Seguridad
Aplicaciones
Herramienta
Contenedores
Aplicaciones

Gestión de riesgos de vulnerabilidad de los contenedores: herramientas y buenas prácticas

Cuanto antes pueda identificar las vulnerabilidades en los contenedores, mejor, y estos consejos sobre prácticas y herramientas pueden ayudar.

contenedores Commvault

Los contenedores se están convirtiendo rápidamente en la forma de facto de implementaciones de cómputo y carga de trabajo en el ecosistema nativo de la nube. La última encuesta de la Fundación de Computación Nativa en la Nube (CNCF) muestra que el 96% de las organizaciones están utilizando activamente contenedores y Kubernetes o los están evaluando. Los contenedores tienen beneficios bien conocidos como la portabilidad, la consistencia y la eficiencia, pero no están exentos de problemas de seguridad.

La seguridad de los contenedores es una actividad compleja que, al igual que la ciberseguridad más amplia, requiere una combinación de personas, procesos y tecnología, siendo la primera la más crítica. Las organizaciones que buscan cambiar al uso generalizado de contenedores deben mejorar las habilidades del personal existente e incorporar a otros profesionales con las habilidades necesarias para garantizar un modelo operativo seguro nativo de la nube, del cual los contenedores son un componente clave.

Si las actividades de los organismos gubernamentales y las autoridades técnicas más importantes son un indicio, el enfoque en la seguridad de la cadena de suministro de software se está calentando, lo que requiere un nivel de rigor y madurez que muchas organizaciones aún no han alcanzado. Al implementar las prácticas y herramientas que se analizan a continuación y al mismo tiempo mantenernos en contacto con las mejores prácticas y la orientación de la industria, podemos acercarnos colectivamente al estado final deseado del uso seguro de contenedores.

 

Los contenedores, una parte entrelazada de la seguridad en la nube

En primer lugar, es importante comprender la función y las interacciones de los contenedores en entornos de nube. El ecosistema nativo de la nube suele tener las cuatro C de la seguridad en la nube: nube, clústeres, contenedores y código. Cada capa se basa en la siguiente y las inseguridades en cualquier capa pueden afectar las capas siguientes, como las aplicaciones implementadas en contenedores inseguros. Las vulnerabilidades en la nube, los clústeres de Kubernetes o las propias aplicaciones pueden causar sus propios problemas, pero están fuera del alcance aquí.

La seguridad de los contenedores no es una actividad trivial, particularmente debido a los estados en los que existen los contenedores, como una imagen o un contenedor en ejecución, junto con las capas y el código que se puede colocar dentro del contenedor. El libro blanco de CNCF Cloud-Native Security  es una excelente herramienta para comenzar a comprender mejor las aplicaciones y los contenedores nativos de la nube y sus ciclos de vida.

 

Cuidado con los peligros de la portabilidad de los contenedores

Si bien uno de los beneficios más notables de los contenedores es su portabilidad, esto puede suponer tanto un defecto como una virtud. Si las vulnerabilidades se integran en el contenedor y luego se distribuyen, básicamente acaba de enviar defectos a todos los que usan esa imagen y pone en riesgo los entornos en los que se ejecuta, dado que generalmente se ejecutan en arquitecturas multiusuario. Esto significa que la naturaleza portátil y distribuida de las imágenes de contenedores que están ampliamente disponibles y compartidas las pone al alcance de otros, lo cual puede traer sus propias vulnerabilidades.

Los contenedores suelen ser creados por desarrolladores externos en lugar de por los equipos tradicionales de TI y luego se distribuyen a la empresa. Esto significa que aspectos como las prácticas de codificación seguras y las buenas prácticas en materia de seguridad de los contenedores son un buen punto de partida, pero ¿qué significa esto último?

 

Escanee los contenedores en busca de vulnerabilidades antes de ponerlos en producción

Algunas de las principales buenas prácticas que han surgido incluyen acciones como escanear contenedores en sus canalizaciones de integración continua/implementación continua (CI/CD) para evitar que las vulnerabilidades lleguen a los entornos de producción en tiempo de ejecución. Hay disponibles opciones de código abierto como Anchore y Trivvy, así como opciones de líderes de la industria como Snyk.

