Salte para o conteúdo principal
Voltar às perguntas

O que é a segurança dos contentores?

A segurança dos contentores é a utilização de ferramentas e políticas de segurança para proteger o contentor, a sua aplicação e o seu desempenho, incluindo a infraestrutura, a cadeia de fornecimento de software, as ferramentas do sistema, as bibliotecas do sistema e o tempo de execução contra as ameaças à cibersegurança.

Quais são os desafios da segurança dos contentores?

Os contentores vivem num ecossistema - os contentores não são implementados de forma autónoma numa empresa. As cargas de trabalho de contentores são implementadas como parte de uma arquitetura que pode incluir nuvens públicas (AWS, GCP, Azure), nuvens privadas (VMware) e nuvens híbridas integradas com cargas de trabalho tradicionais compostas por servidores e VMs, enquanto trabalham com componentes sem servidor no lado da computação. Estas empresas podem também estar a utilizar serviços de infraestrutura como serviço (IaaS) e de plataforma como serviço (PaaS), como baldes S3 ou RDS. Por conseguinte, as cargas de trabalho de contentores têm de ser protegidas como parte de um ecossistema empresarial.

Os contentores são efémeros: Os ciclos de vida dos contentores são frequentemente medidos em segundos, mas existe também um elevado grau de variabilidade que dificulta as generalizações. As equipas de segurança têm de ter em conta a segurança e a integridade dos contentores que podem estar online apenas durante alguns segundos e outros que podem estar online durante semanas.

Os contêineres são criados e implantados em pipelines de DevOps CI/CD. As cargas de trabalho dos contentores tendem a ser lideradas pelo programador. O desafio para a segurança é capacitar os programadores para produzirem aplicações que sejam BornSecure.

Gestão da postura de segurança na nuvem (CSPM)

CSPM para contentores

Skyhigh Security pode fornecer análises de benchmark CIS e outras avaliações de melhores práticas para tempos de execução de contentores, sistemas de orquestração (como Kubernetes), infra-estruturas IaaS que executam cargas de trabalho de contentores, configurações de armazenamento, configurações de rede, definições/funções de IAM, etc. Isso ajuda:

  • Assegure-se de que a configuração do ambiente não é uma fonte de risco (CSPM)
  • Assegure-se de que a configuração do ambiente não se desvia ao longo do tempo, expondo riscos não intencionais

Análise de vulnerabilidades para contentores

Os contentores utilizam significativamente componentes de terceiros. Todos os componentes de compilações de contentores devem ser avaliados quanto a quaisquer pontos fracos conhecidos ou exploráveis.

O scanner de vulnerabilidades avalia os componentes incorporados nos contentores no momento da construção e é verificado periodicamente para garantir que os riscos conhecidos são expostos e atenuados para reduzir o risco de actores maliciosos aterrarem numa carga de trabalho de contentor.

NanoSegmentação

Descubra as comunicações entre contentores com base em configurações boas conhecidas para garantir o comportamento de cargas de trabalho complexas e dinâmicas:

  • Descubra e monitorize o comportamento das comunicações de rede entre processos de contentores de uma forma que possa lidar com a natureza efémera dos contentores e não dependa de factores externos, como um endereço IP.
  • Detecte comunicações anormais e notifique ou bloqueie com base na preferência do utilizador.
  • Detecte alterações nos padrões de comunicação entre versões de contentores à medida que a aplicação evolui ao longo do tempo.
  • Aproveite as configurações boas conhecidas como uma forma de proteger as cargas de trabalho, em vez de acompanhar as más conhecidas.

Skyhigh Security solução mapeada para um ciclo de vida de contentor

A segurança não deve atrasar os programadores ou a adoção de arquitecturas compatíveis com a nuvem, como os contentores. Skyhigh Security fornece uma plataforma de segurança perfeitamente integrada que se integra com as ferramentas que os programadores escolhem utilizar para manter as suas aplicações. A segurança dos contentores pode fornecer uma defesa aprofundada, garantindo uma infraestrutura e mecanismos de orquestração corretamente configurados, avaliando o risco de exploração do código incorporado nos contentores e um método flexível definido por software para certificar um bom comportamento de rede conhecido que possa lidar com o ambiente em rápida mudança das cargas de trabalho dos contentores ao longo do seu ciclo de vida.

