben asegurarse como parte de un ecosistema empresarial.

Los contenedores son efímeros: Los ciclos de vida de los contenedores suelen medirse en segundos, pero también existe un alto grado de variabilidad que dificulta las generalizaciones. Los equipos de seguridad deben tener en cuenta la seguridad y la integridad de contenedores que pueden estar en línea sólo unos segundos y otros que pueden estarlo durante semanas.

Los contenedores se construyen y despliegan en tuberías CI/CD DevOps. Las cargas de trabajo de los contenedores tienden a estar dirigidas por los desarrolladores. El reto para la seguridad es capacitar a los desarrolladores para producir aplicaciones que son BornSecure.

Gestión de la postura de seguridad en la nube (CSPM)

CSPM para contenedores

Skyhigh Security puede proporcionar análisis comparativos de CIS y otras evaluaciones de mejores prácticas para tiempos de ejecución de contenedores, sistemas de orquestación (como Kubernetes), infraestructuras IaaS que ejecutan cargas de trabajo de contenedores, configuraciones de almacenamiento, configuraciones de red, configuraciones/roles IAM, etc. Esto ayuda:

  • Garantizar que la configuración del entorno no sea una fuente de riesgo (CSPM)
  • Garantizar que la configuración del entorno no se desvíe con el tiempo, exponiendo un riesgo involuntario

Exploración de vulnerabilidades para contenedores

Los contenedores aprovechan significativamente los componentes de terceros. Todos los componentes de las construcciones de contenedores deben ser evaluados para detectar cualquier debilidad conocida o explotable.

El escaneado de vulnerabilidades evalúa los componentes incrustados en los contenedores en el momento de la construcción y los escanea periódicamente para garantizar que los riesgos conocidos están expuestos y mitigados para reducir el riesgo de que actores maliciosos aterricen en la carga de trabajo de un contenedor.

Nanosegmentación

Descubra las comunicaciones entre contenedores basándose en buenas configuraciones conocidas para asegurar el comportamiento de cargas de trabajo complejas y dinámicas:

  • Descubra y supervise el comportamiento de las comunicaciones de red entre los procesos de los contenedores de forma que pueda hacer frente a la naturaleza efímera de los contenedores y no dependa de factores externos como una dirección IP.
  • Detecte las comunicaciones anómalas y notifíquelas o bloquéelas en función de las preferencias del usuario.
  • Detecte los cambios en los patrones de comunicación entre las versiones de los contenedores a medida que la aplicación evoluciona con el tiempo.
  • Aproveche las configuraciones buenas conocidas como forma de asegurar las cargas de trabajo, en lugar de seguir con las malas conocidas.

Skyhigh Security solución asignada a un ciclo de vida del contenedor

La seguridad no debe frenar a los desarrolladores ni la adopción de arquitecturas favorables a la nube, como los contenedores. Skyhigh Security ofrece una plataforma de seguridad perfectamente integrada que se integra con las herramientas que los desarrolladores deciden utilizar para mantener sus aplicaciones. La seguridad de los contenedores puede proporcionar una defensa en profundidad garantizando una infraestructura y unos motores de orquestación correctamente configurados, evaluando el riesgo de exploit para el código incrustado en los contenedores y un método flexible definido por software para certificar el buen comportamiento conocido de la red que pueda hacer frente al entorno rápidamente cambiante de las cargas de trabajo de los contenedores a lo largo de su ciclo de vida.