Asimismo puede escanear los contenedores durante las actividades de despliegue de la tubería como parte de un impulso más amplio en favor de la seguridad. La detección de vulnerabilidades en los contenedores en el pipeline evita que estas se introduzcan en los entornos de producción y sean potencialmente explotadas por actores maliciosos. Esto es más eficiente, reduce el riesgo y es más barato que arreglar las vulnerabilidades en producción.

Dado que muchos contenedores son creados por los desarrolladores para desplegar sus aplicaciones, estas herramientas también pueden ponerse a su disposición con el fin de permitirles abordar los problemas. Sin embargo, escanear imágenes de contenedores en tuberías no erradica definitivamente el problema. Las imágenes de contenedores a menudo se almacenan en repositorios y existen en estado de ejecución una vez implementadas en producción. Es clave escanearlos en ambos entornos ya que es común que aparezcan nuevas vulnerabilidades, por lo que simplemente extraer una imagen escaneada previamente de un repositorio e implementarla sin un nuevo escaneo puede pasar por alto fallos que se han publicado desde el escaneo anterior.

El mismo concepto se aplica a las vulnerabilidades que se ejecutan en producción, junto con la realidad de que, debido a controles de acceso potencialmente deficientes, es posible que se hayan realizado cambios en el contenedor en un estado de ejecución. Las vulnerabilidades en los contenedores en funcionamiento pueden identificarse y las herramientas pueden notificar al personal apropiado para que responda en consecuencia para investigar y potencialmente intervenir.

 

Firma de imagen del contenedor

Otra actividad clave cuando se trata de proteger las cargas de trabajo de los contenedores es la firma de imágenes. Todo el mundo está familiarizado con la tríada de ciberseguridad de la CIA: confidencialidad, integridad y accesibilidad. La firma de la imagen del contenedor es similar a garantizar la integridad del mismo. Le da la seguridad de que la imagen del contenedor que está utilizando no ha sido manipulada y se puede confiar en ella. Esto se puede hacer como parte de un flujo de trabajo de DevOps, así como en un registro.

En este contexto cabe mencionar que hay varias opciones disponibles cuando se trata de la firma de imágenes de contenedores. Una de las opciones más destacadas es Cosign , que admite firma, verificación y almacenamiento de imágenes. También es compatible con varias opciones, como hardware, servicios de administración de claves (KMS), infraestructura de clave pública (PKI) y más. Las opciones de firma sin llave están comenzando a surgir y son defendidas por equipos innovadores como Chainguard. La firma sin clave esencialmente admite la capacidad de usar claves de corta duración que solo existen el tiempo suficiente para que ocurran las actividades de firma y están vinculadas a las identidades.

 

Cree listas de materiales de software para imágenes de contenedores

Los contenedores no son inmunes a las preocupaciones de la cadena de suministro de software, y las organizaciones ahora buscan usar herramientas para ayudar a generar listas de materiales de software (SBOM) para sus imágenes de contenedores. Un ejemplo notable es la herramienta Syft de Anchore que permite crear SBOM para sus imágenes de contenedores como parte de los flujos de trabajo de CI/CD y posiciona a las organizaciones para que tengan una comprensión mucho más profunda del software que ejecutan en su ecosistema de contenedores y estén bien posicionadas para responder en caso de que ocurra otro escenario tipo Log4j.

Este nivel de visibilidad ha sido tradicionalmente difícil de alcanzar, pero las organizaciones se están enfocando más en la seguridad de la cadena de suministro de software, siguiendo la guía de la Casa Blanca y las agencias federales asociadas, como la Orden Ejecutiva de Seguridad Cibernética (EO). El llamado a un mayor enfoque en las prácticas de desarrollo seguro solo está aumentando, con organizaciones como NIST lanzando un Marco de desarrollo de software seguro (SSDF) actualizado, que requiere el uso de SBOM en actividades como archivar y proteger versiones de software.

Sobre la base de la necesidad de tener SBOM para las imágenes de contenedores está el impulso de las atestaciones, que están defendiendo empresas como TestifySec y NIST en su Guía de seguridad de la cadena de suministro de software. NIST exige la certificación de SSDF, que exige el uso de SBOM. También existen opciones innovadoras para hacer cumplir aún más los SBOM, como Syft, que puede admitir la atestación de SBOM utilizando la especificación in-toto. Este enfoque de atestación permite al firmante atestiguar que el SBOM es una representación precisa del contenido de las imágenes del contenedor.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper