Insta a los responsables de la toma de decisiones de TI a diseñar mejores estrategias y cambiar sólo lo que sea óptimo para el nuevo entorno: transformar los activos para reducir la complejidad, la probabilidad de error humano y los costos. Según Firment, la mala configuración de los contenedores es un síntoma de problemas mayores con las migraciones que no han incorporado la arquitectura y no han practicado la modernización.
Una buena estrategia significa que se pierde menos
Obviamente, administrar la configuración de la red y los contenedores puede ser complicado, desde determinar las asignaciones de recursos para el escalado de los contenedores, o cómo mantener el estado y la persistencia evitando la deriva, además de prestar atención a proteger las imágenes, los registros públicos y privados, los permisos y similares.
Beltramini recomienda que los líderes de TI combinen opciones en cascada desde la elección del modelo operativo (autoservicio del desarrollador en infraestructura como módulos de código o catálogos de servicios, o a través de un equipo de plataforma central) y estructuren la organización en consecuencia. Los equipos de seguridad y desarrollo también deberían colaborar estrechamente para reducir los retrasos en el sistema. Además, se deben definir con antelación los criterios de aceptación y evitar los bloqueos por incumplimiento normativo para la entrada en funcionamiento de los sistemas.
Beltramini recomienda que los líderes de TI aprovechen la automatización, cifrado e integraciones nativas, con todos los departamentos involucrados en la creación o cambio de código compartido cuando sea posible. Eso significa granularidad por proceso, políticas de contenedor y pod, y configuraciones detalladas de tiempo de ejecución y contabilidad de recursos. Los perfiles de seguridad deben personalizarse en función de las llamadas al sistema, el acceso al sistema de archivos, los archivos binarios, las bibliotecas, la restricción de capacidades, etc.
Se necesita un enfoque sistemático para cubrir todas las bases con este grado de complejidad en la pila. Por ejemplo, solo en cada módulo, las consideraciones abarcan imágenes, aplicaciones, sistemas operativos, usuarios, cualquier secreto incorporado y más, dice Beltramini.
Chris Jenkins, arquitecto principal de soluciones de Red Hat, también destaca la consideración exhaustiva de los contenedores y su orquestación, así como lo que hay dentro de los contenedores. No olvide que muchas fallas de seguridad pueden deberse al descuido de aspectos básicos como la actualización y parcheEn g, sin mencionar el uso imprudente de claves privadas versus públicas.
Mantenlo más simple cuando puedas
Jenkins insta a los líderes de TI a empezar de cero, manteniéndolo simple siempre que sea posible. “Quieres empezar haciendo algo bien. Dales un [clean] imagen base sobre la cual pueden comenzar y minimizar el dolor”, afirma.
Jenkins insta a los desarrolladores de software a utilizar únicamente los paquetes necesarios para ejecutar la aplicación. Por ejemplo, si se instalan 50.000 paquetes que nunca se utilizan, es probable que expongan una gran cantidad de vulnerabilidades potenciales. En cambio, el enfoque de Jenkins es comenzar con una Página en blanco en la que basar el trabajo de desarrollo de la aplicación, donde es posible comprender el estado de seguridad o índice de salud de una imagen específica.
“Producimos imágenes base cada seis semanas”, afirma. “Luego ejecutamos un análisis de código para verificar todo el código. Los desarrolladores también tendrán dependencias de código que llamará a otras bibliotecas”.
La lista de materiales o receta final inmutable debe ser igual y verificarse con esta imagen específica. Si algo cambia, si una aclaración sale mal o la clave no coincide, entonces no la implementes, dice.
Obviamente, las organizaciones más pequeñas pueden encontrar desafiante este nivel de gestión de riesgos. Puede ser posible dividir todas las tareas, por ejemplo, repasando las diferentes tareas en diferentes días de la semana, para tener todo cubierto en cuanto a seguridad cibernética.
Existen muchas herramientas diferentes para ayudar con esto, particularmente en el ámbito del código abierto.