Cambio a la izquierda: de DevOps a DevSecOps

Los contenedores son un tipo de carga de trabajo muy centrada en el desarrollador. Dado que los desarrolladores obtienen un control mucho más directo sobre la arquitectura y los servicios en uso, los equipos de seguridad necesitan una forma asíncrona de establecer políticas, evaluar los despliegues con respecto a las mejores prácticas y supervisar la inevitable deriva que se produce en cualquier entorno. Con los contenedores y las arquitecturas de microservicios, el número de variables y el ritmo de cambio han aumentado sustancialmente con respecto a los despliegues basados en hardware o máquinas virtuales, antes estrechamente controlados. Los ciclos de vida de los contenedores se miden a menudo en segundos, pero también existe un alto grado de variabilidad que hace que las generalizaciones sean potencialmente peligrosas. Los equipos de seguridad deben tener en cuenta la seguridad e integridad de contenedores que pueden estar en línea sólo unos segundos y otros que pueden estarlo durante semanas de forma continuada. Skyhigh Security ofrece BornSecure Containers que incluye:

  • Gestión de la postura de seguridad en la nube para escanear el entorno de la nube de forma continua con el fin de detectar el riesgo de deriva integrado en la canalización de DevOps (Shift Left) para garantizar que el riesgo se resuelve antes de que se despliegue.
  • Evaluación de la vulnerabilidad de los componentes dentro de los propios contenedores para garantizar que las empresas no están desplegando código con exploits conocidos integrados en el pipeline de DevOps (Shift Left). Skyhigh Security también incluye el reexamen periódico de los artefactos de los contenedores para detectar cuándo las nuevas vulnerabilidades afectan a los contenedores que ya se han construido y pueden estar funcionando en producción.

Procesos DevOps tradicionales: Tradicionalmente, la seguridad no se tiene en cuenta ni se verifica hasta después de desplegar las aplicaciones en los entornos de producción.

Hoy en día, las aplicaciones nativas de la nube requieren BornSecure Containers: La seguridad está integrada en el proceso DevOps, lo que proporciona a los desarrolladores información sobre la seguridad a medida que se crean las aplicaciones o se comprueba el código.

Seguridad de los contenedores 101 - Glosario de términos

KS Enterprise Container Platform S/W Suite para Azure basado en k8s. Docker Una empresa y el nombre de la herramienta que diseñaron para facilitar la creación, despliegue y ejecución de aplicaciones mediante el uso de contenedores. Nanosegmentación Una =segmentación flexible y de grano fino que se basa en el comportamiento observado.
Anomalía Algo que se desvía de lo que es estándar, normal o esperado. Deriva La acumulación de cambios en la configuración o de acciones administrativas a lo largo del tiempo que pueden introducir riesgos y desviaciones respecto a la configuración buena conocida. Superficie de ataque de la red La superficie de ataque está compuesta por la totalidad de un entorno que un atacante puede intentar explotar para llevar a cabo un ataque con éxito, incluidos todos los protocolos, interfaces, software desplegado y servicios.
Construir Construcción de algo que tiene un resultado observable y tangible. La compilación es el proceso de convertir los archivos de código fuente en artefactos de software independientes que puedan ejecutarse en un ordenador. EKS Enterprise Container Platform S/W Suite para Amazon basado en k8s. Pipeline Conjunto de procesos automatizados que permiten a los desarrolladores y a los profesionales de DevOps compilar, construir y desplegar su código de forma fiable y eficaz en sus plataformas informáticas de producción.
CICD Prácticas combinadas de integración continua y entrega continua. ECS Enterprise Container Platform S/W Suite para Amazon que utiliza una orquestación propia anterior a la adopción generalizada de k8s. Privilegios El concepto de permitir únicamente a los usuarios realizar determinadas actividades. Por ejemplo, a un usuario normal normalmente se le impide modificar los archivos del sistema operativo, mientras que a un administrador del sistema normalmente se le permite hacerlo.
CIS Benchmark Mejores prácticas para la configuración segura de un sistema de destino, incluidos los contenedores y Kubernetes. Los puntos de referencia son desarrollados por una organización sin ánimo de lucro llamada Centro para la Seguridad en Internet (CIS) a través de un consenso de expertos en ciberseguridad. Efímero Propiedad utilizada para definir los contenedores. Como los contenedores son de corta duración, con una vida media en horas, se dice que son efímeros. Repositorio (repo ) Un repositorio de imágenes de contenedor es una colección de imágenes de contenedor relacionadas, que normalmente proporcionan diferentes versiones de la misma aplicación o servicio.
Contenedor Unidad estándar de software que empaqueta el código y todas sus dependencias, de modo que la aplicación se ejecuta de forma rápida y fiable de un entorno informático a otro. Una imagen de contenedor es un paquete de software ligero, independiente y ejecutable que incluye todo lo necesario para ejecutar una aplicación: código, tiempo de ejecución, herramientas del sistema, bibliotecas del sistema y configuraciones. Huellas dactilares La capacidad de realizar un seguimiento de los artefactos, así como del comportamiento de los mismos, permite a los usuarios ver qué se ha incluido en una compilación y cómo y dónde se está utilizando esa compilación.

Análisis forense Un análisis postmortem para comprender y contener el impacto de cualquier violación de la seguridad.

 Cambio a la izquierda La integración de la configuración de seguridad y las comprobaciones de vulnerabilidades en el pipeline de DevOps. La seguridad se introduce a medida que se comprueba o construye el código, en lugar de esperar a que los sistemas estén en funcionamiento. Esto lleva la seguridad a la izquierda de (antes de) los entornos de producción, donde tradicionalmente se realiza la seguridad.
Registro de contenedores Un repositorio para almacenar imágenes de contenedores. Una imagen de contenedor consta de muchos archivos, que encapsulan una aplicación. Los desarrolladores, los probadores y los sistemas CI/CD necesitan utilizar un registro para almacenar las imágenes creadas durante el proceso de desarrollo de la aplicación. Las imágenes contenedoras colocadas en el registro pueden utilizarse en varias fases del desarrollo. GKE Enterprise Container Platform S/W Suite para Google basada en k8s.

Propiedad inmutable utilizada para definir contenedores. Los contenedores individuales no cambian a lo largo del ciclo de vida, una vez creados.

 Máquina virtual (VM ) Entorno virtual que funciona como un sistema informático virtual con su propia CPU, memoria, interfaz de red y almacenamiento, creado en un sistema de hardware físico. Un software denominado hipervisor separa los recursos de la máquina del hardware y los distribuye adecuadamente para que puedan ser utilizados por la VM.
Container Runtime Software que ejecuta contenedores y gestiona imágenes de contenedores en un nodo. Por ejemplo, Docker Engine. k8s Kubernetes se denomina a veces k8s (K - ocho caracteres - S). Carga de trabajo Una capacidad o cantidad discreta de trabajo que le gustaría ejecutar en una instancia de nube.
DevOps Conjunto de prácticas que combina el desarrollo de software (Dev) y las operaciones de tecnología de la información (Ops) cuyo objetivo es acortar el ciclo de vida de desarrollo de sistemas y proporcionar una entrega continua con una alta calidad de software. Kubernetes (k8s ) Sistema de orquestación de contenedores de código abierto. Proporciona una plataforma para automatizar el despliegue, el escalado y las operaciones de los contenedores de aplicaciones en clústeres de hosts. Confianza cero Nunca confíe pero verifique. La seguridad de confianza cero significa que no se confía en nadie por defecto, ni desde dentro ni desde fuera de la red, y que se exige verificación a todo aquel que intente acceder a los recursos de la red.
DevSecOps DevSecOps es la práctica de integrar las prácticas de seguridad dentro del proceso DevOps. Microsegmentación El software de microsegmentación utiliza la tecnología de virtualización de redes para crear zonas de seguridad altamente granulares en los centros de datos y en las implementaciones en la nube, que aíslan cada carga de trabajo individual y la protegen por separado.

Otros temas

Introducción a la gestión de posturas de seguridad de datos (DSPM)

¿Qué son los proxies?

Tokenización frente a cifrado

Guía paso a paso de las mejores prácticas de seguridad en la nube

¿Qué es una plataforma de protección de la carga de trabajo en la nube (CWPP)?

Cuestiones de seguridad de la computación en nube

¿Qué es el aislamiento del navegador?

¿Qué es la seguridad en la nube?