Mude para a esquerda: DevOps para DevSecOps

Os contêineres são um tipo de carga de trabalho muito centrado no desenvolvedor. Dado que os programadores têm um controlo muito mais direto sobre a arquitetura e os serviços em utilização, as equipas de segurança precisam de uma forma assíncrona de estabelecer políticas, avaliar as implementações em relação às melhores práticas e monitorizar a inevitável deriva que ocorre em qualquer ambiente. Com os contentores e as arquitecturas de microsserviços, o número de variáveis e o ritmo de mudança aumentaram substancialmente em relação às implementações baseadas em hardware ou VM anteriormente controladas de forma rigorosa. Os ciclos de vida dos contentores são frequentemente medidos em segundos, mas existe também um elevado grau de variabilidade que torna as generalizações potencialmente perigosas. As equipas de segurança têm de ter em conta a segurança e a integridade dos contentores que podem estar online apenas durante alguns segundos e outros que podem estar online continuamente durante semanas. Skyhigh Security oferece os Contentores BornSecure que incluem:

  • Gestão da postura de segurança na nuvem para analisar continuamente o ambiente de nuvem e detetar o risco de desvio integrado no pipeline DevOps (Shift Left) para garantir que o risco é resolvido antes de ser implementado.
  • Avaliação da vulnerabilidade dos componentes dentro dos próprios contentores para garantir que as empresas não estão a implementar código com explorações conhecidas integradas no pipeline DevOps (Shift Left). Skyhigh Security também inclui a nova análise periódica de artefactos de contentores para detetar quando novas vulnerabilidades afectam os contentores que já foram construídos e podem estar a ser executados em produção.

Processos tradicionais de DevOps: Tradicionalmente, a segurança só é tida em conta ou verificada depois de as aplicações serem implementadas em ambientes de produção.

Atualmente, as aplicações nativas da nuvem requerem contentores BornSecure: A segurança está incorporada no pipeline DevOps, fornecendo aos programadores feedback de segurança à medida que as aplicações são criadas ou que o código é verificado.

Segurança de contentores 101 - Um glossário de termos

KS Enterprise Container Platform S/W Suite para Azure com base no k8s. Docker Uma empresa e o nome da ferramenta que concebeu para facilitar a criação, implementação e execução de aplicações através da utilização de contentores. Nanossegmentação Uma segmentação flexível e fina que se baseia no comportamento observado.
Anomalia Algo que se desvia do que é padrão, normal ou esperado. Desvio A acumulação de alterações de configuração ou acções administrativas ao longo do tempo que podem introduzir riscos e desvios em relação à boa configuração conhecida. Superfície de ataque da rede A superfície de ataque é constituída pela totalidade de um ambiente que um atacante pode tentar explorar para efetuar um ataque bem sucedido, incluindo todos os protocolos, interfaces, software e serviços implementados.
Construir Construção de algo que tem um resultado observável e tangível. A construção é o processo de conversão de ficheiros de código fonte em artefactos de software autónomos que podem ser executados num computador. EKS Enterprise Container Platform S/W Suite para a Amazon com base no k8s. Pipeline Um conjunto de processos automatizados que permitem aos programadores e aos profissionais de DevOps compilar, construir e implementar o seu código de forma fiável e eficiente nas suas plataformas de computação de produção.
CICD Práticas combinadas de integração contínua e entrega contínua. ECS Enterprise Container Platform S/W Suite para a Amazon que utiliza uma orquestração proprietária anterior à adoção generalizada do k8s. Privilégios O conceito de apenas permitir que os utilizadores realizem determinadas actividades. Por exemplo, um utilizador comum é normalmente impedido de alterar ficheiros do sistema operativo, enquanto um administrador do sistema é normalmente autorizado a fazê-lo.
CIS Benchmark Melhores práticas para a configuração segura de um sistema alvo, incluindo contentores e Kubernetes. Os parâmetros de referência são desenvolvidos por uma organização sem fins lucrativos chamada Center for Internet Security (CIS) através de um consenso de especialistas em cibersegurança. Ephemeral Propriedade utilizada para definir contentores. Como os contentores têm uma vida curta, com um tempo de vida médio em horas, diz-se que são efémeros. Repositório (repo) Um repositório de imagens de contentores é uma coleção de imagens de contentores relacionadas, normalmente fornecendo diferentes versões da mesma aplicação ou serviço.
Container Unidade padrão de software que empacota o código e todas as suas dependências, para que a aplicação seja executada de forma rápida e fiável de um ambiente de computação para outro. Uma imagem de contentor é um pacote de software leve, autónomo e executável que inclui tudo o que é necessário para executar uma aplicação: código, tempo de execução, ferramentas de sistema, bibliotecas de sistema e definições. Recolha de impressões digitais A capacidade de rastrear artefactos, bem como o comportamento dos artefactos, permitindo que os utilizadores vejam o que foi feito numa construção e como e onde essa construção está a ser utilizada.

Análise forense Uma análise post-mortem para compreender e conter o impacto de qualquer violação de segurança.

Shift Left A integração da configuração de segurança e das verificações de vulnerabilidade no pipeline DevOps. A segurança é introduzida à medida que o código é verificado ou construído, em vez de esperar que os sistemas estejam activos. Isto faz com que a segurança fique à esquerda (antes) dos ambientes de produção, onde a segurança é tradicionalmente efectuada.
Registo de contentores Um repositório para armazenar imagens de contentores. Uma imagem de contentor é composta por muitos ficheiros que encapsulam uma aplicação. Os programadores, testadores e sistemas CI/CD precisam de utilizar um registo para armazenar imagens criadas durante o processo de desenvolvimento da aplicação. As imagens de contentor colocadas no registo podem ser utilizadas em várias fases do desenvolvimento. GKE Enterprise Container Platform S/W Suite para a Google com base no k8s.

Propriedade imutável utilizada para definir contentores. Os contentores individuais não se alteram ao longo do ciclo de vida, uma vez criados.

Máquina virtual (VM) Um ambiente virtual que funciona como um sistema de computador virtual com a sua própria CPU, memória, interface de rede e armazenamento, criado num sistema de hardware físico. O software denominado hipervisor separa os recursos da máquina do hardware e distribui-os adequadamente para que possam ser utilizados pela VM.
Tempo de execução do content or Software que executa contentores e gere imagens de contentores num nó, por exemplo, Docker Engine. k8s O Kubernetes é por vezes designado por k8s (K - oito caracteres - S). Carga de trabalho Uma capacidade ou quantidade discreta de trabalho que gostaria de executar numa instância de nuvem.
DevOps Um conjunto de práticas que combina o desenvolvimento de software (Dev) e as operações de tecnologia da informação (Ops), com o objetivo de encurtar o ciclo de vida do desenvolvimento de sistemas e proporcionar uma entrega contínua com elevada qualidade de software. Kubernetes (k8s) Um sistema de orquestração de contentores de código aberto. Fornece uma plataforma para automatizar a implementação, o dimensionamento e as operações de contentores de aplicações em clusters de anfitriões. Zero-Trust Nunca confie, mas verifique. A segurança de confiança zero significa que, por defeito, não se confia em ninguém de dentro ou de fora da rede e que é necessária a verificação de todos os que tentam obter acesso aos recursos da rede.
DevSecOps DevSecOps é a prática de integrar práticas de segurança no processo DevOps. Microssegmentação O software de microssegmentação usa a tecnologia de virtualização de rede para criar zonas de segurança altamente granulares em data centers e implantações de nuvem, que isolam cada carga de trabalho individual e a protegem separadamente.