Dinesh Majrekar, director de tecnología (CTO) del proveedor de servicios Civo, dice que algunas herramientas pueden ayudar a las organizacionesdesplazamiento-izquierda‘ sobre la seguridad de los contenedores. Ofrecen funcionalidades como escanear contenedores durante la construcción e informar a los canales de integración y entrega continua (CI/CD) sobre problemas conocidos. Los ejemplos incluyen si los puertos de red están abiertos, cómo se definen las bibliotecas o si una versión de Java o Node.js está desactualizada.
Dar comentarios continuos a los desarrolladores es “realmente importante”, dice Majrekar. Recomienda optar por privilegios y permisos mínimos, instalaciones y dependencias mínimas, aunque los responsables de la toma de decisiones de TI deben equilibrar esto con los requisitos de depuración.
“Se pueden cometer errores en todas partes”, añade Majrekar. “Al usar Kubernetes, hay 100 cosas diferentes que puedes cambiar. Es posible que no detecte algo a lo que debería haber dicho “sí” y que actualmente está configurado en “no”, y que tampoco son necesariamente los contenedores, sino el entorno de Kubernetes administrado en el que se está ejecutando.
“Ahora tienes que organizar el cambio de contraseña e implementar tu código en producción al mismo tiempo, por ejemplo”, dice. “También necesitas usar tu experiencia en términos de secretos, almacenamiento y cosas así. Esto se reduce un poco a la educación, y creo que la capacitación específica centrada en la seguridad [such as certified Kubernetes security specialist (CKS)] y/o leer”.
Regular pagpenetracion y las pruebas de configuración pueden ser clave para revelar vulnerabilidades de acceso basado en roles y mejores prácticas faltantes, como la segmentación de la red o la gestión de secretos, sobre todo porque los problemas potenciales también cambian constantemente, afirma.
“Las empresas más pequeñas podrían necesitar tirar más los dados debido al coste”, añade el director ejecutivo de Civo, Mark Boost. “A veces es posible que simplemente hagas que las cosas funcionen, las saques y, antes de que te des cuenta, ya está en producción, aunque no hayas logrado endurecerlo. Por lo tanto, la recomendación allí también es asegurarse de volver a consultarlo”.
Las organizaciones deberían volver a comprobar las cosas por sí mismas. No se limite a dejarlo todo en manos de un proveedor de servicios gestionados, suponiendo que haya asumido esa responsabilidad y todos los seguridad es manejado.
“La utilización de contenedores puede ser tremendamente poderosa, pero un gran poder conlleva una gran responsabilidad”, añade Majrekar.
Reducir las superficies de ataque públicas
Crystal Morin, estratega de seguridad cibernética de Sysdig, señala que “algo así como el 66% de los registros” siguen siendo públicos: ni internos, ni privados, ni administrados por proveedores. Ella dice que a menudo se trata de “simplemente sacar algo de Internet y colocarlo en su infraestructura”.
Los análisis se realizan mientras las actualizaciones se envían a la imagen pública y es posible que el equipo de seguridad de TI no se dé cuenta de lo que está sucediendo. Este es un problema que Morin cree que los equipos de desarrollo y seguridad de TI deben abordar
Desplazar a la izquierda, proteger a la derecha sigue siendo la mejor práctica: garantizar una seguridad mejorada para empezar y continuar con la protección en el back-end. Proteja los contenedores en producción con detección de amenazas en tiempo real y políticas para alertas y respuestas oportunas, incluida la automatización de la respuesta a incidentes.
Ella señala que sin automatización, el tiempo, la capacidad o la capacidad pueden ser escasos.
“Las organizaciones centradas en la seguridad nativa de la nube se están dando cuenta ahora de que la seguridad es un problema de la organización. Todos deben ser conscientes de lo que hacen y de cómo pueden ayudar”, afirma Morin.
La integración de la seguridad en toda la organización también aporta valor a todos los usuarios y, en última instancia, a cada cliente.
“Si entro y hablo con otras personas sobre seguridad, es posible que entiendan tal vez un 40%”, dice Morin. “Necesitamos colaborar mejor en toda la empresa, coordinándonos juntos, no solo como los técnicos nerds detrás de escena. Gire a la izquierda, haga que el desarrollo sea más seguro. Y ese es obviamente un panorama mucho más amplio que simplemente contenedores.“